EN ESTA PÁGINA
NAT para VRF Group
Visión general
En la red SD-WAN, NAT se utiliza cuando se convierte la IP privada en un grupo de IP globales en un grupo VRF. Se puede configurar un firewall de la serie SRX mediante la siguiente NAT de grupo VRF para traducir las IP especificadas que pertenecen a un grupo VRF determinado a diferentes IP que pertenecen a diferentes instancias de VRF:
-
NAT de destino del grupo VRF
-
NAT de origen del grupo VRF
-
NAT estática de grupo VRF
Ejemplo: configuración de NAT de origen para convertir la dirección IP privada de un grupo VRF en la dirección IP privada de otra instancia de VRF
En este ejemplo se describe cómo configurar una TDR de origen entre dos redes MPLS.
Requisitos
-
Comprenda cómo funcionan los firewalls de la serie SRX en una implementación de SD-WAN para NAT.
-
Comprender el grupo virtual en NAT, enrutamiento virtual e instancias de reenvío. Consulte Instancias de enrutamiento y reenvío virtuales en implementaciones de SD-WAN.
Visión general
TDR de origen es la traducción de la dirección IP de origen de un paquete que sale del dispositivo de Juniper Networks. La TDR de origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.
En la figura 1, el firewall de la serie SRX se configura con el grupo VRF vpn-A y vpn-B, que están conectados a las interfaces ge-0/0/1.0 y ge-0/0/1.1 en el firewall de la serie SRX. En el firewall de la serie SRX del concentrador, las direcciones IP de origen 192.168.1.200 y 192.168.1.201 del grupo VRF vpn-A y vpn-B se traducen a 203.0.113.200 y 203.0.113.201.
VRF
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security nat source pool vrf-a_p address 203.0.113.200
set security nat source rule-set vrf-a_rs from routing-group vpn-A
set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0
set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200
set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p
set security nat source pool vrf-b_p address 203.0.113.201
set security nat source rule-set vrf-b_rs from routing-group vpn-B
set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1
set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201
set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.
Para configurar la asignación NAT de origen:
-
En las VPN de capa 3, cree un grupo VRF vpn-A con instancias VRF A1 y A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2 -
Cree otro grupo de VRF vpn-B con instancias VRF B1 y B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2 -
Cree un grupo NAT de origen.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201 -
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1 -
Configure una regla que coincida con los paquetes y traduzca la dirección IP de origen a una dirección IP del grupo NAT de origen.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security nat comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all comando. En el campo Aciertos de traducción, compruebe si hay tráfico que coincida con la regla NAT de origen.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Ejemplo: configuración de TDR de destino para convertir la dirección IP pública de un grupo VRF en la dirección IP privada de otra instancia de VRF
En este ejemplo se describe cómo configurar la asignación NAT de destino de una dirección IP pública de un grupo VRF a la dirección privada del VRF único para dirigir los paquetes a la instancia de VRF correcta.
Requisitos
-
Comprenda cómo funcionan los firewalls de la serie SRX en una implementación de SD-WAN para NAT.
-
Comprender las instancias virtuales de enrutamiento y reenvío. Consulte Instancias de enrutamiento y reenvío virtuales en implementaciones de SD-WAN.
Visión general
La NAT de destino es la traducción de la dirección IP de destino de un paquete que ingresa al dispositivo de Juniper Networks. La TDR de destino se utiliza para redirigir el tráfico destinado a un host virtual (identificado por la dirección IP de destino original) al host real (identificado por la dirección IP de destino traducida).
En la Figura 2, el firewall de la serie SRX está configurado para NAT de destino para convertir de IP que pertenecen a diferentes grupos de VRF a diferentes conjuntos de IP con instancia de enrutamiento que apunta a VRF diferente. Después de la búsqueda de la regla NAT de destino, NAT actualiza la tabla de enrutamiento de destino para que apunte a la instancia VRF derecha para que el flujo realice la búsqueda de ruta de destino en la tabla derecha.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security nat destination pool vrf-a_p routing-instance VRF-a
set security nat destination pool vrf-a_p address 192.168.1.200
set security nat destination rule-set rs from routing-group vpn-A
set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200
set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
set security nat destination pool vrf-b_p routing-instance VRF-b
set security nat destination pool vrf-b_p address 192.168.1.201
set security nat destination rule-set rs from routing-group vpn-B
set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201
set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.
Para configurar la asignación NAT de destino para un solo VRF:
-
En las VPN de capa 3, cree un grupo VRF vpn-A con instancias VRF A1 y A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2 -
Cree otro grupo de VRF vpn-B con instancias VRF B1 y B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2 -
Especifique un grupo de direcciones IP NAT de destino.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201 -
Asigne la instancia de enrutamiento al grupo de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b -
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B -
Configure una regla que coincida con los paquetes y traduzca la dirección IP de destino a una dirección IP del grupo de direcciones IP NAT de destino.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security nat comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación del uso de la regla NAT de destino
Propósito
Compruebe que hay tráfico que coincida con la regla NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all comando. En el campo Aciertos de traducción, compruebe si hay tráfico que coincida con la regla NAT de destino.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0