Dell Networking SONiC: Překlad síťových adres (NAT)

Shrnutí: Tento článek vysvětluje překlad síťových adres (NAT) v nástroji Dell Networking SONiC. Tento článek používá přepínač s nástrojem Dell SONiC 4.1.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Pokyny

 
Požadavky
K demonstraci konceptů se používá standardní označování rozhraní. Přečtěte si článek společnosti Dell 202172 Dell Networking řady S: Basic Interface Configuration – SONiC 4.0 – další informace týkající se pojmenování rozhraní


Index

Úvod

POZNÁMKA: Překlad síťových adres (NAT) je k dispozici pouze v balíčcích Cloud Standard, Cloud Premium, Enterprise Standard a Enterprise Premium. Kód NAT není k dispozici v balíčku Edge Standard.

Překlad síťových adres umožňuje proces, který přiřazuje veřejnou IP adresu zařízením, která přistupují ke zdrojům mimo síť. NaT šetří využití IP adresy v místní síti.

Pro směrování provozu mezi soukromými IP adresami není v síti vyžadován protokol NAT. Brána NAT převádí soukromé IP adresy místních síťových zařízení na globálně jedinečnou veřejnou IP adresu při komunikaci se vzdálenými zařízeními.
 
POZNÁMKA: Funkce Z9432F-ON nepodporuje překlad síťových adres.
 

Povolení funkce NAT

Povolení funkce NAT a zadání příkazů konfigurace NAT v režimu NAT Configuration:
  • Povolení funkce NAT:
sonic(config-nat)# enable

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# enable

  • Zakázání funkce NAT:

DELLSONiC(config-nat)# no enable
 

Pořadí konfigurace NAT

Po povolení funkce NAT lze v libovolném pořadí provést následující kroky:
  • Konfigurace zón NAT
  • Přidání statické položky NAT
  • Přidání statické položky NAT pomocí portu L4
  • Vytvoření fondu adres NAT
  • Konfigurace vazby NAT
  • Konfigurace dynamického časového limitu nat
 

Vytvoření zón NAT

Konfigurace zóny NAT na rozhraních L3 tak, aby byl překlad adres NAT prováděn na paketech, když paket prochází zónou na nakonfigurovaných rozhraních. Zónu NAT lze konfigurovat na libovolném rozhraní Ethernet, VLAN, kanálu portu nebo zpětné smyčky konfigurovaném pomocí IP adresy. Rozsah čísel zón NAT je od 0 do 3.

Zdrojová zóna paketu je zóna příchozího rozhraní, do kterého je paket přijat. Cílová zóna paketu je zóna rozhraní L3 typu next-hop z vyhledávání trasy L3 cílové adresy.
  • Příchozí provoz vstupující do zdrojového rozhraní je L3 přesměrován pomocí statického překladu cílové síťové adresy (DNAT).
  • Odchozí provoz odesílaný v cílovém rozhraní je dynamicky přeložen překladu zdrojových síťových adres (SNAT).
  • Rozhraní L3 jsou ve výchozím nastavení v zóně NAT 0. NaT zóna 0 je považována za vnitřní zónu.
 
  • Vytvoření zóny NAT:
sonic(conf-if-interface)# nat-zone <0..3>

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC (config)# interface Eth1/2
DELLSONiC (conf-if-Eth1/2)# ip address 20.20.20.20/24
DELLSONiC (conf-if-Eth1/2)# nat-zone 1
DELLSONiC (conf-if-Eth1/2)# exit
DELLSONiC (config)# interface Vlan 5
DELLSONiC (conf-if-Vlan5)# ip address 23.23.23.23/24
DELLSONiC (conf-if-Vlan5)# nat-zone 1
DELLSONiC (conf-if-Vlan5)# exit
DELLSONiC (config)# interface PortChannel 2
DELLSONiC (conf-if-po2)# ip address 25.25.25.25/24
DELLSONiC (conf-if-po2)# nat-zone 1
DELLSONiC (conf-if-po2)# exit
DELLSONiC (config)# interface Loopback 1
DELLSONiC (conf-if-lo1)# ip address 10.10.10.10/32
DELLSONiC (conf-if-lo1)# nat-zone 2

  • Odstraňte zónu NAT:

sonic(conf-if-interface)# no nat-zone <0..3>

DELLSONiC (conf-if-lo1)# no nat-zone 2
 

Vytvoření statické položky NAT.

Ke komunikaci mimo síť přes internet může uživatel ručně nakonfigurovat statickou položku NAT tak, aby nahradila místní IP adresu globálně jedinečnou IP adresou. Statické překlady adres NAT lze vytvořit s překladem portů L4 nebo bez tohoto překladu. Statické překlady adres NAT s odkazem na port L4 mohou převést místní IP adresu a číslo portu TCP nebo UDP na globální IP adresu s číslem portu TCP nebo UDP.
  • Vytvoření statického překladu adres (NAT) bez překladu portů L4:
sonic(conf-nat)# static basic global-ip local-ip [snat | dnat] [twice_nat_id value]
  • Source NAT (SNAT) – Překládá IP adresu zdroje v místní síti na globální IP adresu odeslanou do externí sítě. Vzdálená zařízení v vnějších sítích používají globální adresu pro přístup k místnímu zařízení.
  • Destination NAT (DNAT) – Překládá cílovou IP adresu v paketech, které jsou přijaty z externí sítě a procházet místní sítí, na místní IP adresu používanou v místní síti. DNAT je výchozí nastavení.
  • twice_nat_id value – Provede překlad adres na zdrojové i cílové IP adrese u statických položek se stejnou hodnotou.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# static basic 125.4.4.4 12.1.1.1
DELLSONiC(config-nat)# static basic 100.100.100.100 15.15.15.15 snat twice-nat-id 5
DELLSONiC(config-nat)# static basic 200.200.200.5 17.17.17.17 dnat twice-nat-id 5
  • Vytvoření statického překladu adres (NAT) s překladem portů L4:
sonic(conf-nat)# static {tcp | udp} global-ip global-port local-ip local-port [snat | dnat] [twice_nat_id value]
  • Zdrojový překlad adres (SNAT) – Překládá IP adresu zdroje a port TCP/UDP v místní síti na globální IP adresu a port TCP/UDP odeslaný do externí sítě. Vzdálená zařízení v vnějších sítích používají pro přístup k místnímu zařízení globální adresu a port L4.
  • Destination NAT (DNAT) – Překládá cílovou IP adresu a port TCP/UDP v paketech, které jsou přijaty z externí sítě a procházejí místní sítí, do místní IP adresy a portu TCP/UDP použitého v místní síti. DNAT je výchozí nastavení.
  • twice_nat_id value – Provede překlad adres na zdrojové i cílové IP adrese u statických položek se stejnou hodnotou ID.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# static udp 148.56.7.7 8991 10.11.1.12 2000
DELLSONiC(config-nat)# static tcp 123.3.4.1 901 11.11.1.1 1000
DELLSONiC(config-nat)# static tcp 65.55.46.6 106 20.0.0.6 206 dnat twice-nat-id 200
DELLSONiC(config-nat)# static tcp 65.55.45.5 100 20.0.0.5 200 snat twice-nat-id 200
  • Odstraňte statickou položku NAT:
sonic(conf-nat)# no static basic global-ip
sonic(conf-nat)# no static {tcp | udp} global-ip global-port

DELLSONiC(config-nat)# no static basic 125.4.4.4
DELLSONiC(config-nat)# no static basic 100.100.100.100
DELLSONiC(config-nat)# no static basic 200.200.200.5
DELLSONiC(config-nat)# no static udp 148.56.7.7 8991
DELLSONiC(config-nat)# no static tcp 123.3.4.1 901
DELLSONiC(config-nat)# no static tcp 65.55.46.6 106
DELLSONiC(config-nat)# no static tcp 65.55.45.5 100


Statický příklad NAT

Níže uvedený příklad ukazuje, že síť A používá směrovač s povolenou technologií NAT. Když hostitel 100.100.100.101 v segmentu LAN odešle provoz do externího cíle (200.200.200.201), je provoz směrován do směrovače NAT směrem k hostiteli 200.200.200.201 z internetu. Směrovač NAT převádí zdrojovou IP adresu (SRC IP) 100.100.100.101 na novou zdrojovou IP adresu 1.1.1.2. Směrovač NAT provádí překlad zdrojové síťové adresy (SNAT), kde je interní soukromá adresa 100.100.100.101 přeložena na externí adresu 1.1.1.2. Směrovač NAT provede překlad cílové síťové adresy (DNAT) pro návratový provoz z hostitele 200.200.200.201 zpět do sítě A na hostitele 100.100.100.101.
Příklad statistiky NAT
Obrázek 1: Příklad překladu statických síťových adres
  • Konfigurace zón NAT:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC (config)# interface Eth1/10
DELLSONiC (conf-if-Eth1/10)# ip address 100.100.100.1/24
DELLSONiC (conf-if-Eth1/10)# nat-zone 0
DELLSONiC (conf-if-Eth1/10)# exit
DELLSONiC (config)# interface Eth1/20
DELLSONiC (conf-if-Eth1/20)# ip address 1.1.1.2/30
DELLSONiC (conf-if-Eth1/20)# nat-zone 1
DELLSONiC (conf-if-Eth1/20)# exit

  • Povolení funkce NAT:

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# enable
  • Vytvořte statický překlad adres (NAT) bez překladu portů L4:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# static basic 1.1.1.2 100.100.100.101

 

Vytvoření dynamického nat. 

Dynamický naT nahrazuje místní adresu adresou z fondu globálních adres.
Dynamický překlad je užitečný, když k internetu přistupuje více uživatelů v soukromé síti.
 

Konfigurace fondu adres NAT  

Definováním globálního rozsahu IP adres a volitelně rozsahu portů TCP/UDP použitých pro místní překlad adres nakonfigurujte fond dostupných globálních adres. 

  • Vytvoření fondu adres NAT:
sonic(conf-nat)# pool pool-name global-ip-range [global-port-range]
  1. Zadejte globální rozsah IP adres ve formátu ip-address-ip-address.
  2. Zadejte rozsah čísel portů TCP/UDP do formátu port-number-port-number.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# pool Pool1 19.19.19.19
DELLSONiC(config-nat)# pool Pool2 20.0.0.7 1024-65535
DELLSONiC(config-nat)# pool Pool3 65.55.45.10-65.55.45.15 500-1000
  • Odstraňte fond adres NAT:
sonic(conf-nat)# no pool pool-name

DELLSONiC(config-nat)# no pool Pool1
  • Odstraňte všechny fondy adres NAT:
sonic(conf-nat)# no pools
 

Konfigurace vazby NAT

  • Vytvoření vazby NAT s fondem adres NAT:
sonic(conf-nat)# binding binding-name pool-name [acl-name] [snat | dnat] [twice_nat_id value]
  • SNAT – Překládá IP adresu zdroje na globální IP adresu ve fondu. SNAT je výchozí nastavení ve vazbě NAT.
  • DNAT – Překládá cílovou IP adresu na globální IP adresu ve fondu.
  • twice_nat_id value – Provede překlad adres na zdrojové i cílové IP adrese pomocí fondu adres pro statické položky se stejnou hodnotou ID.
  • acl-name – Chcete-li omezit IP adresy v globálním fondu adres NAT, můžete použít seznam řízení přístupu (ACL). Příkaz povolení umožňuje IP adresy, které mají atributy nakonfigurované v pravidlu povolení. Příkaz deny zamítá pakety, které mají atributy nakonfigurované v pravidlu odepření. V seznamu přístupů umožňuje položka do_not_nat směrovat pakety namísto překladu.
POZNÁMKA: ACL-NAME je volitelný argument. Pokud není uveden argument ACL-NAME, vazba NAT se vztahuje na veškerý provoz. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# binding Bind1 Pool1 10_ACL_IPV4
DELLSONiC(config-nat)# binding Bind2 Pool2 12_ACL_IPV4 snat twice-nat-id 25
DELLSONiC(config-nat)# binding Bind3 Pool3 15_ACL_IPV4 dnat twice-nat-id 25
  • Odstraňte vazbu na nat:
sonic(conf-nat)# no binding binding-name

DELLSONiC(config-nat)# no binding Bind1
  • Odstraňte všechny vazby NAT:
sonic(conf-nat)# no bindings

 

Konfigurace dynamického časového limitu nat 

Ve výchozím nastavení je časový limit pouze pro dynamické překládání adres po 10 minutách (600 sekund) z důvodu chybějícího aktivního provozu

. U statických položek NAT není časový limit. Chcete-li změnit hodnotu dynamického časového limitu NAT, zadejte novou hodnotu v sekundách (300 až 432000).

  • Změna časového limitu dynamických konfigurací překladu adres:
sonic(conf-nat)# timeout <300..432000>

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# timeout 1200

Lze také upravit vstupní časové limity NAT pro položky L4 UDP a TCP NAT.
Chcete-li změnit časový limit TCP pro překlad adresy, zadejte novou hodnotu časového limitu v sekundách (300 na 432000, výchozí hodnota 86400). Chcete-li změnit časový limit UDP pro překlad adres, zadejte novou hodnotu v sekundách (120 až 600; výchozí hodnota 300).

  • Úprava časového limitu UDP/TCP pro dynamické překládání adres:
sonic(conf-nat)# udp-timeout <120..600>
sonic(conf-nat)# tcp-timeout <300..432000>

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# udp-timeout 600
DELLSONiC(config-nat)# tcp-timeout 66460

 

Příklad dynamického naT 

Níže uvedený příklad ukazuje, že síť A používá směrovač s povolenou technologií NAT. Když hostitel 100.100.100.101 v segmentu LAN odešle provoz do externího cíle (200.200.200.201), je provoz směrován do směrovače NAT směrem k hostiteli 200.200.200.201 z internetu. Směrovač NAT převádí zdrojovou IP adresu (SRC IP) 100.100.100.101 na novou zdrojovou IP adresu 1.1.1.2. Směrovač NAT provádí překlad zdrojové síťové adresy (SNAT), kde je interní soukromá adresa 100.100.100.101 přeložena na externí adresu 1.1.1.2. Směrovač NAT provede překlad cílové síťové adresy (DNAT) pro návratový provoz z hostitele 200.200.200.201 zpět do sítě A na hostitele 100.100.100.101. Ke stejnému překladu adres NAT dochází při komunikaci počítače PC2 s počítačem PC3.

Příklad dynamického naT
Obrázek 2: Příklad překladu dynamických síťových adres

  • Konfigurace zón NAT:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC (config)# interface Vlan 100
DELLSONiC (conf-if-Vlan100)# ip address 100.100.100.1/24
DELLSONiC (conf-if-Vlan100)# nat-zone 0
DELLSONiC (conf-if-Vlan100)# exit
DELLSONiC (config)# interface Vlan 300
DELLSONiC (conf-if-Vlan300)# ip address 300.300.300.1/24
DELLSONiC (conf-if-Vlan300)# nat-zone 0
DELLSONiC (conf-if-Vlan300)# exit
DELLSONiC (config)# interface Eth1/20
DELLSONiC (conf-if-Eth1/20)# ip address 1.1.1.2/30
DELLSONiC (conf-if-Eth1/20)# nat-zone 1
DELLSONiC (conf-if-Eth1/20)# exit
  • Povolení funkce NAT:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# enable
  • Vytvořte fond NAT:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# pool Pool1 1.1.1.2
  • Vytvoření vazby NAT:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# binding Bind1 Pool1
 

Zobrazit konfiguraci NAT 

Tyto příkazy slouží k zobrazení konfigurace a provozu nat a položek tabulky NAT.

  • Zobrazit překladovou tabulku PŘEKLADU:
S5296F-Mid-SPINE# show nat translations
Protocol            Source              Destination         Translated Source   Translated Destination
----------------------------------------------------------------------------------------------------------------------------
all                 10.32.20.3          ----                100.100.100.1       ----
all                 ----                100.100.100.1       ----                10.32.20.3
udp                 ----                10.32.20.2:311      ----                100.100.100.100:63
udp                 100.100.100.100:63  ----                10.32.20.2:311      ----
  • Vymazání položek překladu adres NAT:
DELLSONiC# clear nat translations
  • Zobrazit statistiky překladu překladu adres NAT:
DELLSONiC# show nat statistics
-----------------------------------------------------------------------------
Protocol       Source                        Destination                   Packets             Bytes
-----------------------------------------------------------------------------
udp            100.100.100.100:63            ---                           15522575563164      993444836042496
  • Zobrazení konfigurace NAT a NAT:
DELLSONiC# show nat config static
---------------------------------------------------------------------------------------------------------------------
Nat Type       IP Protocol         Global IP                     Global L4 Port      Local IP                      Local L4 Port       Twice-Nat Id
----------------------------------------------------------------------------------------------------------------------------
dnat           all                 100.100.100.1                 ----                10.32.20.3                    ----                ----
  • Zobrazit fondy NAT:
DELLSONiC# show nat config pool
Pool Name           Global IP Range               Global L4 Port Range
-----------------------------------------------------------------------------
POOL1               100.100.100.2                 1024-6034
POOL2               100.100.100.3-100.100.100.4   ----
  • Zobrazení konfigurace vazby NAT:
DELLSONiC# show nat config bindings
Binding Name  Pool Name      Access-List         Nat Type       Twice-Nat Id
-----------------------------------------------------------------------------
EXT1          POOL1          ----                ----           ---
EXT2          POOL2          NAT_IPS             ----           ---
  • Zobrazení globální konfigurace NAT:
DELLSONiC# show nat config globalvalues
Admin Mode     : enabled
Global Timeout : 600 secs
TCP Timeout    : 86400 secs
UDP Timeout    : 300 secs
  • Zobrazit zóny rozhraní L3:
DELLSONiC# show nat config zones
Port                Zone
-------------------------------------------------
Eth1/1              2
PortChannel12       2
Vlan200             1
Loopback1           1

  • Zobrazit počty překladu překladu adres NAT:

DELLSONiC# show nat translations count
Static NAT Entries        ................. 2
Static NAPT Entries       ................. 0
Dynamic NAT Entries       ................. 0
Dynamic NAPT Entries      ................. 2
Static Twice NAT Entries  ................. 0
Static Twice NAPT Entries ................. 0
Dynamic Twice NAT Entries ................. 0
Dynamic Twice NAPT Entries ................ 0
Total SNAT/SNAPT Entries   ................ 2
Total DNAT/DNAPT Entries   ................ 2
Total Entries    .......................... 4

Dotčené produkty

Enterprise SONiC Distribution, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
Vlastnosti článku
Číslo článku: 000220835
Typ článku: How To
Poslední úprava: 08 úno 2024
Verze:  5
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.