Isi kandungan:
- Konfigurasi Sumber NAT Menggunakan Alamat Antara Muka Egress
- Untuk menyusun semula contoh sebelumnya untuk menggunakan kumpulan alamat IP, pertama, anda mesti mengkonfigurasi kolam, public_NAT_range. Di sini, anda menggunakan kolam kecil enam alamat:
Video: Cara Konfigurasi Static Route - Juniper(Junos) 2024
NAT boleh menterjemahkan alamat dengan cara yang berbeza. Anda boleh mengkonfigurasi peraturan untuk memohon kepada trafik untuk melihat apa jenis NAT harus digunakan dalam kes tertentu. Anda boleh mengkonfigurasi SRX untuk melaksanakan perkhidmatan NAT berikut:
-
Gunakan alamat IP antara muka jalan keluar.
-
Gunakan kumpulan alamat untuk terjemahan.
Biasanya, anda tidak akan memasukkan dua perkhidmatan pertama pada SRX sama, kerana mereka adalah dua perkara yang berbeza sepenuhnya. Jadi jika anda melakukan satu, anda tidak boleh melakukan yang lain pada masa yang sama. Tetapi anda mungkin mendapati sebab-sebab menggunakan terjemahan egress pada satu antara muka dan kolam pada antara muka yang lain.
Konfigurasi Sumber NAT Menggunakan Alamat Antara Muka Egress
Pertama, anda perlu membuat satu set peraturan yang dipanggil internet-nat dengan nama tersendiri dan menetapkan konteks trafik yang anda gunakan NAT untuk. Dalam kes ini, peraturan ini terpakai untuk trafik dari zon LAN admin kepada mana-mana zon yang tidak dipercayai (tidak percaya). Anda juga boleh menentukan antara muka atau penghala maya, tetapi yang terbaik adalah untuk memikirkan segala-galanya pada SRX dari segi zon.
root # sunting keselamatan sumber nat sumber rule-set internet-nat [sunting sumber nat sumber rule-set internet-nat] # root dari zon admin root # set to zone untrust <sunting sumber keselamatan nat sumber peraturan-set internet-nat peraturan akses-akses] root # set match source-address 192. 168. 2. 0/24 root # menetapkan tujuan sesuai alamat semua root # set kemudian sumber-nat antarmuka
Baris terakhir menetapkan terjemahan sumber NAT ke antara muka jalan keluar. Inilah yang kelihatan seperti:
[sunting sumber nat nat] {peraturan-set internet-nat {dari {zon admins;} ke {zone untrust;} aturan admin-access {match {source-address 192. 168. 2. 0/24; destinasi-alamat 0. 0. 0. 0/0;} kemudian {sumber-nat interface;}}}}
Mengkonfigurasi sumber terjemahan terjemahan NATDalam banyak kes, ruang alamat yang diperuntukkan kepada antara muka tidak mencukupi untuk menutup semua alamat dalam LAN. Sekiranya ini berlaku, lebih baik untuk membentuk satu kumpulan alamat yang boleh digunakan oleh peranti LAN apabila mereka menghantar trafik ke luar zon yang dipercayai.
Untuk menyusun semula contoh sebelumnya untuk menggunakan kumpulan alamat IP, pertama, anda mesti mengkonfigurasi kolam, public_NAT_range. Di sini, anda menggunakan kolam kecil enam alamat:
[sunting sumber nat sumber] akar # kolam set public_NAT_range alamat 66. 129. 250. 10 hingga 66.129. 250. 15
Struktur pernyataan ini membolehkan anda menukar kolam di satu tempat, bukannya seluruh set peraturan. Anda memohon kolam pada tahap itu pada hierarki NAT:
[sunting sumber nat sumber] root # edit aturan-set peraturan internet-nat admin-akses [sunting sumber nat sumber peraturan-set internet-nat aturan akses admin] root # set then pool source-source public_NAT_range
Hanya satu pernyataan yang benar-benar berubah, tetapi itu membuat semua perbezaan:
[sunting sumber nat nat] {aturan-set internet-nat {dari {admin zon; {zone untrust;} peraturan akses-akses {match {source-address 192. 168. 2. 0/24; destinasi-alamat 0. 0. 0. 0/0;} maka {pool-source public_NAT_range;}}}
