Inhaltsverzeichnis:
- Konfigurieren der Quell-NAT mit der Adresse der Egress-Schnittstelle
- Konfigurieren eines Quell-NAT-Übersetzungspools
Video: SRX Source NAT Learning Byte 2024
NAT Adressen auf verschiedene Arten übersetzen. Sie können Regeln für den Datenverkehr konfigurieren, um zu sehen, welche Art von NAT in einem bestimmten Fall verwendet werden sollte. Sie können das SRX so konfigurieren, dass es die folgenden NAT-Dienste ausführt:
-
Verwenden Sie die IP-Adresse der Ausgangsschnittstelle.
-
Verwenden Sie einen Pool von Adressen für die Übersetzung.
Normalerweise werden Sie die ersten beiden Dienste nicht auf demselben SRX verwenden, da es sich um zwei verschiedene Dinge handelt. Wenn Sie also eins tun, können Sie das andere nicht zur gleichen Zeit tun. Aber Sie finden vielleicht Gründe, die Egress-Übersetzung auf einer Schnittstelle und einen Pool auf einer anderen Schnittstelle zu verwenden.
Konfigurieren der Quell-NAT mit der Adresse der Egress-Schnittstelle
Zunächst müssen Sie einen Regelsatz namens internet-nat mit einem eindeutigen Namen erstellen und den Kontext des Datenverkehrs festlegen, für den Sie NAT anwenden… In diesem Fall gilt die Regel für den Datenverkehr von der LAN-Zone des Administrators zu einer nicht vertrauenswürdigen Zone (nicht vertrauenswürdig). Sie können auch Schnittstellen oder virtuelle Router angeben, aber es ist am besten, sich alles auf dem SRX in Bezug auf Zonen vorzustellen.
Wurzel # Bearbeiten Sicherheit nat Quell-Regel-Set Internet-nat [Bearbeiten Sicherheit nat Quell-Regel-Set Internet-nat] root # gesetzt von Zone Admins root # gesetzt auf Zone Untrust
Jetzt Sie konfigurieren die eigentliche Regel (Admins-Zugriff), die den gesamten LAN-Datenverkehr an einen beliebigen Ort anpasst und NAT auf die Pakete anwendet:
[Bearbeiten von Sicherheit nat source Regelsatz internet-nat] root # edit rule admins-access [edit nat source rule-set internet-nat-Regel admins-access] root # set match Quelladresse 192. 168. 2. 0/24 root # set match ziel-adresse alle root # set dann source-nat interface
Die letzte Zeile setzt die NAT-Quellübersetzung auf die Ausgangsschnittstelle. So sieht es aus:
[edit security nat] source {Regelsatz internet-nat {von {zone admins;} bis {zone untrust;} Regel admins-access {match {Quelladresse 192. 168. 2 0/24; Zieladresse 0. 0. 0/0;} then {Quell-nat-Schnittstelle;}}}
Konfigurieren eines Quell-NAT-Übersetzungspools
In vielen Fällen reicht der einer Schnittstelle zugewiesene Adressraum nicht aus um alle Adressen im LAN abzudecken. Wenn dies der Fall ist, ist es besser, einen Pool von Adressen einzurichten, den Geräte im LAN verwenden können, wenn sie Datenverkehr außerhalb der vertrauenswürdigen Zone senden.
Um das vorherige Beispiel so zu konfigurieren, dass ein Pool von IP-Adressen verwendet wird, müssen Sie zunächst den Pool public_NAT_range konfigurieren. Hier verwenden Sie einen kleinen Pool von sechs Adressen:
[edit security nat source] root # set pool public_NAT_range address 66. 129. 250. 10 bis 66.129. 250. 15
Mit dieser Anweisungsstruktur können Sie die Pools an einer Stelle und nicht über alle Regelsätze hinweg ändern. Sie wenden den Pool auf die damalige Ebene der NAT-Hierarchie an:
[Bearbeiten der Sicherheit nat source] root # Bearbeiten des Regelsatzes internet-nat-Regel admins-access [Bearbeiten der Sicherheit nat source Regelsatz internet-nat rule admins-access] root # set dann source-nat pool public_NAT_range
Nur eine Anweisung ändert sich wirklich, aber das macht den Unterschied:
[edit security nat] source {set-set internet-nat {von {zone admins;} to {zone untrust;} Regel admins-access {match {Quelladresse 192. 168. 2. 0/24; Zieladresse 0. 0. 0. 0/0;} then {Quellennat Pool public_NAT_range;}}}
