Как настроить NAT на Junos SRX




Полезная ссылка: О нас и наших клиентах

 

 

Как настроить NAT на Junos SRX


 

В NAT можно настроить адреса по-разному. Можно настроить правила относительно пакета, чтобы увидеть, какая подмена адресов (NAT) должна использоваться в каждом конкретном случае. Вы можете настроить SRX для того, чтобы совершать следующие NAT связи:


• Использовать IP-пакет внутреннего интерфейса.

• Использовать адресные записи для настройки.


Как правило, эти два сервиса не будут активны на одном и том же SRX, потому что это совершенно две разные вещи. Так что если Вы делаете одно, то сделать другое, одновременно, невозможно. Но можно найти выход в том, чтобы использовать внутренние настройки на одном интерфейсе и адресную запись на другом интерфейсе.


Полезная ссылка: Удаленная настройка оборудования Juniper SSG


Настройка источника NAT, используя пакет внутреннего интерфейса

Во-первых, необходимо создать rule-set(т.е. свод правил дестинейшн ната) под названием internet-nat с характерным названием и установить контекст трафика, который Вы будете применять в NAT. В этом случае, данный свод правил применяется для пакетов от администраторов LAN зоны (admins LAN zone) к любой ненадежной зоне(untrust). Также можно указать интерфейсы или виртуальные маршрутизаторы (virtual routers), но лучше всего всё пробрасывать на SRX, в диапазонах зон.

 
root# edit security nat source rule-set internet-nat
[edit security nat source rule-set internet-nat]
root# set from zone admins
root# set to zone untrust
 

Теперь необходимо rule-set(admins-access)наполнить нужными правилами, которые соединят все пакеты LAN, будут подходить к любому расположению и применяется к NAT пакетам:

 

[edit security nat source rule-set internet-nat]
root# edit rule admins-access
[edit security nat source rule-set internet-nat rule admins-access]
root# set match source-address 192.168.2.0/24
root# set match destination-address all
root# set then source-nat interface
 

Последняя строка sets NAT-ресурса настраивается на пакет внутреннего интерфейса. Вот как это выглядит:

Полезная ссылка: Видео настройка оборудования juniper

[edit security nat]
source {
  rule-set internet-nat {
   from {
     zone admins;
   }
   to {
     zone untrust;
   }
   rule admins-access {
     match {
      source-address 192.168.2.0/24;
      destination-address 0.0.0.0/0;
     }
     then {
      source-nat interface;
     }
   }  
  }
 

Настройка ресурса NAT на адресную запись

Во многих случаях, адресное пространство, которое выделяется на интерфейсе, не является достаточным для покрытия всех адресов в локальной сети. Если это так, то лучше установить (pool) адресных записей, устройства которой в локальной сети можно использовать, когда пересылаются пакеты вне доверенной зоны.

Чтобы изменить настройки предыдущего примера, который использует адресную запись 
IP-адресов, во-первых, необходимо настроить адресную запись(pool) public_NAT_range. 
Здесь Вы используете небольшой (pool) из шести адресов:
 
[edit security nat source]
root# set pool public_NAT_range address 66.129.250.10 to 66.129.250.15
 
Эта устойчивая структура позволяет изменять (pools) адресные записи 
в одном месте, а не во всех наборах правил. Вы применяете (pool) адресную запись 
и в следующем уровне NAT иерархии:
 
[edit security nat source]
root# edit rule-set internet-nat rule admins-access
[edit security nat source rule-set internet-nat rule admins-access]
root# set then source-nat pool public_NAT_range
 

Только одна формулировка действительно меняется и из-за этого и делается все разным:

 

[edit security nat]
source {
  rule-set internet-nat {
   from {
     zone admins;
   }
   to {
     zone untrust;
   }
   rule admins-access {
     match {
      source-address 192.168.2.0/24;
      destination-address 0.0.0.0/0;
     }
     then {
      source-nat pool public_NAT_range;
     }
   }  
  }

 



Обновлен 12 июл 2014. Создан 07 апр 2014



  Комментарии       
Всего 1, последний 8 мес назад
ste-foy 22 янв 2017 ответить
information sure vos Produit et Entreprise Tel:1418-873-2191
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика