Como configurar nat em um srx junos
NAT pode traduzir endereços de diferentes maneiras. Você pode configurar regras para aplicar ao tráfego para ver que tipo de NAT deve ser usado em um caso particular. Você pode configurar o SRX para executar os seguintes serviços NAT:
Conteúdo
Use o endereço IP da interface de saída.
Use um pool de endereços para a tradução.
Normalmente, você não vai incluir os dois primeiros serviços no mesmo SRX, porque são duas coisas completamente diferentes. Então, se você faz um, você não pode fazer o outro ao mesmo tempo. Mas você pode encontrar razões para usar a tradução de saída em uma interface e uma piscina em outra interface.
Configurar Source NAT Usando o Egress interface Endereço
Primeiro, você precisa criar um conjunto de regras chamado Internet de nat com um nome diferente e estabelecer o contexto do tráfego que você está aplicando NAT para. Neste caso, a regra se aplica ao tráfego da admins zona de LAN para qualquer zona não confiável (untrust). Você também pode especificar interfaces ou roteadores virtuais, mas é melhor pensar em tudo no SRX, em termos de zonas.
Video: Juniper SRX GNS3 Source NAT, Destination NAT, Security Zones & Policies
root # editar fonte nat de segurança conjunto de regras internet-nat [fonte editar segurança nat conjunto de regras internet-nat] root # definir a partir de zona adminsroot # set para a zona untrust
Agora, você configurar a regra real (admins de acesso) Que coincide com todo o tráfego LAN indo para qualquer local e aplica NAT para os pacotes:
[Editar fonte nat segurança de conjunto de regras internet nat-] root # Editar regra administradores de acesso [fonte nat segurança editar conjunto de regras de Internet de nat regra administradores de acesso] root # set jogo fonte endereço 192.168.2.0/24root# definir jogo destino endereço allroot # set interface então source-nat
A última linha define a tradução NAT fonte para a interface de saída. Aqui está o que parece:
[Editar nat segurança] fonte {conjunto de regras internet-nat {de {zona admins-} para {zona untrust-} regra administradores de acesso {{jogo fonte endereço 192.168.2.0/24-destination-address 0.0.0.0/0 -} depois {interface- fonte-nat}}}Configurar uma fonte NAT piscina tradução
Em muitos casos, o espaço de endereço alocado para uma interface não é suficiente para cobrir todos os endereços na LAN. Se este for o caso, é melhor estabelecer um pool de endereços que os dispositivos na LAN pode usar quando enviar o tráfego fora da zona de confiança.
Para reconfigurar o exemplo anterior para usar um pool de endereços IP, em primeiro lugar, você deve configurar a piscina, public_NAT_range. Aqui, você usa uma pequena piscina de seis endereços:
[Editar fonte nat segurança] root # set pool de endereços public_NAT_range 66.129.250.10 para 66.129.250.15
Esta estrutura declaração permite que você altere as piscinas em um só lugar, em vez de todo o conjunto de regras. Você aplica a piscina do então nível da hierarquia NAT:
Video: Juniper SRX Upgrade Junos
[Editar fonte nat segurança] root # edição de conjunto de regras internet-nat regra administradores de acesso [editar Source NAT segurança de conjunto de regras de Internet de nat regra administradores de acesso] root # definir public_NAT_range piscina, então, fonte-nat
Apenas uma declaração realmente muda, mas que faz toda a diferença:
[Editar nat segurança] fonte {conjunto de regras internet-nat {de {zona admins-} para {zona untrust-} regra administradores de acesso {{jogo fonte endereço 192.168.2.0/24-destination-address 0.0.0.0/0 -} depois {piscina public_NAT_range- fonte-nat}}}