NAT Bronadres Vertaalopties in Junos - dummies

Beveiligingsdiensten zijn niet de enige services die door de SRX worden geleverd (hoewel beveiligingsdiensten het meest essentieel zijn). U kunt ook andere services configureren, zoals NAT-bronadresvertaling. In essentie moet NAT alleen worden geconfigureerd om het nut van IP-adressen uit te breiden. NAT doet dit door een reeks adresgegevens van pakkethoofden te vervangen door een ander, volgens een geconfigureerde regel.

Sommigen beschouwen NAT als een soort beveiligingsdienst. NAT is echter niet bedoeld als beveiligingsservice. Het is echter ook waar dat het verbergen van het echte bronadres (en de poort!) Van de host een mate van beveiliging biedt die niet op andere manieren beschikbaar is.

Standaard routeert de SRX pakketten die de beveiligingsbeleidtests doorstaan, maar deze vertaalt de bron- en doel-IP-adressen niet. De pakketten die door een sessie stromen, demonstreren dit punt. Merk op dat de In en Out-adressen ongewijzigd blijven terwijl de pakketten naar de bestemming en terug stromen.

root # toont beveiligingsstroom sessie Sessie-ID: 100001790, Beleidsnaam: admins_to_untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, If: ge-0/0/0. 0 Out: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, als: ge-0/0/2. 0 …

U kunt NAT zo configureren dat deze adresvertalingsservice op de SRX wordt aangeboden.

Drie belangrijke NAT-opties zijn beschikbaar op de statische SRX: bron, bestemming, en . De eerste twee vertalen de bron- of bestemmingsadressen op basis van een pool met adressen, terwijl de laatste optie statische adressen van de ene naar de andere toewijst (zodat de servers en netwerkprinters stabiele, maar verborgen adressen hebben).

Nadat u de gewenste NAT-optie hebt gekozen, kunt u andere opties aanpassen. In het bijzonder, de beschikbare optie is een keuze tussen het gebruik van bron-naar-uitgang interfacevertaling of het vertalen van de poort en het IP-adres (technisch gezien is dit NATP - NAT met poorten - maar NAT-mensen frustreren de neiging om gewoon alles te bellen 999 >).

Merk op dat naast het vertalen van het bron-IP-adres naar het IP-adres op de uitgangsinterface ge-0/0/2, de SRX ook de bronpoort vertaalt. Dit is een veel voorkomende vorm van NAT die private lokale IP-adressen en poorten van het wereldwijde openbare internet verbergt.

U moet echter onthouden dat de SRX niet is ontworpen om onderscheid te maken tussen een "privé" LAN en het "openbare" internet. De SRX kent alleen zones en deze moeten correct worden geconfigureerd om de verwachte NAT-service te leveren.

Ook al lijken de NAT-regels mogelijk sterk op een beveiligingsbeleid, de SRX behandelt de NAT-service onafhankelijk van de beveiligingsservice (de NAT-regels staan ​​onder een afzonderlijke [edit security nat] hiërarchie).

Met dit kenmerk kunnen NAT-regels worden aangepast zonder het beveiligingsbeleid te beïnvloeden, maar er moet ook zorgvuldig over worden nagedacht. NAT heeft niets te maken met of een pakket wordt geaccepteerd; alleen het beveiligingsbeleid kan dat doen.