Πίνακας περιεχομένων:
- Ρύθμιση της πηγής NAT Χρησιμοποιώντας τη διεύθυνση διεπαφής Egress
- Σε πολλές περιπτώσεις, ο χώρος διεύθυνσης που διατίθεται σε μια διεπαφή δεν επαρκεί για να καλύψετε όλες τις διευθύνσεις στο τοπικό δίκτυο. Εάν συμβαίνει αυτό, είναι καλύτερο να δημιουργήσετε μια ομάδα διευθύνσεων τις οποίες μπορούν να χρησιμοποιούν οι συσκευές στο τοπικό δίκτυο όταν στέλνουν κίνηση εκτός της αξιόπιστης ζώνης.
Βίντεο: Repotting a Bonsai: Viburnum 2018 2024
Το NAT μπορεί να μεταφράσει διευθύνσεις με διάφορους τρόπους. Μπορείτε να διαμορφώσετε κανόνες για να εφαρμόσετε στην κυκλοφορία για να δείτε τι είδους NAT θα πρέπει να χρησιμοποιείται σε μια συγκεκριμένη περίπτωση. Μπορείτε να ρυθμίσετε το SRX ώστε να εκτελεί τις ακόλουθες υπηρεσίες NAT:
-
Χρησιμοποιήστε τη διεύθυνση IP της διασύνδεσης εξόδου.
-
Χρησιμοποιήστε μια ομάδα διευθύνσεων για μετάφραση.
Συνήθως, δεν θα συμπεριλάβετε τις δύο πρώτες υπηρεσίες στο ίδιο SRX, επειδή είναι δύο διαφορετικά πράγματα εξ ολοκλήρου. Έτσι, αν το κάνετε, δεν μπορείτε να κάνετε το άλλο ταυτόχρονα. Αλλά μπορείτε να βρείτε τους λόγους για να χρησιμοποιήσετε μετάφραση εξόδου σε μια διεπαφή και μια πισίνα σε άλλη διεπαφή.
Ρύθμιση της πηγής NAT Χρησιμοποιώντας τη διεύθυνση διεπαφής Egress
Καταρχάς, πρέπει να δημιουργήσετε ένα σύνολο κανόνων που ονομάζεται internet-nat με ένα διακριτικό όνομα και να καθορίσει το πλαίσιο της κυκλοφορίας που εφαρμόζετε στο NAT. Σε αυτήν την περίπτωση, ο κανόνας ισχύει για την κυκλοφορία από τη ζώνη LAN admins σε οποιαδήποτε μη αξιόπιστη ζώνη (ανεπιθύμητη). Μπορείτε επίσης να ορίσετε διεπαφές ή εικονικούς δρομολογητές, αλλά είναι καλύτερο να σκεφτείτε τα πάντα στο SRX από άποψη ζωνών.
ρίζα # επεξεργαστείτε ασφάλεια nat πηγή κανόνας-set internet-nat [επεξεργασία ασφαλείας] ρυθμίζετε τον πραγματικό κανόνα (access-admin) που αντιστοιχεί σε όλη την κίνηση LAN που πηγαίνει σε οποιαδήποτε θέση και εφαρμόζει NAT στα πακέτα:
επεξεργαστείτε την ασφάλεια πηγή πηγής κανόνας διαδικτύου internet-nat κανόνας admins-access] root # set αντιστοιχία προέλευσης-διεύθυνση 192. 168. 2. 0/24 ρίζα # set αντιστοιχίσετε προορισμό-διεύθυνση όλα root # set τότε interface-source nat
Η τελευταία γραμμή ορίζει τη μετάφραση πηγής NAT στη διεπαφή εξόδου. Ακολουθεί το εξής παράδειγμα:
->
[επεξεργασία ασφαλείας nat] πηγή {rule-set internet-nat {από admin {zone admins;} to {zone untrust; 0/24; διεύθυνση προορισμού 0. 0. 0. 0/0}} και στη συνέχεια {interface-source-nat}}}Διαμόρφωση πηγής μεταφραστικής μετάφρασης πηγής
Σε πολλές περιπτώσεις, ο χώρος διεύθυνσης που διατίθεται σε μια διεπαφή δεν επαρκεί για να καλύψετε όλες τις διευθύνσεις στο τοπικό δίκτυο. Εάν συμβαίνει αυτό, είναι καλύτερο να δημιουργήσετε μια ομάδα διευθύνσεων τις οποίες μπορούν να χρησιμοποιούν οι συσκευές στο τοπικό δίκτυο όταν στέλνουν κίνηση εκτός της αξιόπιστης ζώνης.
Για να επαναρυθμίσετε το προηγούμενο παράδειγμα για να χρησιμοποιήσετε μια ομάδα διευθύνσεων IP, πρώτα, πρέπει να ρυθμίσετε την ομάδα pool, public_NAT_range. Εδώ, χρησιμοποιείτε μια μικρή ομάδα έξι διευθύνσεων:
[επεξεργασία ασφαλείας nat nat] root # set pool public_NAT_range διεύθυνση 66. 129. 250. 10 έως 66.129. 250. 15
Αυτή η δομή δήλωσης σάς επιτρέπει να αλλάζετε τις ομάδες σε μία θέση και όχι σε όλα τα σύνολα κανόνων. Εφαρμόζετε το pool στο τότε επίπεδο της ιεραρχίας NAT:
[επεξεργασία ασφαλείας nat nat] root # επεξεργαστείτε rule-set internet-nat κανόνας admins-access [επεξεργασία ασφαλείας nat πηγή rule-set internet-nat rule admins-access] ρίζα # set τότε source-nat pool public_NAT_range
Μόνο μία δήλωση αλλάζει πραγματικά, αλλά αυτό κάνει όλη τη διαφορά:
[edit security nat] source {rule-set internet-nat { {zone untrust;} κανόνας admins-access {match {διεύθυνση προέλευσης 192. 168. 2. 0/24; διεύθυνση προορισμού 0. 0. 0. 0/0}} και στη συνέχεια {source-nat pool public_NAT_range;}}}