Cómo configurar el nat en una srx junos

NAT puede traducir direcciones de diferentes maneras. Puede configurar las reglas a aplicar al tráfico para ver qué tipo de NAT se debe utilizar en un caso particular. Se puede configurar el SRX para realizar los siguientes servicios NAT:

  • Utilice la dirección IP de la interfaz de salida.

  • Utilice un conjunto de direcciones para la traducción.

Por lo general, no se incluirán los dos primeros servicios en la misma SRX, porque son dos cosas totalmente diferentes. Así que si lo hace uno, no se puede hacer la otra al mismo tiempo. Pero es posible encontrar razones para utilizar la traducción de salida en una interfaz y una piscina en otra interfaz.

Fuente configurar NAT Uso de la interfaz de salida Dirección

En primer lugar, es necesario crear un conjunto de reglas llamado Internet-nat con un nombre distintivo y establecer el contexto del tráfico que va a aplicar a NAT. En este caso, la regla se aplica al tráfico de la administradores zona de LAN a cualquier zona que no se confía (untrust). También puede especificar interfaces o enrutadores virtuales, pero lo mejor es pensar en todo el SRX en términos de zonas.

root # editar fuente nat seguridad de conjunto de reglas internet-nat [Source NAT editar la seguridad de conjunto de reglas internet-nat] root # conjunto de la zona adminsroot # en la zona Untrust

Ahora, se configura la regla real (los administradores de acceso) Que coincide con todo el tráfico de LAN de ir a cualquier lugar y se aplica NAT a los paquetes:

[Editar fuente de seguridad de Internet NAT-NAT conjunto de reglas] root # Editar regla administradores de acceso [editar la seguridad NAT de origen de conjunto de reglas de reglas en Internet nat administradores de acceso] root # Sistema del partido de dirección de origen 192.168.2.0/24root# establece partido dirección-destino allroot # coloca a continuación interfaz fuente-NAT

La última línea establece la traducción NAT de origen de la interfaz de salida. Esto es lo que parece:

[Editar nat seguridad] {fuente de conjunto de reglas internet-nat {{zona de admins-} a {} la regla de zona untrust- administradores de acceso {{partido de dirección de origen 192.168.2.0/24-destination-address 0.0.0.0/0 -} entonces {interface- fuente-nat}}}

Configurar un conjunto NAT Traducción fuente

En muchos casos, el espacio de direcciones asignado a una interfaz no es suficiente para cubrir todas las direcciones de la LAN. Si este es el caso, es mejor establecer un conjunto de direcciones que los dispositivos de la LAN pueden utilizar cuando envían el tráfico fuera de la zona de confianza.

Para volver a configurar el ejemplo anterior para utilizar un conjunto de direcciones IP, en primer lugar, debe configurar la piscina, public_NAT_range. En este caso, se utiliza un pequeño grupo de seis direcciones:

[Editar fuente de seguridad NAT] root # pool Grupo public_NAT_range dirección 66.129.250.10 a 66.129.250.15

Esta estructura declaración le permite cambiar las piscinas en un solo lugar, en vez de todo los conjuntos de reglas. Aplicar la piscina en la parte entonces nivel de la jerarquía de NAT:

[Editar fuente de seguridad NAT] root # Editar conjunto de reglas NAT-internet reglas de acceso a los administradores [editar Source NAT regla de seguridad en Internet nat conjunto de reglas de acceso a los administradores] root # establece entonces la fuente-nat piscina public_NAT_range

Sólo una declaración realmente cambia, pero que hace toda la diferencia:

[Editar nat seguridad] {fuente de conjunto de reglas internet-nat {{zona de admins-} a {} la regla de zona untrust- administradores de acceso {{partido de dirección de origen 192.168.2.0/24-destination-address 0.0.0.0/0 -} entonces {fuente-nat piscina public_NAT_range-}}}
Artículos Relacionados
Cómo personalizar las reglas del cortafuegos del servidor león
Cómo utilizar la traducción de direcciones de red
Redes de sujeción con listas de control de acceso (acl)
Visualización de traducción de direcciones de red
Configurar las interfaces de gestión y de bucle
Cómo configurar las libretas de direcciones de puerta de enlace de servicios srx
Cómo configurar las interfaces de los dispositivos junos
Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios srx
Cómo excluir el tráfico de nat en una srx junos
Cómo hacer coincidir el tráfico basado en el uso de clasificadores multicampo en junos
Cómo proteger a los junos motor de enrutamiento
¿Cómo asegurar los protocolos de enrutamiento junos
Cómo configurar la administración remota dentro de banda en dispositivos junos
Configuración de seguridad predeterminada junos
Cómo asegurar una red de cisco
Configuración de la traducción de direcciones de red (nat)
Tipos de traducción de direcciones de red
Cómo configurar zonas de seguridad srx con junos
Cómo administrar múltiples políticas de seguridad en la puerta de enlace de servicios srx
Opciones de traducción de direcciones nat de origen en junos