Hvordan konfigurere NAT på Junos SRX

NAT kan oversette adresser på forskjellige måter. Du kan konfigurere regler skal gjelde for trafikk for å se hva slags NAT bør brukes i en bestemt sak. Du kan konfigurere SRX å utføre følgende NAT tjenester:

  • Bruke IP-adressen til den utgående grensesnitt.
  • Bruk en pool av adresser for oversettelse.

Vanligvis vil du ikke inkludere de to første tjenestene på samme SRX, fordi de er to forskjellige ting helt. Så hvis du gjør en, canâ du € ™ t gjør den andre på samme tid. Men du kan finne grunner til å bruke egress oversettelse på ett grensesnitt og et basseng på et annet grensesnitt.

Konfigurere Kilde NAT Bruke Egress Interface Adresse

Først må du opprette en regelsett kalt internett-nat med et særegent navn og etablere sammenheng med trafikken du søker NAT til. I dette tilfellet gjelder regelen for trafikk fra admins LAN sone til enhver klarert sone (untrust). Du kan også angi grensesnitt eller virtuelle rutere, men ita € ™ s best å tenke på alt på SRX i form av soner.

root # redigere sikkerhet nat kilde regelsettet internett-nat
[Rediger sikkerhet nat kilde regelsettet internett-nat]
root # satt fra sone admins
root # satt til sone untrust

Nå, du konfigurere selve regelen (admins-tilgang) som matcher alle LAN trafikk som går til hvilket som helst sted og gjelder NAT til pakkene:

[Rediger sikkerhet nat kilde regelsettet internett-nat]
root # redigere regel admins-tilgang
[rediger sikkerhet nat kilderegel satt internett-nat regel admins-tilgang]
root # satt kamp kilde-adresse 192.168.2.0/24
root # satt kamp reisemålet-adresse alle
root # satt deretter kilde-nat grensesnitt

Den siste linjen setter NAT kilde oversettelse til egress grensesnitt. Hereâ € ™ s hvordan det ser ut:

[Rediger sikkerhet nat]
kilde {
regelsettet internett-nat {
fra {
sone admins;
}
til {
sone untrust;
}
regel admins-tilgang {
kamp {
source-adresse 192.168.2.0/24;
bestemmelses-adresse 0.0.0.0/0;
}
deretter {
source-nat grensesnitt;
}
}
}

Konfigurere en kilde NAT oversettelse basseng

I mange tilfeller er det adresseområdet avsatt til et grensesnitt ikke er tilstrekkelig til å dekke alle adresser i LAN. Hvis dette er tilfelle, er det bedre å etablere en pool av adresser som enhetene på LAN kan bruke når de sender trafikk utenfor klarert sone.

Å rekonfigurere forrige eksempel å bruke en pool av IP-adresser, først må du konfigurere bassenget, public_NAT_range. Her, du bruker et lite basseng på seks adresser:

[Rediger sikkerhet nat kilde]
root # satt basseng public_NAT_range adresse 66.129.250.10 til 66.129.250.15

Denne uttalelsen strukturen lar deg endre bassengene på ett sted, i stedet for alle de regelsett. Du søker bassenget på daværende nivå av NAT hierarki:

[Rediger sikkerhet nat kilde]
root # redigere regelsettet internett-nat regel admins-tilgang
[rediger sikkerhet nat kilderegel satt internett-nat regel admins-tilgang]
root # satt deretter kilde-nat basseng public_NAT_range

Bare ett utsagn virkelig forandrer, men som gjør hele forskjellen:

[Rediger sikkerhet nat]
kilde {
regelsettet internett-nat {
fra {
sone admins;
}
til {
sone untrust;
}
regel admins-tilgang {
kamp {
source-adresse 192.168.2.0/24;
bestemmelses-adresse 0.0.0.0/0;
}
deretter {
source-nat basseng public_NAT_range;
}
}
}