目录:
视频: Step by Step How to configure Juniper SRX firewall using GUI or HTTP,HTTPS access and Management Int 2025
NAT可以用不同的方式转换地址。您可以配置适用于流量的规则,以查看在特定情况下应使用哪种NAT。您可以配置SRX执行以下NAT服务:
-
使用出口接口的IP地址。
-
使用地址池进行翻译。
通常情况下,你不会在同一个SRX中包含前两个服务,因为它们完全是两个不同的东西。所以,如果你做了一个,你不能同时做另一个。但是您可能会发现在一个接口上使用出口转换和在另一个接口上使用池的原因。
<!首先,您需要创建一个名称为internet-nat的规则集,并使用不同的名称,并建立您正在应用NAT的流量的上下文。在这种情况下,该规则适用于从管理员LAN区域到任何不受信任区域(不信任)的流量。您也可以指定接口或虚拟路由器,但最好从区域角度考虑SRX上的所有内容。<! - 2 - >
root#编辑安全nat源规则集internet-nat [编辑安全nat源规则集internet-nat] root#设置区域admins root#set to zone untrust
现在,你配置实际的规则(admins-access),匹配所有去往任何位置的局域网流量,并将NAT应用到数据包:[编辑安全nat源规则集internet-nat] root#edit rule admins-access [编辑安全nat源规则集internet-nat规则admins-access] root#设置匹配源地址192. 168. 2. 0/24 root#set match destination-address all root#set then source-nat interface
最后一行将NAT源转换设置为出口接口。下面是它的样子:
[edit security nat] source {rule-set internet-nat {from {zone admins;} to {zone untrust;} rule admins-access {match {source-address 192. 168. 2 0/24; destination-address 0 0. 0/0;} then {source-nat interface;}}}
配置源NAT转换池在很多情况下,分配给接口的地址空间是不够的覆盖局域网中的所有地址。如果是这种情况,最好是建立一个局域网池,当局域网内的设备向受信任区域外发送流量时可以使用该地址池。
要重新配置前面的示例以使用IP地址池,首先必须配置池public_NAT_range。在这里,您使用六个地址的小池:
[编辑安全源代码] root#set pool public_NAT_range address 66. 129. 250. 10 to 66。129. 250. 15
这个语句结构可以让你在一个地方更改池,而不是遍布整个规则集。你可以在NAT层次上应用这个池:
[edit security nat source] root#edit rule -set internet-nat rule admins-access [edit security nat source rule-set internet-nat rule admins-access] root#set then source-nat pool public_NAT_range
只有一个语句确实发生了变化,但是这一切都有所不同:
[edit security nat] source {rule-set internet-nat {from {zone admins;} {zone untrust;} rule admins-access {match {source-address 192. 168. 2. 0/24; destination-address0.0.0/0/0;}然后{source-nat pool public_NAT_range;}}}
