Wie Ausschließen von Datenverkehr von NAT auf einem Junos SRX
Nachdem Sie entweder die Ausgangsschnittstelle oder den Pool-Methode SRX NAT-Dienste konfiguriert haben, können Sie eine Regel zum Ausschluss bestimmter Datenverkehr aus dem NAT-Prozess erstellen. Diese Konfiguration kann getan werden, um bestimmte Server (wie eine öffentliche Web- oder FTP-Site) ermöglichen, sich auf andere Weise private LAN-Adressraum öffentlichen IP-Adressen haben, aber die Wahl ist wirklich an den Netzwerkadministrator.
Natürlich müssen Sie eine neue Regel. Dieses gilt auch für 192.168.2.2 und heißt NO_translate:
[Bearbeiten Sicherheit nat Quelle Regelsatz Internet-nat] root # set Regel NO_translate
Nun müssen Sie eine Übereinstimmung Regel und Aktion für die neue Regel so NAT deaktivieren können 192.168.2.2, wie hier gezeigt:
[Bearbeiten Sicherheit nat Quelle Regelsatz Internet-nat Regel NO_translate] root # set Spiel Quelle-Adresse 192.168.2.2/32root# setzen dann aus source-nat
Es könnte aussehen wie Sie fertig sind, aber du bist nicht.
Wenn Sie diese Konfiguration begehen, setzt die SRX zu übersetzen 192.168.2.2, obwohl die Regel in Ordnung ist und die SRX sollte es nicht übersetzen.
Hier ist, was passiert ist: Die Reihenfolge der Regeln wird durch die Reihenfolge festgelegt, in dem sie in der CLI konfiguriert sind. Das NO_translate Regel wurde hinzugefügt, nachdem Sie die Grund konfiguriert Administratoren-Zugang Regel, so dass die NO_translate Regel wurde einfach hinzugefügt, nachdem die bestehende Administratoren-Zugang Regel. Leider, denn Administratoren-Zugang entspricht dem gesamten Adressraum LAN (192.168.2.0/24), Wird kein Datenverkehr für die linke NO-übersetzen Regel übereinstimmen!
Dies ist eine gemeinsame Politik Problem mit Junos und ist leicht genug, um zu beheben. Eine Aussage legt die Regel in der richtigen Reihenfolge:
[Bearbeiten Sicherheit nat Quelle Regelsatz Internet-nat] root # Einsatz Regel NO_translate vor Regel Administratoren-Zugang
Immer stellen Sie sicher, Ihre konfigurierten Regeln in der richtigen Reihenfolge sind die Ergebnisse zu erzielen Sie wollen. Da die Anzahl der Regeln wächst, wächst die Möglichkeit eines Fehlers noch schneller.