Inhoudsopgave:
- Bron-NAT configureren met behulp van het Egress Interface-adres
- Een bron configureren NAT-vertaalpool
Video: HP Switch - Initial IP Configuration (JE009A) 2024
adressen op verschillende manieren vertalen. U kunt regels configureren die van toepassing zijn op verkeer om te zien welk type NAT in een bepaald geval moet worden gebruikt. U kunt de SRX configureren om de volgende NAT-services uit te voeren:
-
Gebruik het IP-adres van de egress-interface.
-
Gebruik een pool met adressen voor vertaling.
Meestal neemt u de eerste twee services niet op dezelfde SRX op, omdat het twee verschillende dingen zijn. Dus als je er een doet, kun je de ander niet tegelijkertijd doen. Maar u kunt redenen vinden om vertaling op één interface en een pool op een andere interface te gebruiken.
Bron-NAT configureren met behulp van het Egress Interface-adres
Eerst moet u een regelset met de naam internet-nat met een onderscheidende naam maken en de context bepalen van het verkeer dat u NAT toepast.. In dit geval is de regel van toepassing op verkeer van de LAN-zone van de beheerder naar een niet-vertrouwde zone (niet vertrouwen). U kunt ook interfaces of virtuele routers opgeven, maar u kunt het beste alles op de SRX in termen van zones bekijken.
root # edit security nat source rule-set internet-nat [edit security nat source rule-set internet-nat] root # set from zone admins root # ingesteld op zone untrust
Nu, u configureert de eigenlijke regel (admins-toegang) die overeenkomt met al het LAN-verkeer dat naar een willekeurige locatie gaat en past NAT toe op de pakketten:
[bewerk veiligheid nat bron regel-stel internet-nat] root # wijzig regel admins-toegang [edit security nat source regel-set internet-nat regel admins-toegang] root # stel match bron-adres 192 in. 168. 2. 0/24 root # set match destination-address all root # set then source-nat interface
De laatste regel stelt de NAT-bronvertaling in op de uitgangsinterface. Hier is hoe het eruit ziet:
[beveiligingsbron bewerken] bron {rule-set internet-nat {from {zone admins;} to {zone untrust;} rule admins-access {match {source-address 192. 168. 2. 0/24; bestemmingsadres 0. 0. 0. 0/0;} vervolgens {source-nat interface;}}}
Een bron configureren NAT-vertaalpool
In veel gevallen is de adresruimte die is toegewezen aan een interface niet voldoende om alle adressen in het LAN te dekken. Als dit het geval is, is het beter om een pool met adressen te maken die apparaten op het LAN kunnen gebruiken wanneer ze verkeer buiten de vertrouwde zone verzenden.
Om het vorige voorbeeld opnieuw te configureren om een pool met IP-adressen te gebruiken, moet u eerst de pool, public_NAT_range configureren. Hier gebruikt u een kleine verzameling van zes adressen:
[beveiligingsbron bewerken bron] root # set pool public_NAT_range address 66. 129. 250. 10 tot 66.129. 250. 15
Met deze instructiestructuur kunt u de pools op één plaats wijzigen in plaats van overal in de regelsets. U past de pool toe op het toenmalige niveau van de NAT-hiërarchie:
[edit security nat source] root # edit rule-set internet-nat rule admins-access [edit security nat source rule-set internet-nat rule admins-access] root # set then source-nat pool public_NAT_range
Er is maar één statement echt veranderd, maar dat maakt het verschil:
[beveiligingsbron bewerken] bron {rule-set internet-nat {from {zone admins;} naar {zone untrust;} regel admins-toegang {match {source-address 192. 168. 2. 0/24; bestemmingsadres 0. 0. 0. 0/0;} vervolgens {source-nat pool public_NAT_range;}}}