Επιλογές μετάφρασης πηγής NAT σε Junos

Οι υπηρεσίες ασφαλείας δεν είναι οι μοναδικές υπηρεσίες που παρέχονται από το SRX (αν και οι υπηρεσίες ασφαλείας είναι οι πιο σημαντικές). Μπορείτε να ρυθμίσετε και άλλες υπηρεσίες, όπως η μετάφραση διεύθυνσης πηγής NAT. Στην ουσία, το NAT πρέπει να διαμορφωθεί μόνο για να επεκτείνει τη χρησιμότητα των διευθύνσεων IP. Το NAT το κάνει υποκαθιστώντας ένα σύνολο πακέτων πληροφοριών διεύθυνσης κεφαλίδας για ένα άλλο, σύμφωνα με έναν ρυθμισμένο κανόνα.

Μερικοί θεωρούν το NAT ως ένα είδος υπηρεσίας ασφαλείας. Ωστόσο, το NAT δεν αποτελεί υπηρεσία ασφαλείας. Παρόλα αυτά, είναι επίσης αλήθεια ότι η συγκάλυψη της πραγματικής διεύθυνσης πηγής (και του λιμανιού!) Του ξενιστή παρέχει ένα μέτρο ασφάλειας που δεν είναι άμεσα διαθέσιμο με άλλα μέσα.

Από προεπιλογή, τα SRX δρομολόγια πακέτα που περνούν τις δοκιμές πολιτικής ασφαλείας, αλλά δεν μεταφράζει τις διευθύνσεις IP προέλευσης και προορισμού. Τα πακέτα που περνούν μέσα από μια συνεδρία δείχνουν αυτό το σημείο. Σημειώστε ότι οι διευθύνσεις εισόδου και εξόδου παραμένουν αμετάβλητες καθώς τα πακέτα ρέουν προς τον προορισμό και προς τα πίσω.

εμφάνιση περιόδου σύνδεσης ασφαλείας Αναγνωριστικό περιόδου λειτουργίας: 100001790, Όνομα πολιτικής: admins_to_untrust / 4, Timeout: 1800 Σε: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, Αν: ge-0/0/0. 0 Out: 209. 239. 112. 126/80 192. 168. 2. 2/4781; tcp, Αν: ge-0/0/2. 0 … Μπορείτε να διαμορφώσετε το NAT για να παρέχει αυτή την υπηρεσία μετάφρασης διευθύνσεων στο SRX αρκετά εύκολα.

Υπάρχουν τρεις βασικές επιλογές NAT στο SRX:

static source, destination, και . Οι δύο πρώτοι μεταφράζουν τις διευθύνσεις προέλευσης ή προορισμού με βάση μια ομάδα διευθύνσεων, ενώ η τελευταία επιλογή καταγράφει στατικά τις διευθύνσεις από το ένα στο άλλο (έτσι οι διακομιστές και οι εκτυπωτές δικτύου έχουν σταθερές αλλά κρυμμένες διευθύνσεις).

Μόλις αποφασίσετε για την επιλογή NAT που θέλετε, μπορείτε να προσαρμόσετε άλλες επιλογές. Συγκεκριμένα, η διαθέσιμη επιλογή είναι η επιλογή μεταξύ της μετάφρασης της διασύνδεσης πηγής προς την έξοδο ή της μετάφρασης της θύρας και της διεύθυνσης IP (τεχνικά, αυτό είναι NATP - NAT με θύρες - αλλά οι άνθρωποι NAT απογοητευτικά τείνουν να ονομάζουν οτιδήποτε

NAT >).

Σημειώστε ότι εκτός από τη μετάφραση της διεύθυνσης IP προέλευσης στη διεύθυνση IP στη διεπαφή εξόδου ge-0/0/2, το SRX μεταφράζει επίσης τη θύρα προέλευσης. Πρόκειται για μια πολύ κοινή μορφή NAT που αποκρύπτει ιδιωτικές τοπικές διευθύνσεις IP και λιμένες από το παγκόσμιο δημόσιο Διαδίκτυο.

Ωστόσο, θα πρέπει να θυμάστε ότι το SRX δεν έχει σχεδιαστεί για να κάνει διάκριση μεταξύ ενός "ιδιωτικού" LAN και του "δημόσιου" Διαδικτύου. Το SRX γνωρίζει μόνο ζώνες και αυτές πρέπει να ρυθμιστούν σωστά για να παρέχουν την αναμενόμενη υπηρεσία NAT.

Το χαρακτηριστικό αυτό επιτρέπει την προσαρμογή των κανόνων NAT χωρίς να επηρεάζονται οι πολιτικές ασφαλείας, αλλά απαιτεί επίσης προσεκτική εξέταση. Το NAT δεν έχει καμία σχέση με το εάν ένα πακέτο είναι αποδεκτό. μόνο οι πολιτικές ασφάλειας μπορούν να το κάνουν αυτό.