ESR-1000 static NAT

[tabolkin]

Добрый день!

Как настраивается статический NAT сеть-в-сеть на ESR-1000?

Пример с оборудования Cisco

Код: Выделить всё

ip nat inside source static network 10.0.0.0 192.168.0.0 /29 vrf Test

Код: Выделить всё

esr-1000# show ver
SW version:
  1.1.0 build 47[94d5c3b] (date 29/11/2016 time 19:14:08)
HW version:
  1v7


Настроил souce NAT сеть-в сеть

Код: Выделить всё

nat source
  ruleset test1
    ip vrf forwarding Test1
    to interface gigabitethernet 1/0/4
    rule 10
      match protocol any
      match source-address Test1
      match destination-address any
      action source-nat netmap 10.10.11.0/24
      enable
    exit
  exit
exit


Код: Выделить всё

esr-1000# show object-group network Test1
IP Addresses
------------------------------------------------------------
192.168.11.0/24


соответственно работает NAT только в одну сторону

[leonid_zarkov]

Добрый день.

Просьба уточнить, что означает работает в одну сторону? Нет обратной трансляции для NAT сессий?
Трансляции можно посмотерть командой:

Код: Выделить всё

esr-1000# sh ip nat translations


Или Вам все же необходимо дополнительно натить входящие сессии (destination) - DNAT (nat destination)?
Пример конфигурации есть в руководстве пользователя - раздел 7.6 Конфигурирование Destination NAT

[tabolkin]

Добрый день.

Просьба уточнить, что означает работает в одну сторону? Нет обратной трансляции для NAT сессий?
Трансляции можно посмотерть командой:

Код: Выделить всё

esr-1000# sh ip nat translations


Или Вам все же необходимо дополнительно натить входящие сессии (destination) - DNAT (nat destination)?
Пример конфигурации есть в руководстве пользователя - раздел 7.6 Конфигурирование Destination NAT

Требуется натить и входящие и исходящие сеть-в-сеть.
У Cisco это реализуется одной командой указанной ранее.

на ESR-1000 такой нат требует использования SNAT+DNAT?

На ESR-1000

Код: Выделить всё

object-group network Net1VNO
  ip prefix 10.10.11.0/29
exit

object-group network Net1SubVNO
  ip prefix 172.16.0.0/29
exit

nat destination
  ruleset Test1
    ip vrf forwarding Test1
    from interface gigabitethernet 1/0/1.555
    rule 1
      match destination-address Net1SubVNO
      action destination-nat netmap 10.10.11.0/29
      enable
    exit
  exit
exit

nat source
  ruleset test1
    ip vrf forwarding Test1
    to interface gigabitethernet 1/0/1.555
    rule 10
      match source-address Net1VNO
      action source-nat netmap 172.16.0.0/29
      enable
    exit
  exit
exit

На CISCO

Код: Выделить всё

ip nat inside source static network 10.10.11.0 172.16.0.0 /29 vrf Test1

Если таких правил 400+ очень неудобно.

Будет ли оптимизация/доработка для STATIC nat?

[leonid_zarkov]

на ESR-1000 такой нат требует использования SNAT+DNAT?

В вашем случае - да, требуется SNAT+DNAT.

Будет ли оптимизация/доработка для STATIC nat?

Разработка дополнительного функционала для NAT не запланирована.
Вам требуется организовать 400 записей трансляций в разные подсети (т.е. нет возможности объединить правила через object-group)?

[tabolkin]

на ESR-1000 такой нат требует использования SNAT+DNAT?

В вашем случае - да, требуется SNAT+DNAT.

Будет ли оптимизация/доработка для STATIC nat?

Разработка дополнительного функционала для NAT не запланирована.
Вам требуется организовать 400 записей трансляций в разные подсети (т.е. нет возможности объединить правила через object-group)?

у нас более 400 сетей с разных диапазонов с обоих сторон маршрутизатора. Просуммировать ни одну ни другую сеть нельзя.
Поэтому хочется видеть более короткую реализацию для таких случаев.

[leonid_zarkov]

В ближайших версиях ПО доработка команд для NAT не запланирована.

[tabolkin]

Спасибо за ответы.

[medvedev80]

Статик NAT - это очень нужна тема, особенно для операторов связи (основной ваш потребитель). Полагаю, изменить синтаксис ввода команды в интерпретаторе не так сложно, главное что бы в одну строку и с поддержкой VRF.

Реализуйте пожалуйста!

[Steam]

"на ESR-1000 такой нат требует использования SNAT+DNAT?"
Реализация SNAT+DNAT в рамках одного правила находится на рассмотрении в отделе раработки