Как настроить NAT в программе Junos SRX

Как настроить NAT на Junx SRX - манекены

NAT может переводить адреса по-разному. Вы можете настроить правила для применения к трафику, чтобы узнать, какой тип NAT должен использоваться в конкретном случае. Вы можете настроить SRX для выполнения следующих служб NAT:

  • Использовать IP-адрес выходного интерфейса.

  • Используйте пул адресов для перевода.

Обычно вы не включаете первые две службы в один и тот же SRX, потому что они полностью разные. Поэтому, если вы это сделаете, вы не сможете сделать другого одновременно. Но вы можете найти причины для использования перевода на одном интерфейсе и пула на другом интерфейсе.

Настройка источника NAT с помощью адреса интерфейса выхода

Во-первых, вам необходимо создать набор правил, называемый internet-nat с отличительным именем, и установить контекст трафика, который вы применяете NAT для , В этом случае правило применяется к трафику из зоны LAN админов в любую ненадежную зону (недоверчивая). Вы также можете указать интерфейсы или виртуальные маршрутизаторы, но лучше всего подумать обо всем на SRX с точки зрения зон.

 root # edit security nat source rule-set internet-nat [edit security nat source rule-set internet-nat] root # set from zone admins root # set to zone untrust 

Теперь, вы настраиваете фактическое правило (админы-доступ), которое соответствует всему трафику локальной сети, идущему в любое место, и применяет NAT к пакетам:

 [edit security nat source rule-set internet-nat] root # edit rule admins-access [ edit security nat source rule-set internet-nat rule admins-access] root # set match source-address 192. 168. 2. 0/24 root # set match destination-address all root # set then source-nat interface 

Последняя строка устанавливает перевод источника NAT в выходной интерфейс. Вот как это выглядит:

 [edit security nat] source {rule-set internet-nat {from {zone admins;} в {zone untrust;} rule admins-access {match {source-address 192. 168. 2 0/24; address-address 0. 0. 0. 0/0;} then {source-nat interface;}}} 

Настройка исходного пула трансляции NAT

Во многих случаях адресное пространство, выделенное интерфейсу, недостаточно для охвата всех адресов в локальной сети. Если это так, лучше создать пул адресов, которые устройства в локальной сети могут использовать, когда они отправляют трафик за пределами доверенной зоны.

Чтобы перенастроить предыдущий пример для использования пула IP-адресов, сначала необходимо настроить пул public_NAT_range. Здесь вы используете небольшой пул из шести адресов:

 [edit security nat source] root # set pool public_NAT_range адрес 66. 129. 250. от 10 до 66.129. 250. 15 

Эта структура операторов позволяет вам изменять пулы в одном месте, а не во всех наборах правил. Вы применяете пул на уровне иерархии NAT:

 [edit security nat source] root # edit rule-set internet-nat rule admins-access [edit security nat source rule-set internet-nat rule admins-access ] root # set then source-nat pool public_NAT_range 

Только один оператор действительно изменяется, но это имеет значение:

 [edit security nat] source {rule-set internet-nat {from {zone admins;} to {zone untrust;} rule admins-access {match {source-address 192. 168. 2. 0/24; destination-address 0. 0. 0. 0/0;} then {source-nat pool public_NAT_range;}}}