NAT Source-oversettelsesalternativer i Junos - dummies

Sikkerhetstjenester er ikke de eneste tjenestene som leveres av SRX (selv om sikkerhetstjenesten er den mest vitale). Du kan også konfigurere andre tjenester, for eksempel NAT-kildeadresseoversettelse. I hovedsak bør NAT utelukkende konfigureres for å utvide bruken av IP-adresser. NAT gjør det ved å erstatte et sett med pakkehodetadresseinformasjon for en annen, i henhold til en konfigurert regel.

Noen anser NAT som en slags sikkerhetstjeneste. NAT er imidlertid ikke ment som en sikkerhetstjeneste. Likevel er det også sant at skjule vertsens virkelige kildeadresse (og port!) Gir et mål på sikkerhet som ikke er lett tilgjengelig på andre måter.

Som standard, SRX ruter pakker som passerer sikkerhetspolitikk tester, men det oversetter ikke kilde og destinasjon IP adresser. Pakken som flyter gjennom en økt demonstrerer dette punktet. Merk at inn- og utadressene er uendrede når pakkene flyter til destinasjon og tilbake.

root # vis sikkerhetsflyt økt Session ID: 100001790, Policy navn: admins_to_untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, hvis: ge-0/0/0. 0 ut: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, hvis: ge-0/0/2. 0 …

Du kan konfigurere NAT for å forsyne denne adressen oversettelsestjenesten på SRX ganske enkelt.

Tre store NAT-alternativer er tilgjengelige på SRX: kilde, destinasjon, og statisk. De første to oversetter kilden eller destinasjonsadressene basert på et adressepunkt, mens det siste alternativet statisk kart adresserer fra en til en annen (slik at serverne og nettverksskriverne har stabile, men skjulte adresser).

Når du bestemmer deg for NAT-alternativet du vil, kan du justere andre alternativer. Spesifikt er det tilgjengelige alternativet et valg mellom å bruke grensesnittoversettelse fra kilde til utgang eller å oversette port og IP-adresse (teknisk sett er dette NATP-NAT med porter - men NAT-personer har frustrerende en tendens til å bare kalle alt NAT >).

Merk at i tillegg til å oversette kilde-IP-adressen til IP-adressen på utgangsgrensesnittet GE-0/0/2, oversetter SRX også kildeporten. Dette er en svært vanlig form for NAT som skjuler private lokale IP-adresser og porter fra det globale offentlige Internett.

Men du må huske at SRX ikke er laget for å skille mellom et "privat" LAN og "offentlig" Internett. SRX kjenner kun soner, og disse må konfigureres riktig for å levere NAT-tjenesten som forventes.

Selv om NAT-reglene kan se veldig ut som en sikkerhetspolitikk, behandler SRX NAT-tjenesten uavhengig av sikkerhetstjenesten (NAT-reglene er under et separat [edit security nat] hierarki).

Denne egenskapen gjør at NAT-regler kan justeres uten å påvirke sikkerhetspolitikkene, men det krever også nøye vurdering. NAT har ingenting å gjøre med om en pakke er akseptert; bare sikkerhetspolitikkene kan gjøre det.