Comment configurer NAT sur un srx junos

NAT peut traduire les adresses de différentes manières. Vous pouvez configurer des règles à appliquer à la circulation pour voir quel genre de NAT doit être utilisé dans un cas particulier. Vous pouvez configurer le SRX pour effectuer les services NAT suivants:

• Utilisez l'adresse IP de l'interface de sortie.

• Utiliser un pool d'adresses pour la traduction.

Habituellement, vous ne pourrez pas inclure les deux premiers services sur la même SRX, parce qu'ils sont deux choses complètement différentes. Donc, si vous faites un, vous ne pouvez pas faire l'autre en même temps. Mais vous pouvez trouver des raisons d'utiliser la traduction de sortie sur une interface et une piscine sur une autre interface.

Configurer Source NAT utilisant l'adresse Interface Egress

Tout d'abord, vous devez créer un ensemble de règles appelé Internet-nat avec un nom distinctif et établir le contexte du trafic vous postulez NAT. Dans ce cas, la règle applique à la circulation à partir de la admins Zone LAN à un zone non fiable (untrust). Vous pouvez également spécifier les interfaces ou routeurs virtuels, mais il est préférable de penser à tout le SRX en termes de zones.

root # modifier source de nat de sécurité ensemble de règles NAT Internet [source nat de sécurité de modifier ensemble de règles Internet-nat] root # mettre de la zone adminsroot # ensemble de la zone Untrust

Maintenant, vous configurez la règle réelle (admins-accès) Qui correspond à tout le trafic LAN aller dans un endroit et applique NAT pour les paquets:

[edit source nat de sécurité ensemble de règles Internet-nat] root # Modifier la règle admins accès [source nat de sécurité Modifier la règle internet-nat ensemble de règles admins accès] root # ensemble correspondance adresse-source 192.168.2.0/24root# mis correspondance adresse de destination allroot # interface de l'ensemble de la source puis-nat

La dernière ligne définit la traduction de NAT source à l'interface de sortie. Voici à quoi il ressemble:

[modifier nat de sécurité] Source {ensemble de règles Internet-nat {{zone de admins-} à {} zone untrust- règle admins accès {{correspondance adresse-source 192.168.2.0/24-destination-address 0.0.0.0/0 -} {alors source nat interface-}}}

Configurez une source NAT piscine de traduction

Dans de nombreux cas, l'espace d'adresse alloué à une interface est insuffisant pour couvrir toutes les adresses dans le réseau local. Si tel est le cas, il est préférable de mettre en place un pool d'adresses que les appareils sur le LAN peuvent utiliser quand ils envoient le trafic en dehors de la zone de confiance.

Pour reconfigurer l'exemple précédent d'utiliser un pool d'adresses IP, d'abord, vous devez configurer la piscine, public_NAT_range. Ici, vous utilisez une petite piscine de six adresses:

[edit source nat de sécurité] root # ensemble piscine adresse public_NAT_range 66.129.250.10 à 66.129.250.15

Cette structure de présentation vous permet de modifier les piscines en un seul endroit, plutôt que partout dans les ensembles de règles. Vous appliquez la piscine à la puis niveau de la hiérarchie NAT:

[edit source nat de sécurité] root # modifier ensemble de règles Internet-nat règle admins accès [Modifier la source de nat de sécurité règle internet-nat ensemble de règles d'accès admins] root # puis mis source nat piscine public_NAT_range

Seule une déclaration change vraiment, mais qui fait toute la différence:

[modifier nat de sécurité] Source {ensemble de règles Internet-nat {{zone de admins-} à {} zone untrust- règle admins accès {{correspondance adresse-source 192.168.2.0/24-destination-address 0.0.0.0/0 -} {alors source nat piscine public_NAT_range-}}}