Cách Định cấu hình NAT trên Junos SRX - núm vú

NAT có thể dịch các địa chỉ bằng nhiều cách khác nhau. Bạn có thể cấu hình các quy tắc để áp dụng cho lưu lượng truy cập để xem loại NAT nào nên được sử dụng trong một trường hợp cụ thể. Bạn có thể cấu hình SRX để thực hiện các dịch vụ NAT sau:

• Sử dụng địa chỉ IP của giao diện nguồn.

• Sử dụng một nhóm địa chỉ để dịch.

Thông thường, bạn sẽ không bao gồm hai dịch vụ đầu tiên trên cùng một SRX, bởi vì chúng hoàn toàn là hai việc hoàn toàn khác nhau. Vì vậy, nếu bạn làm một, bạn không thể làm khác ở cùng một thời điểm. Nhưng bạn có thể tìm thấy lý do để sử dụng dịch vụ chuyển đổi sang một giao diện và một hồ bơi trên một giao diện khác.

Bây giờ, bạn cấu hình các quy tắc thực tế (admins-access) phù hợp với tất cả các lưu lượng mạng LAN đi đến bất kỳ vị trí nào và áp dụng NAT cho các gói tin:

[sửa đổi an ninh nat source rule-set internet-nat] root # edit rule admins-access [chỉnh sửa an ninh nat source rule-set internet-nat rule admins-access] root # set match source-address 192. 168. 2. 0/24 root # set match destination-address tất cả root # thiết lập sau đó giao diện nguồn-nat

Dòng cuối cùng thiết lập bản dịch nguồn NAT cho giao diện lấy ra. Dưới đây là những gì có vẻ như:

[sửa đổi bảo mật nat] source {rule-set internet-nat {từ {zone admins;} đến {zone untrust;} rule admins-access {match {source-address 192. 168. 168 0/24; địa chỉ đích 0. 0. 0. 0/0; sau đó giao diện source-nat;}}}

Cấu hình một nguồn NAT dịch chuyển hồ bơi

Trong nhiều trường hợp, không gian địa chỉ được phân bổ cho một giao diện là không đủ để bao gồm tất cả các địa chỉ trong mạng LAN. Nếu đúng như vậy, bạn nên thiết lập một nhóm các địa chỉ mà các thiết bị trong mạng LAN có thể sử dụng khi họ gửi lưu lượng truy cập bên ngoài vùng tin cậy.

Để cấu hình lại ví dụ trước để sử dụng một nhóm các địa chỉ IP, trước tiên, bạn phải cấu hình pool, public_NAT_range. Ở đây, bạn sử dụng một nhóm nhỏ gồm sáu địa chỉ:

[edit nat nat nguồn] root # set pool địa chỉ public_NAT_range 66. 129. 250. 10 đến 66.129. 250. 15

Cấu trúc câu lệnh này cho phép bạn thay đổi các pool ở một nơi, thay vì tất cả các rule rule. Bạn áp dụng các hồ bơi ở cấp độ sau đó của hệ thống phân cấp NAT:

[chỉnh sửa nguồn an ninh nat] root # chỉnh sửa quy tắc-thiết lập internet-nat rule admins-access [chỉnh sửa an ninh nguyên tắc nguồn nat-internet-nat nguyên tắc quản trị viên truy cập] root # set sau đó source-nat pool public_NAT_range

Chỉ có một câu lệnh thực sự thay đổi, nhưng điều đó tạo nên sự khác biệt:

[sửa đổi bảo mật nat] source {rule-set internet-nat {từ {zone admins; {zone untrust;} rule admins-access {match {source-address 192. 168. 2. 0/24; địa chỉ đích 0. 0. 0. 0/0;} sau đó {source-nat pool public_NAT_range;}}}