Примеры конфигурации Junos настройка NAT на Juniper SRX
Здесь описывается настройка трансляции сетевых адресов (NAT) на шлюзе служб Juniper SRX для использовать в общих сетевых сценариях. Предполагается, что Вы уже знакомы с концепциями и терминологией NAT используемый на устройствах Juniper:
NAT
Настройка пулов адресов для NAT
В этом разделе показана конфигурация для создания различных типов источников NAT-пулов. Пулы, созданные в этих примерах будут использоваться в правилах NAT последующих примеров конфигурации. Выполняется вся конфигурация под иерархией «источник безопасности» в CLI Junos. По умолчанию все пулы источников IP будут включены. Пулы источников без PAT можно настроить, отключив PAT в пуле IP. Пулы IP не привязаны к интерфейсу. Прокси-сервер ARP должен быть настроен для того, чтобы устройство отвечало на ARP для адресов в пуле IP.
1. Настройка пула источников с диапазоном адресов и перевода порта:
set pool src-nat-pool-1 address 192.0.0.1 to 192.0.0.24
2. Настройка пула источников с отключенным диапазоном адресов и перевода порта:
set pool src-nat-pool-2 address 192.0.0.100 to 192.0.0.249 set pool src-nat-pool-2 port no-translation
3. Настройка пула источников с диапазоном адресов с отключением порта с использованием пула переполнения. Пулы переполнения используются в качестве резерва в случае, если пул источников без PAT исчерпывает свободные IP-адреса. Пулы переполнения могут быть пулами источников IP с PAT или интерфейсом:
set pool src-nat-pool-2 address 192.0.0.100 to 192.0.0.249 set pool src-nat-pool-2 port no-translation set pool src-nat-pool-2 overflow-pool interface
4. Настройка пула источников с одним адресом и переносом порта:
set pool src-nat-pool-3 address 192.0.0.25/32
5. Настройка пулаисточников с диапазоном для IP-адреса и номеров портов:
set pool src-nat-pool-4 address 192.0.0.50 to 192.0.0.59 set pool src-nat-pool-4 port range 5000 to 6000
Настройка NAT с использованием интерфейса IP
В этом примере весь трафик из зоны trust в зону untrust преобразуется в выходной интерфейс, интерфейс ge-0/0/2 IP
адрес.
[edit security nat source] set rule-set rs1 from zone trust set rule-set rs1 to zone untrust set rule-set rs1 rule r1 match source-address 0.0.0.0/0 set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set rule-set rs1 rule r1 then source-nat interface [edit security policies from-zone trust to-zone untrust] set policy internet-access match source-address any destination-address any application any set policy internet-access then permit
Настройка NAT с использованием пула IP-адресов
В этом примере весь трафик из зоны trust в зону untrust переводится в исходный пул IP «src-nat-pool-1».
[edit security nat source] set rule-set rs1 from zone trust set rule-set rs1 to zone untrust set rule-set rs1 rule r1 match source-address 0.0.0.0/0 set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set rule-set rs1 rule r1 then source-nat src-nat-pool-1 [edit security nat] set proxy-arp interface ge-0/0/2.0 address 192.0.0.1 to 192.0.0.24 [edit security policies from-zone trust to-zone untrust] set policy internet-access match source-address any destination-address any application any set policy internet-access then permit
Настройка NAT с использованием нескольких правил
1. Трафик из подсети 10.1.1.0/24 и 10.1.2.0/24 переводится в пул src-nat-pool-1.
2. Трафик из подсети 192.168.1.0/24 переводится в пул src-nat-pool-2.
3. Трафик с хоста 192.168.1.250/24 освобождается NAT.
[edit security nat source] set rule-set rs1 from zone trust set rule-set rs1 to zone untrust set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set rule-set rs1 rule r2 match source-address 192.168.1.250/24 set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set rule-set rs1 rule r2 then source-nat off set rule-set rs1 rule r3 match source-address 192.168.1.0/24 set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 [edit security nat] set proxy-arp interface ge-0/0/2.0 address 192.0.0.1 to 192.0.0.24 set proxy-arp interface ge-0/0/2.0 address 192.0.0.100 to 192.0.0.249 [edit security policies from-zone trust to-zone untrust] set policy internet-access match source-address any destination-address any application any set policy internet-access then permit
Destination NAT
Перевод нескольких адресов на несколько
1. Трафик до пункта назначения 1.1.1.100 переведен на 192.168.1.100
2. Трафик на пункт назначения 1.1.1.101 на порт 80 переводится на 192.168.1.200, а порт 8000
Реальный IP-адрес и номера портов хостов настраиваются как целевой IP-пул. Прокси-ARP должен быть настроен для того, чтобы устройство отвечало на ARP для адресов в пуле IP.
Должны быть созданы политики безопасности, позволяющие трафик от untrust зоны до зоны trust. Поскольку назначения правил NAT назначения оцененный до политики безопасности, адреса, указанные в политике безопасности, должны быть реальным IP-адресом.
[edit security] set zones security-zone trust address-book address server-1 192.168.1.100/32 set zones security-zone trust address-book address server-2 192.168.1.200/32 [edit security policies from-zone untrust to-zone trust] set policy server-access match source-address any destination-address [server-1 server-2] application any set policy server-access then permit [edit security nat destination] set pool dst-nat-pool-1 address 192.168.1.100 set pool dst-nat-pool-2 address 192.168.1.200 port 8000 set rule-set rs1 from zone untrust set rule-set rs1 rule r1 match destination-address 1.1.1.100 set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set rule-set rs1 rule r2 match destination-address 1.1.1.101 set rule-set rs1 rule r2 match destination-port 80 set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 [edit security nat] set proxy-arp interface ge-0/0/2.0 address 1.1.1.100 to 1.1.1.101
Перевод одного адреса на несколько
1. Трафик до пункта назначения 1.1.1.100 на порту 80 переводится на 192.168.1.100 и порт 80.
2. Трафик до пункта назначения 1.1.1.100 на порту 8000 переведен на 192.168.1.200 и порт 8000.
[edit security nat destination] set pool dst-nat-pool-1 address 192.168.1.100 port 80 set pool dst-nat-pool-2 address 192.168.1.200 port 8000 set rule-set rs1 from zone untrust set rule-set rs1 rule r1 match destination-address 1.1.1.100 set rule-set rs1 rule r1 match destination-port 80 set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set rule-set rs1 rule r2 match destination-address 1.1.1.100 set rule-set rs1 rule r2 match destination-port 8000 set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 [edit security nat] set proxy-arp interface ge-0/0/2.0 address 1.1.1.100 [edit security] set zones security-zone trust address-book address server-1 192.168.1.100/32 set zones security-zone trust address-book address server-2 192.168.1.200/32 [edit security policies from-zone untrust to-zone trust] set policy server-access match source-address any destination-address [server-1 server-2] application any set policy server-access then permit [edit security] set zones security-zone trust address-book address server-1 192.168.1.100/32 set zones security-zone trust address-book address server-2 192.168.1.200/32 [edit security policies from-zone untrust to-zone trust] set policy server-access match source-address any destination-address [server-1 server-2] application any set policy server-access then permit
Двойной NAT
Перевод исходного адреса и адреса назначения
В этом примере передается исходный и целевой IP-адрес пакета. Хост назначения 10.1.1.100 является доступом к источнику 192.168.1.3 с использованием IP-адреса 1.1.1.100. Когда пакет обходит устройство SRX, IP-адреса источника и назначения.
[edit security nat source] set pool src-nat-pool-1 address 1.1.1.10 to 1.1.1.14 set rule-set rs1 from zone trust set rule-set rs1 to zone untrust set rule-set rs1 rule r1 match source-address 0.0.0.0/0 set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set rule-set rs1 rule r1 then source-nat src-nat-pool-1 [edit security nat destination] set pool dst-nat-pool-1 address 10.1.1.100 set rule-set rs1 from zone trust set rule-set rs1 rule r1 match destination-address 1.1.1.100 set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 [edit security nat] set proxy-arp interface fe-0/0/7.0 address 1.1.1.10 to 1.1.1.14 [edit security policies from-zone trust to-zone untrust] set policy permit-all match source-address any destination-address any application any set policy permit-all then permit
Приведенная выше политика безопасности позволяет обеспечить доступ всех исходящих из зоны trust в зону untrust. В результате сервер имеет доступ к которому осуществляется посредством переведенного или не транслируемого адреса.
Политику безопасности можно изменить, чтобы разрешить доступ к серверу только через переведенный адрес. Ключевое слово “dropuntranslated” выведет весь трафик на целевой адрес 10.1.1.100. Это ограничит доступ к серверу с помощью адресf назначения 1.1.1.100.
[edit security policies from-zone trust to-zone untrust] set policy permit-all match source-address any destination-address any application any set policy permit-all then permit destination-address drop-untranslated
Статический NAT
В этом примере хосту 192.168.1.200 присваивается статическое отображение NAT на IP-адрес 1.1.1.200. Любой трафик на адрес назначения 1.1.1.200 будет переведен на 192.168.1.200. Любые новые сеансы, происходящие из хоста 192.168.1.200 будет иметь исходный IP-адрес пакета, переведенного в 1.1.1.200.
[edit security nat static] set rule-set rs1 from zone untrust set rule-set rs1 rule r1 match destination-address 1.1.1.200/32 set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 [edit security nat] set proxy-arp interface fe-0/0/7.0 address 1.1.1.200 [edit security] set zones security-zone trust address-book address server-1 192.168.1.200/32 [edit security policies from-zone untrust to-zone trust] set policy server-access match source-address any destination-address server-1application any set policy server-access then permit [edit security policies from-zone trust to-zone untrust] set policy permit-all match source-address server-1 destination-address any application any set policy permit-all then permit
Comments
So empty here ... leave a comment!