Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

内联 NAT

内联网络地址转换概述

内联 NAT 使用 MPC 线卡的功能,无需为 NAT 提供服务卡。因此,您可以实现线速、低延迟的地址转换(每个插槽高达 120 Gbps)。当前的实现提供:

  • 1:1 静态地址映射。

  • 双向映射 - 出站流量的源 NAT 和入站流量的目标 NAT。

  • 对流的数量没有限制。

  • 支持源、目标和两次 NAT,如图 1 所示。内联 NAT 支持转换类型 basic-nat44。从 Junos OS 15.1R1 版开始,内联 NAT 还支持 twice-basic-nat-44.

  • 支持发夹。

图 1:支持的内联 NAT 类型 Supported Inline NAT Types

要配置内联 NAT,请将服务接口定义为类型 si- (服务内联)接口。您还必须为内联接口保留足够的带宽。这使您能够配置用于 NAT 的接口或下一跃点服务集。该 si- 接口用作“虚拟服务 PIC”。

注意:

  • 仅支持静态 NAT。不支持端口转换、动态 NAT 和 ALG。因此,需要对 NAT 进行高级处理的 SIP 或 FTP 活动模式等应用程序无法运行。任何状态防火墙处理、ALG 支持和动态端口转换仍然需要 MS-MPC、MS-MIC、MS-DPC 或 MS-PIC。

  • 内联 NAT 不支持数据包采样或日志记录。

内联 NAT 的优势

  • 无需服务卡

  • 支持比服务卡更多的 NAT 流量

参见

示例:配置内联网络地址转换 - 基于接口的方法

此配置示例说明了如何使用具有接口样式服务集的(服务内联)接口在 si- MX 系列设备上配置基于接口的内联网络地址转换 (NAT)。

本主题涵盖:

要求

此示例使用以下硬件和软件组件:

  • 带有模块化端口集中器 (MPC) 线卡的 MX 系列路由器

  • Junos OS 11.4R1 或更高版本

概述和拓扑

从 Junos OS 11.4R1 版开始,MPC 线卡无需专用服务卡(如 MS-MPC)即可执行某些服务。内联服务通常比使用服务卡提供更好的性能,但它们的功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此示例中,具有 MPC 线卡的 MX 系列设备为在两个终端主机之间流动的流量提供内联源 NAT 服务。此方案的拓扑如图 2 所示

图 2:使用带有 MPC 的 MX 系列设备的内联源 NAT Inline Source NAT Using an MX Series Device with an MPC

如图所示,主机 H1 将流量发送到服务器 S1。MX 系列设备执行源 NAT 以将 H1 的源 IP 地址从 10.1.1.2 转换为 192.0.2.2。然后,服务器 S1 使用目标 IP 地址 192.0.2.2 向主机 H1 发送返回流量,MX 系列设备将 H1 的 IP 地址恢复为 10.1.1.2。

此方案中使用以下配置元素:

  • 内联服务接口 — 驻留在 MPC 的数据包转发引擎上的虚拟接口。要访问服务,流量流入和流出这些 si- (内联服务)接口。

  • 服务集 — 定义要执行的服务,并确定哪些内联接口将流量馈入和送出服务集。有两种方法可以实现服务集:

    • 接口样式 — 一种基于接口的方法,到达接口的数据包通过内联服务转发。

    • 下一跃点样式 — 一种基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

    此示例使用接口样式的服务集。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)定义匹配条件,然后将地址转换应用于匹配流量。

  • NAT 池 — NAT 规则用于转换的用户定义的一组 IP 地址。

这些元素组合在一起,如图 3 所示

图 3:基于接口的内联源 NAT Interface-Based Inline Source NAT

配置

要使用接口样式服务集配置内联 NAT,请执行以下操作:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

启用内联服务并创建内联接口

分步过程

  1. 为相关的 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    此处的 FPC 和 PIC 设置将创建并映射到 si- 接口。

  2. 在接口上 si- ,指定需要 NAT 服务的一个或多个协议家族。

    注意:

    此处的 FPC 和 PIC 设置必须与上面定义的设置匹配。

配置 NAT 规则和池

分步过程

  1. 配置一个 NAT 规则,该规则匹配从 H1 的子网 (10.1.1.0/24) 到达 MX 设备的流量,使用基本 IPv4 NAT 进行转换,并使用池 p1中的 IP 地址。

  2. 配置 NAT 池。

配置(接口样式)服务集

分步过程

  1. 配置使用内联 NAT 服务 (nat-rules) 和上面定义的内联接口的服务集。使用该 interface-service 参数指定这是一个接口样式的服务集。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

配置物理接口

分步过程

  1. 配置物理接口。

  2. 在“内部”接口上,指定流量将通过上面定义的服务集发送。

结果

验证

确认配置工作正常。

验证从主机 H1 到服务器 S1 的可访问性

目的

验证 H1 和 S1 之间的可访问性。

行动

在主机 H1 上,验证主机是否可以 ping 服务器 S1。

意义

H1 可以成功到达 S1。

验证地址转换

目的

验证地址转换是否正常工作。

行动

  1. 在 MX 设备上,验证是否已正确应用内联 NAT 配置详细信息。

  2. 在服务器 S1 上,验证服务器是否正在从 H1 的 NAT 转换源 IP 地址 (192.0.2.2) 接收 ping。

    发出以下命令,并从 H1 再次发送 ping。

    注意:

    对于此设置,另一个 MX 设备用于表示服务器 S1,以启用入站流量监控。
意义

上述步骤 1 确认内联 NAT 服务参数和接口样式服务集已正确实现。上述步骤 2 确认服务器 S1 从其 NAT 转换的源 IP 地址正确接收 H1 的 ping。

参见

示例:配置内联网络地址转换 - 基于路由的方法

此配置示例说明如何使用具有下一跃点样式服务集的(服务内联)接口在 si- MX 系列设备上配置基于路由的内联网络地址转换 (NAT)。

本主题涵盖:

要求

此示例使用以下硬件和软件组件:

  • 带有模块化端口集中器 (MPC) 线卡的 MX 系列路由器

  • Junos OS 11.4R1 或更高版本

概述和拓扑

从 Junos OS 11.4R1 版开始,MPC 线卡无需专用服务卡(如 MS-MPC)即可执行某些服务。内联服务通常比使用服务卡提供更好的性能,但它们的功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此示例中,具有 MPC 线卡的 MX 系列设备为在两个终端主机之间流动的流量提供内联源 NAT 服务。此方案的拓扑如图 4 所示

图 4:使用带有 MPC 的 MX 系列设备的内联源 NAT Inline Source NAT Using an MX Series Device with an MPC

如图所示,主机 H1 将流量发送到服务器 S1。MX 系列设备执行源 NAT 以将 H1 的源 IP 地址从 10.1.1.2 转换为 192.0.2.2。然后,服务器 S1 使用目标 IP 地址 192.0.2.2 向主机 H1 发送返回流量,MX 系列设备将 H1 的 IP 地址恢复为 10.1.1.2。

此方案中使用以下配置元素:

  • 内联服务接口 — 驻留在 MPC 的数据包转发引擎上的虚拟接口。要访问服务,流量流入和流出这些 si- (内联服务)接口。

  • 服务集 — 定义要执行的服务,并确定哪些内联接口将流量馈入和送出服务集。有两种方法可以实现服务集:

    • 接口样式 — 一种基于接口的方法,到达接口的数据包通过内联服务转发。

    • 下一跃点样式 — 一种基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

    此示例使用下一跃点样式的服务集。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)定义匹配条件,然后将地址转换应用于匹配流量。

  • NAT 池 — NAT 规则用于转换的用户定义的一组 IP 地址。

  • 路由实例 — 独立于主(默认)路由实例运行的路由表、接口和路由协议参数的集合。

    基于路由的内联 NAT 通常用于涉及路由实例的方案。

这些元素组合在一起,如图 5 所示。

图 5:基于路由的内联源 NAT Route-Based Inline Source NAT

配置

要使用下一跃点样式服务集配置内联 NAT,请执行以下操作:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

配置物理接口

分步过程

  1. 配置物理接口。

启用内联服务并创建内联接口

分步过程

  1. 为相关的 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    此处的 FPC 和 PIC 设置将创建并映射到 si- 接口。

  2. 在接口上 si- ,创建两个逻辑单元。对于每个单元,指定需要 NAT 服务的一个或多个协议家族,以及服务域的“内部”或“外部”接口。

    注意:

    此处的 FPC 和 PIC 设置必须与上面定义的设置匹配。

配置路由实例并确定要通过内联 NAT 服务发送的流量

分步过程

  1. 配置包含“ínside”物理和 si- 接口的路由实例,以及标识要通过接口转发 si- 到内联 NAT 服务的流量的静态路由。

    为简单起见,此处使用的静态路由仅标识服务器 S1。

配置 NAT 规则和池

分步过程

  1. 配置一个 NAT 规则,该规则匹配从 H1 的子网 (10.1.1.0/24) 到达 MX 设备的流量,使用基本 IPv4 NAT 进行转换,并使用池 p1中的 IP 地址。

  2. 配置 NAT 池。

配置(下一跃点样式)服务集

分步过程

  1. 配置使用内联 NAT 服务 (nat-rules) 和上面定义的内联接口的服务集。使用该 next-hop-service 参数指定这是下一跃点样式的服务集,并根据接口的上述设置将接口分配 si- 为“内部”和“外部”。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

结果

验证

确认配置工作正常。

验证从主机 H1 到服务器 S1 的可访问性

目的

验证 H1 和 S1 之间的可访问性。

行动

在主机 H1 上,验证主机是否可以 ping 服务器 S1。

意义

H1 可以成功到达 S1。

验证地址转换

目的

验证地址转换是否正常工作。

行动

  1. 在 MX 设备上,验证是否已正确应用内联 NAT 配置详细信息。

  2. 在服务器 S1 上,验证服务器是否正在从 H1 的 NAT 转换源 IP 地址 (192.0.2.2) 接收 ping。

    发出以下命令,并从 H1 再次发送 ping。

    注意:

    对于此设置,另一个 MX 设备用于表示服务器 S1,以启用入站流量监控。
意义

上述步骤 1 确认内联 NAT 服务参数和下一跃点样式服务集已正确实现。上述步骤 2 确认服务器 S1 从其 NAT 转换的源 IP 地址正确接收 H1 的 ping。

参见

更改历史记录表

功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能

释放
描述
15.1R1
从 Junos OS 15.1R1 版开始,内联 NAT 还支持 twice-basic-nat-44