NAT Sumber Terjemahan Terjemahan Sumber di Junos - patri

Perkhidmatan keselamatan bukan satu-satunya perkhidmatan yang dibekalkan oleh SRX (walaupun perkhidmatan keselamatan adalah yang paling penting). Anda boleh mengkonfigurasi perkhidmatan lain, seperti penterjemahan alamat sumber NAT, juga. Intinya, NAT semestinya dikonfigurasikan untuk memperluas kegunaan alamat IP. NAT melakukannya dengan menggantikan satu set maklumat alamat pengepala paket untuk yang lain, mengikut peraturan yang dikonfigurasikan.

Sesetengah menganggap NAT sebagai jenis perkhidmatan keselamatan. Walau bagaimanapun, NAT tidak dimaksudkan sebagai perkhidmatan keselamatan. Walau bagaimanapun, adalah benar bahawa menyembunyikan alamat sumber sebenar tuan rumah (dan pelabuhan!) Menyediakan ukuran keselamatan yang tidak tersedia dengan cara lain.

Secara lalai, paket laluan SRX yang lulus ujian dasar keselamatan, tetapi ia tidak menerjemahkan alamat IP sumber dan destinasi. Paket yang mengalir melalui sesi menunjukkan titik ini. Ambil perhatian bahawa alamat Dalam dan Keluar tidak berubah ketika aliran paket ke destinasi dan belakang.

root # menunjukkan sesi aliran keselamatan Sesi ID: 100001790, Nama polis: admins_to_untrust / 4, Timeout: 1800 Dalam: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, Jika: ge-0/0/0. 0 Out: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Jika: ge-0/0/2. 0 …

Anda boleh mengkonfigurasi NAT untuk menyediakan perkhidmatan penterjemahan alamat ini pada SRX dengan mudah.

Tiga pilihan NAT utama boleh didapati di SRX: sumber, destinasi, dan statik. Dua yang pertama menerjemahkan alamat sumber atau destinasi berdasarkan kumpulan alamat, sedangkan pilihan terakhir secara statik memetakan alamat dari satu sama lain (oleh itu pelayan dan rangkaian rangkaian mempunyai stabil, tetapi disembunyikan, alamat).

Sebaik sahaja anda membuat keputusan mengenai pilihan NAT yang anda mahu, anda boleh melaraskan pilihan lain. Khususnya, pilihan yang tersedia adalah pilihan antara menggunakan terjemahan antara muka sumber ke sumber atau menerjemahkan port dan alamat IP (secara teknikal, ini adalah NATP - NAT dengan port - tetapi orang NAT frustrasi yang cenderung hanya memanggil semua NAT >).

Perhatikan bahawa sebagai tambahan kepada menterjemah alamat IP sumber ke alamat IP pada antaramuka jalan keluar ge-0/0/2, SRX juga menerjemahkan port sumber. Ini adalah bentuk NAT yang sangat umum yang menyembunyikan alamat dan pelabuhan IP tempatan peribadi dari Internet awam global.

Walau bagaimanapun, anda perlu ingat bahawa SRX tidak direka untuk membezakan antara "LAN" peribadi dan "awam" Internet. SRX hanya mengetahui zon, dan ini mesti dikonfigurasi dengan betul untuk membekalkan perkhidmatan NAT yang diharapkan.

Selain itu, walaupun peraturan NAT mungkin kelihatan seperti dasar keselamatan, SRX merawat perkhidmatan NAT secara bebas daripada perkhidmatan keselamatan (peraturan NAT berada di bawah hirarki [edit security nat]) berasingan..

Ciri ini membolehkan peraturan NAT diselaraskan tanpa menjejaskan dasar keselamatan, tetapi ia juga memerlukan pertimbangan yang teliti. NAT tiada kaitan dengan sama ada satu paket diterima; hanya polisi keselamatan yang boleh melakukannya.