So konfigurieren Sie NAT auf einem Junos SRX
NAT können Adressen auf unterschiedliche Weise zu übersetzen. Sie können Regeln konfigurieren, um Verkehr zu sehen, welche Art von NAT anwenden sollte in einem bestimmten Fall verwendet werden. Sie können die SRX konfigurieren Sie die folgenden NAT-Dienste auszuführen:
Menu
Verwenden Sie die IP-Adresse des Ausgangs-Schnittstelle.
Verwenden Sie einen Pool von Adressen für die Übersetzung.
Normalerweise werden Sie nicht enthalten die ersten beiden Dienste auf demselben SRX, denn sie sind zwei verschiedene Dinge völlig. Also, wenn Sie ein tun, können Sie die anderen in der gleichen Zeit nicht tun. Aber Sie können Gründe finden Egress Übersetzung verwenden, um auf einer Oberfläche und einem Pool auf einer anderen Schnittstelle.
Konfigurieren Source NAT Mit der Egress-Schnittstelle Adresse
Zuerst müssen Sie einen Regelsatz zu erstellen genannt Internet-nat mit einem eigenen Namen und schaffen den Kontext des Verkehrs Sie NAT anwenden möchten. In diesem Fall gilt die Regel für den Verkehr von der admins LAN-Zone zu einer nicht vertrauenswürdigen Zone (untrust). Sie können auch Schnittstellen oder virtuelle Router angeben, aber es ist am besten von allem in Bezug auf die Zonen auf dem SRX zu denken.
root # bearbeiten Sicherheit nat Quelle Regelsatz Internet-nat [bearbeiten Sicherheit nat Quelle Regelsatz Internet-nat] root # gesetzt von Zone adminsroot # set untrust zur Zone
Nun konfigurieren Sie die aktuelle Regel (Administratoren-Zugang), Die alle die LAN-Verkehr geht an einen beliebigen Ort passt und gilt NAT auf die Pakete:
[Bearbeiten Sicherheit nat Quelle Regelsatz Internet-nat] root # Regel bearbeiten Administratoren-Zugang [Bearbeiten Sicherheit nat Quelle Regelsatz Internet-NAT-Regel Administratoren-Zugriff] root # set Spiel Quelle-Adresse 192.168.2.0/24root# Satz-Match Ziel-Adresse eingestellt allroot # dann Source-NAT-Schnittstelle
Die letzte Zeile setzt die NAT-Source-Übersetzung der Egress-Schnittstelle. Hier ist, wie es aussieht:
[Bearbeiten Sicherheit nat] Quelle {Regelsatz Internet-nat {{von Zone admins-} bis {Zone untrust-} Regel Administratoren-Zugang {Spiel {source-Adresse 192.168.2.0/24-destination-address 0.0.0.0/0 -} dann {source-nat interface-}}}Konfigurieren einer Quelle NAT-Übersetzung Pool
In vielen Fällen ist der Adressraum zu einer Schnittstelle zugeordnet nicht ausreichend, um alle die Adressen in dem LAN zu bedecken. Wenn dies der Fall ist, ist es besser, einen Pool von Adressen zu schaffen, die Geräte im LAN nutzen können, wenn sie Verkehr außerhalb der vertrauenswürdigen Zone senden.
Um das vorherige Beispiel rekonfigurieren einen Pool von IP-Adressen zu verwenden, zuerst müssen Sie den Pool zu konfigurieren, public_NAT_range. Hier verwenden Sie einen kleinen Pool von sechs Adressen:
[Bearbeiten Sicherheit nat source] root # set Pool public_NAT_range Adresse 66.129.250.10 auf 66.129.250.15
Diese Aussage Struktur können Sie die Pools an einer Stelle ändern, anstatt alle über die Regelsätze. Sie bewerben sich auf den Pool auf der dann Ebene der NAT-Hierarchie:
[Bearbeiten Sicherheit nat source] root # bearbeiten Regelsatz Internet-NAT-Regel Administratoren-Zugang [Bearbeiten Sicherheit nat Quelle Regelsatz Internet-NAT-Regel Administratoren-Zugriff] root # dann source-nat Pool public_NAT_range gesetzt
Nur eine Aussage wirklich verändert, aber das macht den Unterschied:
[Bearbeiten Sicherheit nat] Quelle {Regelsatz Internet-nat {{von Zone admins-} bis {Zone untrust-} Regel Administratoren-Zugang {Spiel {source-Adresse 192.168.2.0/24-destination-address 0.0.0.0/0 -} dann {source-nat Pool public_NAT_range-}}}