Eins-zu-viele-NAT-Regel (Maskieren)

Geben Sie die folgenden Befehle ein:

set nat source rule 1000 description 'pass traffic to the internet'
set nat source rule 1000 outbound-interface 'bond1'
set nat source rule 1000 protocol 'tcp_udp'
set nat source rule 1000 source address '10.125.49.128/26'
set nat source rule 1000 translation address 'masquerade'
commit

Verbindungsanforderung von Maschinen im 10.xxx.xxx.xxx-Netz werden der IP an bond1 zugeordnet und erhalten einen zugehörigen ephemeren Port, wenn ausgehender Datenverkehr auftritt. Die Absicht ist, Eins-zu-viele-Maskierungsregeln eine höhere Zahl zuzuordnen, damit diese nicht mit niedrigeren NAT-Regeln, über die Sie möglicherweise verfügen, in Konflikt geraten.

Sie müssen den Server so konfigurieren, dass der zugehörige Internetdatenverkehr über die VRA übertragen wird, damit für das zugehörige Standardgateway die private IP-Adresse des verwalteten VLANs (virtuelles LAN) verwendet wird. So lautet zum Beispiel für bond0.2254 das Gateway 10.52.69.201. Dies sollte die Gateway-Adresse für den Server sein, der den Internetdatenverkehr übergibt.

Verwenden Sie den folgenden Befehl, um die NAT-Fehlersuche zu unterstützen:

run show nat source translations detail

1:1-NAT-Regel

Die folgenden Befehle zeigen, wie eine 1:1-NAT-Regel definiert wird. Beachten Sie, dass die Regelnummern niedriger sind als die der Maskierungsregel. Dadurch erhalten die 1:1-Regeln Vorrang vor den Eins-zu-viele-Regeln.

IP-Adressen, die 1:1 zugeordnet werden, können nicht maskiert werden. Wenn Sie eine eingehende IP übersetzen, müssen Sie die entsprechende ausgehende IP übersetzen, damit der Datenverkehr in beide Richtungen erfolgen kann.

Die folgenden Befehle sind für die Quellen- und Zielregel gedacht. Geben Sie im Konfigurationsmodus show nat ein, um die NAT-Regeltypen anzuzeigen.

Verwenden Sie folgenden Befehl, um das Beheben von NAT-Fehlern zu erleichtern: run show nat source translations detail.

Geben Sie die folgenden Befehle ein, nachdem Sie sichergestellt haben, dass Sie sich im Konfigurationsmodus befinden:

set nat source rule 9 outbound-interface 'bond1'
set nat source rule 9 protocol 'all'
set nat source rule 9 source address '10.52.69.202'
set nat source rule 9 translation address '50.97.203.227'
set nat destination rule 9 destination address '50.97.203.227'
set nat destination rule 9 inbound-interface 'bond1'
set nat destination rule 9 protocol 'all'
set nat destination rule 9 translation address '10.52.69.202'
commit

Wenn der Datenverkehr an der IP 50.97.203.227 bei bond1 eintrifft, wird diese IP der IP 10.52.69.202 (in einer beliebigen definierten Schnittstelle) zugeordnet. Ausgehender Verkehr mit der IP 10.52.69.202 (in einer beliebigen definierten Schnittstelle) wird in die IP 50.97.203.227 übersetzt und an der Schnittstelle bond1 als ausgehender Verkehr fortgesetzt.

IP-Adressen, die 1:1 zugeordnet werden, können nicht maskiert werden. Wenn Sie eine eingehende IP übersetzen, müssen Sie dieselbe ausgehende IP übersetzen, damit der Datenverkehr in beide Richtungen erfolgen kann.

IP-Bereiche über Ihre VRA hinzufügen

Abhängig von Ihrer VRA-Konfiguration möchten Sie möglicherweise bestimmte IBM Cloud IP-Adressen akzeptieren.

Neue vRouter-Bereitstellungen werden mit den Servicenetz-IP-Adressen von IBM Cloud geliefert, die in einer Firewallregel mit dem Namen SERVICE-ALLOW definiert sind.

Es folgt ein Beispiel für SERVICE-ALLOW. Dies ist kein vollständiger privater IP-Regelsatz.

set firewall name SERVICE-ALLOW rule 1 action 'accept'
set firewall name SERVICE-ALLOW rule 1 destination address '10.0.64.0/19'
set firewall name SERVICE-ALLOW rule 2 action 'accept'
set firewall name SERVICE-ALLOW rule 2 destination address '10.1.128.0/19'
set firewall name SERVICE-ALLOW rule 3 action 'accept'
set firewall name SERVICE-ALLOW rule 3 destination address '10.0.86.0/24'

Sobald Sie die Firewallregeln definiert haben, können Sie diese an passender Stelle zuordnen. Es sind zwei Beispiele aufgelistet.

Anwendung auf eine Zone:set zone-policy zone private from dmz firewall name SERVICE-ALLOW

Anwendung auf eine bond-Schnittstelle:set interfaces bonding bond0 firewall local name SERVICE-ALLOW