Cómo configurar nat en una srx Junos
NAT puede traducir direcciones de diferentes maneras. Puede configurar reglas para aplicar al tráfico para ver qué tipo de NAT se debe utilizar en un caso particular. Puede configurar el SRX para realizar los siguientes servicios NAT:
Conteúdo
Utilice la dirección IP de la interfaz de salida.
Utilice un conjunto de direcciones de traducción.
Por lo general, no se incluyen los dos primeros servicios en el mismo SRX, porque son dos cosas diferentes por completo. Así que si lo hace uno, no se puede hacer la otra al mismo tiempo. Pero usted puede encontrar razones para utilizar la traducción de salida en una interfaz y una piscina en la otra interfaz.
Configure Source NAT Utilizando la Dirección interfaz de salida
En primer lugar, es necesario crear un conjunto de reglas llamado Internet-nat con un nombre distintivo y establecer el contexto del tráfico va a aplicar NAT. En este caso, la regla se aplica al tráfico de la administradores Zona de LAN a cualquier zona que no se confía (untrust). También puede especificar las interfaces o routers virtuales, pero lo mejor es pensar en todo en el SRX en términos de zonas.
root # editar fuente nat seguridad conjunto de reglas-internet nat [fuente nat seguridad editar conjunto de reglas internet-nat] root # fijar de adminsroot zona # en la zona Untrust
Ahora, configure la regla real (los administradores de acceso) Que coincide con todo el tráfico LAN de ir a cualquier lugar y se aplica NAT a los paquetes:
[editar fuente nat seguridad de Internet-nat conjunto de reglas] regla root # editar los administradores de acceso [editar Source NAT seguridad de Internet nat reglas conjunto de reglas administradores de acceso] root # conjunto partido fuente dirección 192.168.2.0/24root# establece partido destino dirección allroot # establece interfaz entonces fuente-nat
La última línea establece la traducción NAT fuente de la interfaz de salida. Esto es lo que parece:
[editar nat seguridad] fuente {conjunto de reglas internet-nat {de {admins- zona} a {zona untrust-} regla administradores acceso {match {fuente-dirección 192.168.2.0/24-destination-address 0.0.0.0/0 -} entonces {interface- de código nat}}}
Configurar un NAT piscina traducción fuente
En muchos casos, el espacio de direcciones asignado a una interfaz no es suficiente para cubrir todas las direcciones de la LAN. Si este es el caso, es mejor establecer un conjunto de direcciones que los dispositivos de la LAN pueden utilizar cuando envían el tráfico fuera de la zona de confianza.
Para volver a configurar el ejemplo anterior de utilizar un conjunto de direcciones IP, primero, debe configurar la piscina, public_NAT_range. En este caso, se utiliza un pequeño grupo de seis direcciones:
[editar fuente nat seguridad] root # piscina conjunto de direcciones public_NAT_range 66.129.250.10 a 66.129.250.15
Esta estructura declaración le permite cambiar las piscinas en un solo lugar, en vez de todo los conjuntos de reglas. Aplica la piscina en el después nivel de la jerarquía de NAT:
[editar fuente nat seguridad] root # editar conjunto de reglas-internet nat regla administradores de acceso [editar Source NAT seguridad de Internet nat reglas conjunto de reglas administradores de acceso] root # establece entonces la fuente-nat pool public_NAT_range
Sólo una declaración realmente cambia, pero eso hace toda la diferencia:
[editar nat seguridad] fuente {conjunto de reglas internet-nat {de {admins- zona} a {zona untrust-} regla administradores acceso {match {fuente-dirección 192.168.2.0/24-destination-address 0.0.0.0/0 -} entonces {source nat pool public_NAT_range-}}}