Innehållsförteckning:
Video: HP Switch - Initial IP Configuration (JE009A) 2024
NAT kan översätta adresser på olika sätt. Du kan konfigurera regler som gäller för trafik för att se vilken typ av NAT som ska användas i ett visst fall. Du kan konfigurera SRX-enheten för att utföra följande NAT-tjänster:
-
Använd IP-adressen till utgångsgränssnittet.
-
Använd en pool adresser för översättning.
Vanligtvis kommer du inte att inkludera de två första tjänsterna på samma SRX, eftersom de är två olika saker helt och hållet. Så om du gör en, kan du inte göra den andra på samma gång. Men du kan finna skäl att använda översättningsversion på ett gränssnitt och en pool på ett annat gränssnitt.
Konfigurera källa NAT Använda Adressgränssnittsadressen
Först måste du skapa en regeluppsättning som heter Internet-Nat med ett särskiljande namn och skapa sammanhanget för den trafik du tillämpar NAT på. I detta fall gäller regeln för trafik från administratörens LAN-zon till någon otillförlitlig zon (otillräcklig). Du kan också ange gränssnitt eller virtuella routrar, men det är bäst att tänka på allt på SRX när det gäller zoner.
root # redigera security nat källa regel-set internet-nat [redigera security nat källa regel-set internet-nat] root # set från zone admins root # set to zone untrust
du konfigurerar den faktiska regeln (admins-access) som matchar all LAN-trafiken som går till någon plats och tillämpar NAT på paketet:
[redigera security nat source rule-set internet-nat] root # redigera regel admins-access [redigera security nat källa regel-set internet-nat regel admins-access] root # set matchningskälla-adress 192. 168. 2. 0/24 root # set match destination-adress all root # set sedan source-nat interface
Den sista raden anger NAT-källkodsversionen till utgångsgränssnittet. Så här ser det ut:
[redigera security nat] source {regel-set internet-nat {från {zone admins;} till {zone untrust;} regel admins-access {match {source-adress 192. 168. 2 0/24; destinationsadress 0. 0. 0. 0/0;} sedan {source-nat interface;}}}
Konfigurera en källkod NAT-översättningspool
I många fall är adressutrymmet som är allokerat till ett gränssnitt inte tillräckligt att täcka alla adresser i LAN. Om så är fallet är det bättre att upprätta en pool adresser som enheter på LAN kan använda när de skickar trafik utanför den betrodda zonen.
För att omkonfigurera föregående exempel för att använda en pool av IP-adresser måste du först konfigurera poolen, public_NAT_range. Här använder du en liten pool med sex adresser:
[edit security nat source] root # set pool public_NAT_range adress 66. 129. 250. 10 till 66.129. 250. 15
Med denna uttalningsstruktur kan du byta poolerna på ett ställe, i stället för över regeluppsättningarna. Du tillämpar poolen på NAT-hierarkins nivå då:
[redigera security natkälla] root # redigera regelbunden internet-nat-regel admins-access [redigera säkerhet natkälla regel-set internet-nat-regel admins-access] root # set sedan käll-nat pool public_NAT_range
Endast ett uttalande ändras verkligen, men det gör hela skillnaden:
[redigera security nat] source {rule-set internet-nat {från {zone admins;} till {zone untrust;} regel admins-access {match {source-adress 192. 168. 2. 0/24; destinationsadress 0. 0. 0. 0/0;} sedan {source-nat pool public_NAT_range;}}}