Cómo configurar nat en una srx Junos
NAT puede traducir direcciones de diferentes maneras. Puede configurar reglas para aplicar al tráfico para ver qué tipo de NAT se debe utilizar en un caso particular. Puede configurar el SRX para realizar los siguientes servicios NAT:
Conteúdo
Utilice la dirección IP de la interfaz de salida.
Utilice un conjunto de direcciones de traducción.
Por lo general, no se incluyen los dos primeros servicios en el mismo SRX, porque son dos cosas diferentes por completo. Así que si lo hace uno, no se puede hacer la otra al mismo tiempo. Pero usted puede encontrar razones para utilizar la traducción de salida en una interfaz y una piscina en la otra interfaz.
Configure Source NAT Utilizando la Dirección interfaz de salida
En primer lugar, es necesario crear un conjunto de reglas llamado Internet-nat con un nombre distintivo y establecer el contexto del tráfico va a aplicar NAT. En este caso, la regla se aplica al tráfico de la administradores Zona de LAN a cualquier zona que no se confía (untrust). También puede especificar las interfaces o routers virtuales, pero lo mejor es pensar en todo en el SRX en términos de zonas.
root # editar fuente nat seguridad conjunto de reglas-internet nat [fuente nat seguridad editar conjunto de reglas internet-nat] root # fijar de adminsroot zona # en la zona Untrust
Ahora, configure la regla real (los administradores de acceso) Que coincide con todo el tráfico LAN de ir a cualquier lugar y se aplica NAT a los paquetes:
[editar fuente nat seguridad de Internet-nat conjunto de reglas] regla root # editar los administradores de acceso [editar Source NAT seguridad de Internet nat reglas conjunto de reglas administradores de acceso] root # conjunto partido fuente dirección 192.168.2.0/24root# establece partido destino dirección allroot # establece interfaz entonces fuente-nat
La última línea establece la traducción NAT fuente de la interfaz de salida. Esto es lo que parece:
[editar nat seguridad] fuente {conjunto de reglas internet-nat {de {admins- zona} a {zona untrust-} regla administradores acceso {match {fuente-dirección 192.168.2.0/24-destination-address 0.0.0.0/0 -} entonces {interface- de código nat}}}Configurar un NAT piscina traducción fuente
En muchos casos, el espacio de direcciones asignado a una interfaz no es suficiente para cubrir todas las direcciones de la LAN. Si este es el caso, es mejor establecer un conjunto de direcciones que los dispositivos de la LAN pueden utilizar cuando envían el tráfico fuera de la zona de confianza.
Para volver a configurar el ejemplo anterior de utilizar un conjunto de direcciones IP, primero, debe configurar la piscina, public_NAT_range. En este caso, se utiliza un pequeño grupo de seis direcciones:
[editar fuente nat seguridad] root # piscina conjunto de direcciones public_NAT_range 66.129.250.10 a 66.129.250.15
Esta estructura declaración le permite cambiar las piscinas en un solo lugar, en vez de todo los conjuntos de reglas. Aplica la piscina en el después nivel de la jerarquía de NAT:
[editar fuente nat seguridad] root # editar conjunto de reglas-internet nat regla administradores de acceso [editar Source NAT seguridad de Internet nat reglas conjunto de reglas administradores de acceso] root # establece entonces la fuente-nat pool public_NAT_range
Sólo una declaración realmente cambia, pero eso hace toda la diferencia:
[editar nat seguridad] fuente {conjunto de reglas internet-nat {de {admins- zona} a {zona untrust-} regla administradores acceso {match {fuente-dirección 192.168.2.0/24-destination-address 0.0.0.0/0 -} entonces {source nat pool public_NAT_range-}}}-
Configure las interfaces de gestión y de bucle - Ssh control y el acceso telnet a los routers Junos
- Cómo acceder a los dispositivos Junos con telnet
- Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios SRX
- Cómo configurar las libretas de direcciones de puerta de enlace de servicios SRX
- Cómo configurar múltiples VLAN en conmutadores de Junos
Cómo configurar zonas de seguridad SRX con Junos No se puede gestionar la puerta de enlace de servicios SRX como lo haría un router. El SRX es un dispositivo de bloqueo. Ni siquiera se puede hacer ping a una interfaz en el SRX inicialmente, incluso si no tiene una dirección IP válida. El SRX…
Cómo excluir el tráfico procedente de nat en una srx Junos Después de haber configurado los servicios NAT SRX utilizando la interfaz de salida o el método de la piscina, se puede crear una regla para excluir cierta tráfico desde el proceso de NAT. Esta configuración se puede hacer para permitir que…
Cómo gestionar múltiples políticas de seguridad en la puerta de enlace de servicios SRX Si el SRX sólo pudo asignar interfaces a zonas y permitir ciertos servicios dentro y fuera, no habría mucho a ella. Pero el SRX es mucho más potente. Después de tener zonas e interfaces creados, puede aprovechar el poder real de la SRX: las…
Cómo hacer coincidir el tráfico en función utilizando clasificadores multicampo en Junos Multicampo (MF) clasificadores examinar la cabecera del paquete y en base a los contenidos del mismo, asignar el paquete a una clase de reenvío. A diferencia agregada comportamiento (BA) clasificadores, clasificadores MF examinan más que sólo los…
Cómo proteger a los Junos motor de enrutamiento Aunque todas las interfaces son importantes, el bucle de retorno (lo0) Interfaz es tal vez el más importante porque es el vínculo con el motor de enrutamiento, que se ejecuta y supervisa todos los protocolos de enrutamiento. Este artículo…
¿Cómo asegurar los protocolos de enrutamiento Junos Una forma de proteger a los protocolos de enrutamiento es permitir la autenticación de modo que los protocolos de aceptar el tráfico sólo desde routers conocidos por usted. Este enfoque garantiza que los routers de confianza solamente contribuyen…
Cómo establecer valores DSCP para el tránsito en enrutadores Junos Si los valores de código de servicio diferenciado Point (DSCP) no están ajustadas correctamente al entrar en su red, debe ser capaz de establecer de modo que el resto de su comportamiento agregado (BA) clasificadores dentro de su red funcionará…
Cómo configurar la administración remota en banda en dispositivos Junos Para la gestión remota en banda, primero debe decidir qué interfaz que desea como su interfaz de gestión. En general, el tráfico de administración no es excesivo, o incluso sustancial, así que escoger cualquiera de las interfaces más lentas…
Configuración de seguridad predeterminada Junos Junos OS tiene una serie de comportamientos predeterminados que contribuyen al router de seguridad, los comportamientos que tienen efecto inmediato una vez que se realice la configuración inicial del router.Acceso Router: Por defecto, la única…
Opciones de traducción de direcciones de origen Nat en Junos Los servicios de seguridad no son los únicos servicios suministrados por el SRX (aunque los servicios de seguridad son los más vitales). Puede configurar otros servicios, tales como NAT traducción de direcciones de origen, también. En esencia,…
Asegurar redes con listas de control de acceso (ACL) El uso de una lista de control de acceso (ACL) es una manera de que los administradores de red pueden asegurar las redes. Una ACL tiene una lista de entradas, que se llaman entradas de control de acceso (ACE). El acceso y la seguridad de que un…
Configuración de la traducción de direcciones de red (NAT) Traducción de Direcciones de Red (NAT) es muy fácil de configurar. Estos ejemplos utilizan la siguiente ilustración. En este ejemplo se configura NAT en el router, pero implementa un mapeo dinámico de uno a uno. Esto permite la asignación…