Ukázky konfigurace směrovače pro nastavení a správu překladu adres (NAT)

Tento článek obsahuje ukázky konfigurace PŘEKLADU adres pro směrovače řady Cisco ASA a Juniper SRX při práci s ExpressRoute. Tyto konfigurace směrovačů jsou určené jenom pro ukázky a nesmí se používat tak, jak jsou. Potřebujete spolupracovat s dodavatelem, abyste mohli vytvořit odpovídající konfigurace pro vaši síť.

Důležité

Ukázky na této stránce jsou určené čistě pro pokyny. Musíte spolupracovat s prodejním nebo technickým týmem vašeho dodavatele a síťovým týmem, abyste mohli přijít s odpovídajícími konfiguracemi, aby vyhovovaly vašim potřebám. Microsoft nebude podporovat problémy související s konfiguracemi uvedenými na této stránce. Pokud potřebujete problémy s podporou, musíte kontaktovat dodavatele zařízení.

  • Následující ukázky konfigurace směrovače platí pro veřejné partnerské vztahy Azure a partnerské vztahy Microsoftu. Nenakonfigurujete překlad adres (NAT) pro privátní partnerský vztah Azure. Další podrobnosti najdete v požadavcích na partnerské vztahy ExpressRoute a expressRoute NAT.

  • Pro připojení k internetu a ExpressRoute musíte použít samostatné fondy IP adres NAT. Použití stejného fondu IP adres NAT přes internet a ExpressRoute vede k asymetrickým směrováním a ztrátě připojení.

Brány firewall Cisco ASA

Konfigurace PAT pro provoz ze sítě zákazníků do Microsoftu

object network MSFT-PAT
  range <SNAT-START-IP> <SNAT-END-IP>


object-group network MSFT-Range
  network-object <IP> <Subnet_Mask>

object-group network on-prem-range-1
  network-object <IP> <Subnet-Mask>

object-group network on-prem-range-2
  network-object <IP> <Subnet-Mask>

object-group network on-prem
  network-object object on-prem-range-1
  network-object object on-prem-range-2

nat (outside,inside) source dynamic on-prem pat-pool MSFT-PAT destination static MSFT-Range MSFT-Range

Konfigurace PAT pro provoz z Microsoftu do sítě zákazníků

Rozhraní a směr:

Zdrojové rozhraní (kde provoz vstupuje do ASA): uvnitř cílového rozhraní (kde provoz ukončí ASA): mimo

Configuration (Konfigurace):

Fond překladu adres (NAT):

object network outbound-PAT
    host <NAT-IP>

Cílový server:

object network Customer-Network
    network-object <IP> <Subnet-Mask>

Skupina objektů pro IP adresy zákazníka:

object-group network MSFT-Network-1
    network-object <MSFT-IP> <Subnet-Mask>

object-group network MSFT-PAT-Networks
    network-object object MSFT-Network-1

Příkazy překladu adres (NAT):

nat (inside,outside) source dynamic MSFT-PAT-Networks pat-pool outbound-PAT destination static Customer-Network Customer-Network

Směrovače řady Juniper SRX

1. Vytvoření redundantních ethernetových rozhraní pro cluster

    interfaces {
        reth0 {
            description "To Internal Network";
            vlan-tagging;
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 100 {
                vlan-id 100;
                family inet {
                    address <IP-Address/Subnet-mask>;
                }
            }
        }
        reth1 {
            description "To Microsoft via Edge Router";
            vlan-tagging;
            redundant-ether-options {
                redundancy-group 2;
            }
            unit 100 {
                description "To Microsoft via Edge Router";
                vlan-id 100;
                family inet {
                    address <IP-Address/Subnet-mask>;
                }
            }
        }
    }

2. Vytvoření dvou zón zabezpečení

  • Zóna důvěryhodnosti pro interní síť a nedůvěryhodnou zónu pro externí hraniční směrovače směřující k síti
  • Přiřazení odpovídajících rozhraní k zónám
  • Povolit služby v rozhraních
    security {
        zones {
            security-zone Trust {
                host-inbound-traffic {
                    system-services {
                        ping;
                    }
                    protocols {
                        bgp;
                    }
                }
                interfaces {
                    reth0.100;
                }
            }
            security-zone Untrust {
                host-inbound-traffic {
                    system-services {
                        ping;
                    }
                    protocols {
                        bgp;
                    }
                }
                interfaces {
                    reth1.100;
                }
            }
        }
    }

3. Vytvoření zásad zabezpečení mezi zónami

    security {
        policies {
            from-zone Trust to-zone Untrust {
                policy allow-any {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone Untrust to-zone Trust {
                policy allow-any {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
        }
    }

4. Konfigurace zásad překladu adres (NAT)

  • Vytvořte dva fondy překladu adres (NAT). Jeden se používá k odchozímu provozu NAT do Microsoftu a jiného z Microsoftu na zákazníka.
  • Vytvoření pravidel pro překlad adres (NAT) příslušného provozu
       security {
           nat {
               source {
                   pool SNAT-To-ExpressRoute {
                       routing-instance {
                           External-ExpressRoute;
                       }
                       address {
                           <NAT-IP-address/Subnet-mask>;
                       }
                   }
                   pool SNAT-From-ExpressRoute {
                       routing-instance {
                           Internal;
                       }
                       address {
                           <NAT-IP-address/Subnet-mask>;
                       }
                   }
                   rule-set Outbound_NAT {
                       from routing-instance Internal;
                       to routing-instance External-ExpressRoute;
                       rule SNAT-Out {
                           match {
                               source-address 0.0.0.0/0;
                           }
                           then {
                               source-nat {
                                   pool {
                                       SNAT-To-ExpressRoute;
                                   }
                               }
                           }
                       }
                   }
                   rule-set Inbound-NAT {
                       from routing-instance External-ExpressRoute;
                       to routing-instance Internal;
                       rule SNAT-In {
                           match {
                               source-address 0.0.0.0/0;
                           }
                           then {
                               source-nat {
                                   pool {
                                       SNAT-From-ExpressRoute;
                                   }
                               }
                           }
                       }
                   }
               }
           }
       }

5. Konfigurace protokolu BGP pro inzerování selektivních předpon v každém směru

Projděte si ukázky na stránce ukázky konfigurace směrování.

6. Vytvoření zásad

    routing-options {
                  autonomous-system <Customer-ASN>;
    }
    policy-options {
        prefix-list Microsoft-Prefixes {
            <IP-Address/Subnet-Mask;
            <IP-Address/Subnet-Mask;
        }
        prefix-list private-ranges {
            10.0.0.0/8;
            172.16.0.0/12;
            192.168.0.0/16;
            100.64.0.0/10;
        }
        policy-statement Advertise-NAT-Pools {
            from {
                protocol static;
                route-filter <NAT-Pool-Address/Subnet-mask> prefix-length-range /32-/32;
            }
            then accept;
        }
        policy-statement Accept-from-Microsoft {
            term 1 {
                from {
                    instance External-ExpressRoute;
                    prefix-list-filter Microsoft-Prefixes orlonger;
                }
                then accept;
            }
            term deny {
                then reject;
            }
        }
        policy-statement Accept-from-Internal {
            term no-private {
                from {
                    instance Internal;
                    prefix-list-filter private-ranges orlonger;
                }
                then reject;
            }
            term bgp {
                from {
                    instance Internal;
                    protocol bgp;
                }
                then accept;
            }
            term deny {
                then reject;
            }
        }
    }
    routing-instances {
        Internal {
            instance-type virtual-router;
            interface reth0.100;
            routing-options {
                static {
                    route <NAT-Pool-IP-Address/Subnet-mask> discard;
                }
                instance-import Accept-from-Microsoft;
            }
            protocols {
                bgp {
                    group customer {
                        export <Advertise-NAT-Pools>;
                        peer-as <Customer-ASN-1>;
                        neighbor <BGP-Neighbor-IP-Address>;
                    }
                }
            }
        }
        External-ExpressRoute {
            instance-type virtual-router;
            interface reth1.100;
            routing-options {
                static {
                    route <NAT-Pool-IP-Address/Subnet-mask> discard;
                }
                instance-import Accept-from-Internal;
            }
            protocols {
                bgp {
                    group edge-router {
                        export <Advertise-NAT-Pools>;
                        peer-as <Customer-Public-ASN>;
                        neighbor <BGP-Neighbor-IP-Address>;
                    }
                }
            }
        }
    }

Další kroky

Další informace najdete v tématu ExpressRoute – nejčastější dotazy.