Indholdsfortegnelse:
Video: HP Switch - Initial IP Configuration (JE009A) 2024
NAT kan oversætte adresser på forskellige måder. Du kan konfigurere regler til at gælde for trafik for at se, hvilken type NAT der skal bruges i en bestemt sag. Du kan konfigurere SRX'en til at udføre følgende NAT-tjenester:
-
Brug IP-adressen til udgangsgrænsefladen.
-
Brug en pulje af adresser til oversættelse.
Normalt vil du ikke inkludere de to første tjenester på samme SRX, fordi de er to forskellige ting helt. Så hvis du gør en, kan du ikke gøre den anden på samme tid. Men du kan finde grunde til at bruge egress oversættelse på en grænseflade og en pulje på en anden grænseflade.
Konfigurer kilde NAT Brug Egress Interface Address
Først skal du oprette et regelsæt kaldet internet nat med et særpræg navn og etablere sammenhængen i den trafik, du bruger NAT til. I dette tilfælde gælder reglen for trafik fra admins LAN-zone til enhver usikker zone (untrust). Du kan også angive grænseflader eller virtuelle routere, men det er bedst at tænke på alt på SRX i zoner.
root # rediger sikkerhed nat kilde regel-sæt internet-nat [rediger sikkerhed nat kilde regel-sæt internet nat] root # set fra zone admins root # sæt til zone untrust
Nu, du konfigurerer den faktiske regel (admins-access), der matcher alle LAN-trafikkerne til et hvilket som helst sted og anvender NAT til pakkerne:
[rediger sikkerhed nat kilde regel-sæt internet nat] root # rediger regel admins-adgang [rediger sikkerhed nat kilde regel-sæt internet nat regel admins adgang] root # sæt match kilde-adresse 192. 168. 2. 0/24 root # sæt match destination-adresse alle root # sæt derefter source-nat interface
Den sidste linje sætter NAT-kildeoversættelsen til udgangsgrænsefladen. Sådan ser det ud:
[edit security nat] source {regelsæt internet-nat {fra {zone admins;} til {zone untrust;} regel admins-adgang {match {source-adresse 192. 168. 2.0/24; destination-adresse 0. 0. 0. 0/0;} derefter {source-nat interface;}}}
Konfigurer en kilde NAT oversættelsespulje
I mange tilfælde er adresserummet, der er tildelt en grænseflade, ikke tilstrækkeligt at dække alle adresser i LAN. Hvis det er tilfældet, er det bedre at oprette en pulje af adresser, som enheder på LAN kan bruge, når de sender trafik uden for den betroede zone.
For at omkonfigurere det foregående eksempel for at bruge en pulje af IP-adresser, skal du først konfigurere poolen, public_NAT_range. Her bruger du en lille pulje med seks adresser:
[edit security nat source] root # set pool public_NAT_range adresse 66. 129. 250. 10 til 66.129. 250. 15
Denne sætningsstruktur giver dig mulighed for at ændre puljer på ét sted i stedet for over regelsætene. Du anvender puljen på NAT-hierarkiets niveau:
[edit security nat source] root # rediger regelsæt internet nat regel admins-adgang [rediger sikkerhed nat kilde regel sæt internet nat regel admins adgang] root # sæt derefter kilde nat pool public_NAT_range
Kun én sætning ændrer sig virkelig, men det gør hele forskellen:
[edit security nat] source {rule-set internet-nat {fra {zone admins;} til {zone untrust;} regel admins-adgang {match {source-adresse 192. 168. 2. 0/24; destination-adresse 0. 0. 0. 0/0;} derefter {source-nat pool public_NAT_range;}}}
