Konfigurera NAT på en Junos SRX

April 6

NAT kan översätta adresser på olika sätt. Du kan konfigurera regler att gälla för trafiken för att se vilken typ av NAT ska användas i ett särskilt fall. Du kan konfigurera SRX att utföra följande NAT tjänster:

  • Använd IP-adressen för avstigning gränssnittet.
  • Använd en pool av adresser för översättning.

Vanligtvis kommer du inte inkludera de två första tjänsterna på samma SRX, eftersom de är två olika saker helt. Så om du gör något, canâ du € t gör den andra samtidigt. Men du kan finna skäl att använda avstigning översättning på ett gränssnitt och en pool på ett annat gränssnitt.

Konfigurera Source NAT Använda Egress Interface Adress

Först måste du skapa en regeluppsättning som kallas Internet-nat med ett visst namn och etablera samband med trafiken du söker NAT till. I detta fall gäller regeln att trafik från admins LAN zonen till någon opålitlig zon (untrust). Du kan även ange gränssnitt eller virtuella routrar, men itâ € s bäst att tänka på allt på SRX i zoner.

root # edit säkerhet nat källregel inställd internet-nat
[Redigera säkerhets nat källregel inställd internet-nat]
root # in från zon admins
root # inställd till zon untrust

Nu, du konfigurera själva regeln (admins-åtkomst) som matchar alla LAN-trafik som går till valfri plats och gäller NAT till paketen:

[Redigera säkerhets nat källregel inställd internet-nat]
root # edit regel admins-åtkomst
[redigera säkerhets nat källregel inställd internet nat regel admins-access]
root # inställd match source-adress 192.168.2.0/24
root # inställd match destination-adress alla
root # satte sedan source-nat gränssnitt

Den sista raden anger NAT käll översättningen till avstigning gränssnittet. Herea € s hur det ser ut:

[Redigera säkerhets nat]
källa {
regel-set internet-nat {
från {
zon administratörer;
}
till {
zon untrust;
}
regel admins-åtkomst {
match {
källa-adress 192.168.2.0/24;
destination-adress 0.0.0.0/0;
}
sedan {
source-nat gränssnitt;
}
}
}

Konfigurera en källa NAT översättnings pool

I många fall är det adressutrymme som tilldelats ett gränssnitt inte räcker för att täcka alla adresser i LAN. Om så är fallet, är det bättre att skapa en pool av adresser som enheter på LAN kan använda när de skickar trafik utanför den tillförlitliga zonen.

För att konfigurera föregående exempel att använda en pool av IP-adresser, först måste du konfigurera poolen, public_NAT_range. Här, du använder en liten pool på sex adresser:

[Redigera säkerhets nat källa]
root # inställd pool public_NAT_range adress 66.129.250.10 till 66.129.250.15

Detta uttalande struktur låter dig ändra poolerna på ett ställe, i stället för att hela regeluppsättningar. Du ansöker poolen vid dåvarande nivån NAT hierarki:

[Redigera säkerhets nat källa]
root # edit regel inställd internet-nat regel admins-åtkomst
[redigera säkerhets nat källregel inställd internet nat regel admins-access]
root # satte sedan source-nat pool public_NAT_range

Endast en uttalande egentligen förändras, men det gör hela skillnaden:

[Redigera säkerhets nat]
källa {
regel-set internet-nat {
från {
zon administratörer;
}
till {
zon untrust;
}
regel admins-åtkomst {
match {
källa-adress 192.168.2.0/24;
destination-adress 0.0.0.0/0;
}
sedan {
source-nat pool public_NAT_range;
}
}
}