Ukázky konfigurace směrovače pro nastavení a správu překladu adres (NAT)
Tento článek obsahuje ukázky konfigurace PŘEKLADU adres pro směrovače řady Cisco ASA a Juniper SRX při práci s ExpressRoute. Tyto konfigurace směrovačů jsou určené jenom pro ukázky a nesmí se používat tak, jak jsou. Potřebujete spolupracovat s dodavatelem, abyste mohli vytvořit odpovídající konfigurace pro vaši síť.
Důležité
Ukázky na této stránce jsou určené čistě pro pokyny. Musíte spolupracovat s prodejním nebo technickým týmem vašeho dodavatele a síťovým týmem, abyste mohli přijít s odpovídajícími konfiguracemi, aby vyhovovaly vašim potřebám. Microsoft nebude podporovat problémy související s konfiguracemi uvedenými na této stránce. Pokud potřebujete problémy s podporou, musíte kontaktovat dodavatele zařízení.
Následující ukázky konfigurace směrovače platí pro veřejné partnerské vztahy Azure a partnerské vztahy Microsoftu. Nenakonfigurujete překlad adres (NAT) pro privátní partnerský vztah Azure. Další podrobnosti najdete v požadavcích na partnerské vztahy ExpressRoute a expressRoute NAT.
Pro připojení k internetu a ExpressRoute musíte použít samostatné fondy IP adres NAT. Použití stejného fondu IP adres NAT přes internet a ExpressRoute vede k asymetrickým směrováním a ztrátě připojení.
Brány firewall Cisco ASA
Konfigurace PAT pro provoz ze sítě zákazníků do Microsoftu
object network MSFT-PAT
range <SNAT-START-IP> <SNAT-END-IP>
object-group network MSFT-Range
network-object <IP> <Subnet_Mask>
object-group network on-prem-range-1
network-object <IP> <Subnet-Mask>
object-group network on-prem-range-2
network-object <IP> <Subnet-Mask>
object-group network on-prem
network-object object on-prem-range-1
network-object object on-prem-range-2
nat (outside,inside) source dynamic on-prem pat-pool MSFT-PAT destination static MSFT-Range MSFT-Range
Konfigurace PAT pro provoz z Microsoftu do sítě zákazníků
Rozhraní a směr:
Zdrojové rozhraní (kde provoz vstupuje do ASA): uvnitř cílového rozhraní (kde provoz ukončí ASA): mimo
Configuration (Konfigurace):
Fond překladu adres (NAT):
object network outbound-PAT
host <NAT-IP>
Cílový server:
object network Customer-Network
network-object <IP> <Subnet-Mask>
Skupina objektů pro IP adresy zákazníka:
object-group network MSFT-Network-1
network-object <MSFT-IP> <Subnet-Mask>
object-group network MSFT-PAT-Networks
network-object object MSFT-Network-1
Příkazy překladu adres (NAT):
nat (inside,outside) source dynamic MSFT-PAT-Networks pat-pool outbound-PAT destination static Customer-Network Customer-Network
Směrovače řady Juniper SRX
1. Vytvoření redundantních ethernetových rozhraní pro cluster
interfaces {
reth0 {
description "To Internal Network";
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
unit 100 {
vlan-id 100;
family inet {
address <IP-Address/Subnet-mask>;
}
}
}
reth1 {
description "To Microsoft via Edge Router";
vlan-tagging;
redundant-ether-options {
redundancy-group 2;
}
unit 100 {
description "To Microsoft via Edge Router";
vlan-id 100;
family inet {
address <IP-Address/Subnet-mask>;
}
}
}
}
2. Vytvoření dvou zón zabezpečení
- Zóna důvěryhodnosti pro interní síť a nedůvěryhodnou zónu pro externí hraniční směrovače směřující k síti
- Přiřazení odpovídajících rozhraní k zónám
- Povolit služby v rozhraních
security {
zones {
security-zone Trust {
host-inbound-traffic {
system-services {
ping;
}
protocols {
bgp;
}
}
interfaces {
reth0.100;
}
}
security-zone Untrust {
host-inbound-traffic {
system-services {
ping;
}
protocols {
bgp;
}
}
interfaces {
reth1.100;
}
}
}
}
3. Vytvoření zásad zabezpečení mezi zónami
security {
policies {
from-zone Trust to-zone Untrust {
policy allow-any {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone Untrust to-zone Trust {
policy allow-any {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
4. Konfigurace zásad překladu adres (NAT)
- Vytvořte dva fondy překladu adres (NAT). Jeden se používá k odchozímu provozu NAT do Microsoftu a jiného z Microsoftu na zákazníka.
- Vytvoření pravidel pro překlad adres (NAT) příslušného provozu
security {
nat {
source {
pool SNAT-To-ExpressRoute {
routing-instance {
External-ExpressRoute;
}
address {
<NAT-IP-address/Subnet-mask>;
}
}
pool SNAT-From-ExpressRoute {
routing-instance {
Internal;
}
address {
<NAT-IP-address/Subnet-mask>;
}
}
rule-set Outbound_NAT {
from routing-instance Internal;
to routing-instance External-ExpressRoute;
rule SNAT-Out {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
pool {
SNAT-To-ExpressRoute;
}
}
}
}
}
rule-set Inbound-NAT {
from routing-instance External-ExpressRoute;
to routing-instance Internal;
rule SNAT-In {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
pool {
SNAT-From-ExpressRoute;
}
}
}
}
}
}
}
}
5. Konfigurace protokolu BGP pro inzerování selektivních předpon v každém směru
Projděte si ukázky na stránce ukázky konfigurace směrování.
6. Vytvoření zásad
routing-options {
autonomous-system <Customer-ASN>;
}
policy-options {
prefix-list Microsoft-Prefixes {
<IP-Address/Subnet-Mask;
<IP-Address/Subnet-Mask;
}
prefix-list private-ranges {
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
100.64.0.0/10;
}
policy-statement Advertise-NAT-Pools {
from {
protocol static;
route-filter <NAT-Pool-Address/Subnet-mask> prefix-length-range /32-/32;
}
then accept;
}
policy-statement Accept-from-Microsoft {
term 1 {
from {
instance External-ExpressRoute;
prefix-list-filter Microsoft-Prefixes orlonger;
}
then accept;
}
term deny {
then reject;
}
}
policy-statement Accept-from-Internal {
term no-private {
from {
instance Internal;
prefix-list-filter private-ranges orlonger;
}
then reject;
}
term bgp {
from {
instance Internal;
protocol bgp;
}
then accept;
}
term deny {
then reject;
}
}
}
routing-instances {
Internal {
instance-type virtual-router;
interface reth0.100;
routing-options {
static {
route <NAT-Pool-IP-Address/Subnet-mask> discard;
}
instance-import Accept-from-Microsoft;
}
protocols {
bgp {
group customer {
export <Advertise-NAT-Pools>;
peer-as <Customer-ASN-1>;
neighbor <BGP-Neighbor-IP-Address>;
}
}
}
}
External-ExpressRoute {
instance-type virtual-router;
interface reth1.100;
routing-options {
static {
route <NAT-Pool-IP-Address/Subnet-mask> discard;
}
instance-import Accept-from-Internal;
}
protocols {
bgp {
group edge-router {
export <Advertise-NAT-Pools>;
peer-as <Customer-Public-ASN>;
neighbor <BGP-Neighbor-IP-Address>;
}
}
}
}
}
Další kroky
Další informace najdete v tématu ExpressRoute – nejčastější dotazy.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro