Como configurar o NAT em um Junos SRX
NAT pode traduzir os endereços de maneiras diferentes. Você pode configurar regras para aplicar ao tráfego para ver que tipo de NAT deve ser usado em um caso particular. Você pode configurar o SRX para executar os seguintes serviços NAT:
Menu
Use o endereço IP da interface de saída.
Use um pool de endereços para a tradução.
Normalmente, você não vai incluir os dois primeiros serviços no mesmo SRX, porque são duas coisas completamente diferentes. Então, se você faz um, você não pode fazer o outro ao mesmo tempo. Mas você pode encontrar razões para usar a tradução de saída em uma interface e uma piscina em outra interface.
Configurar Source NAT Usando o Egress interface Endereço
Primeiro, você precisa criar um conjunto de regras chamado Internet de nat com um nome diferente e estabelecer o contexto do tráfego que você está aplicando NAT para. Neste caso, a regra se aplica ao tráfego da admins zona de LAN para qualquer zona não confiável (untrust). Você também pode especificar interfaces ou roteadores virtuais, mas é melhor pensar em tudo no SRX, em termos de zonas.
root # editar fonte de nat de segurança conjunto de regras à Internet de nat [editar fonte de segurança nat conjunto de regras à Internet de nat] root # definir a partir de zona adminsroot # set para a zona untrust
Agora, você configurar a regra real (administradores de acesso) Que coincide com todo o tráfego de LAN indo para qualquer local e aplica-se NAT para os pacotes:
[Editar fonte de nat de segurança de conjunto de regras internet nat-] root # Editar regra administradores de acesso [fonte nat segurança edição de conjunto de regras de Internet de nat regra administradores de acesso] root # conjunto de correspondência fonte endereço 192.168.2.0/24root# definir jogo destino endereço allroot # set interface então source-nat
A última linha define a tradução NAT fonte para a interface de saída. Aqui está o que parece:
[Editar nat de segurança] source {conjunto de regras à Internet de nat {de {zona admins-} para {zona untrust-} regra administradores de acesso {{jogo fonte endereço 192.168.2.0/24-destination-address 0.0.0.0/0 -} {então interface- source-nat}}}Configurar uma fonte NAT piscina tradução
Em muitos casos, o espaço de endereço atribuído a uma interface não é suficiente para cobrir todos os endereços na LAN. Se este for o caso, é melhor estabelecer um pool de endereços que os dispositivos na LAN pode usar quando enviar o tráfego para fora da zona de confiança.
Para reconfigurar o exemplo anterior para usar um pool de endereços IP, em primeiro lugar, é necessário configurar a piscina, public_NAT_range. Aqui, você usar um pequeno grupo de seis endereços:
[Editar fonte de nat de segurança] root # set pool de endereços public_NAT_range 66.129.250.10 para 66.129.250.15
Esta estrutura declaração permite que você altere as piscinas em um só lugar, em vez de todo o conjunto de regras. Você aplica a piscina do então nível da hierarquia do NAT:
[Editar fonte de nat de segurança] root # edição de conjunto de regras à Internet de nat regra administradores de acesso [editar Source NAT segurança de conjunto de regras de Internet de nat regra administradores de acesso] root # definir public_NAT_range piscina, então source-nat
Apenas uma declaração realmente muda, mas que faz toda a diferença:
[Editar nat de segurança] source {conjunto de regras à Internet de nat {de {zona admins-} para {zona untrust-} regra administradores de acesso {{jogo fonte endereço 192.168.2.0/24-destination-address 0.0.0.0/0 -} {então piscina public_NAT_range- source-nat}}}