Opciones de traducción de direcciones de origen Nat en Junos

Los servicios de seguridad no son los únicos servicios suministrados por el SRX (aunque los servicios de seguridad son los más vitales). Puede configurar otros servicios, tales como NAT traducción de direcciones de origen, también. En esencia, NAT únicamente debe estar configurado para ampliar la utilidad de direcciones IP. NAT hace mediante la sustitución de un conjunto de información de dirección encabezado del paquete para otro, de acuerdo a una regla configurada.

Algunos consideran NAT como una especie de servicio de seguridad. Sin embargo, NAT no se piensa como un servicio de seguridad. Sin embargo, también es cierto que disfrazar dirección de origen real del host (y el puerto!) Proporciona una medida de seguridad no está fácilmente disponible a través de otros medios.

De forma predeterminada, los paquetes de rutas SRX que pasan los exámenes de política de seguridad, pero no se traducen las direcciones IP de origen y de destino. Los paquetes que fluyen a través de una sesión de demostrar este punto. Tenga en cuenta que la En y Sale direcciones son sin cambios ya que los paquetes fluyen hacia el destino y la espalda.

root # mostrar sesión de flujo de seguridadID de sesión: 100001790, Nombre de directiva: admins_to_untrust / 4, Tiempo de espera: 1800In: 192.168.2.2/4781 - 209.239.112.126/80-tcp, Si: ge-0/0 / 0.0Out: 209.239.112.126/80 - 192.168.2.2 / 4781-tcp, Si: ge-0/0 / 2.0 ...

Puede configurar NAT para proporcionar este servicio de traducción de direcciones en la SRX con bastante facilidad.

Tres grandes opciones NAT están disponibles en el SRX: origen Destino, y estático. Los dos primeros se traducen las direcciones de origen o destino en base a un conjunto de direcciones, mientras que la última opción mapas estáticamente direcciones de una a otra (por lo que los servidores y las impresoras de red tienen estable, pero oculta, direcciones).

Una vez que decida sobre la opción NAT desea, puede ajustar otras opciones. En concreto, la opción disponible es una elección entre el uso de la traducción de código a la salida de interfaz o la traducción del puerto y la dirección IP (técnicamente, esto es NATP - NAT con puertos - pero la gente NAT frustrantemente tienden a simplemente llame todo NAT).

imagen0.jpg

Tenga en cuenta que, además de la traducción de la dirección IP de origen a la dirección IP en la interfaz de salida ge-0/0/2, el SRX también traduce el puerto de origen. Esta es una forma muy común de NAT que oculta las direcciones IP locales privados y puertos de la Internet pública mundial.

Sin embargo, es necesario recordar que la SRX no está diseñado para diferenciar entre un " # 148 privada; LAN y el " público " Internet. El SRX sabe sólo zonas, y éstos debe estar correctamente configurado para suministrar el servicio NAT esperado.

Además, aunque las reglas NAT pueden parecerse mucho a una política de seguridad, el SRX trata el servicio NAT de manera independiente del servicio de seguridad (las reglas NAT están bajo una separada [nat seguridad editar] jerarquía).

Esta característica permite que las reglas de NAT para ajustarse sin afectar a las políticas de seguridad, pero también requiere una cuidadosa consideración. NAT no tiene nada que ver con si un paquete se aceptada- sólo las políticas de seguridad pueden hacer eso.




» » » » Opciones de traducción de direcciones de origen Nat en Junos