與ScreenOS相比，SRX在NAT功能實現(xiàn)方面基本保持一致，但在配置上有較大區(qū)別，主要差異在于ScreenOS的NAT與policy是綁定的，無論是MIP/VIP/DIP還是基于策略的NAT，在policy中均要體現(xiàn)出NAT內(nèi)容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX的NAT則作為網(wǎng)絡(luò)層面基礎(chǔ)內(nèi)容進(jìn)行獨立配置（獨立定義地址映射的方向、映射關(guān)系及地址范圍），Policy中不再包含NAT相關(guān)配置信息，這樣的好處是易于理解、簡化運維，當(dāng)網(wǎng)絡(luò)拓樸和NAT映射關(guān)系發(fā)生改變時，無需調(diào)整Policy配置內(nèi)容。

寶雞網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計等網(wǎng)站項目制作，到程序開發(fā)，運營維護(hù)。創(chuàng)新互聯(lián)從2013年創(chuàng)立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

在SRX中安全策略只負(fù)責(zé)控制業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)與否，NAT策略只控制業(yè)務(wù)數(shù)據(jù)的源地址和端口的翻譯規(guī)則，兩者各自獨立。

SRX的NAT配置分為源地址翻譯(source NAT)，目標(biāo)地址翻譯(destination NAT)和靜態(tài)地址翻譯(static NAT)三種，其配置語法都類似，只是nat rule必須被放到rule-set里使用，任意兩個zone或任意兩個網(wǎng)絡(luò)邏輯接口之間只允許有一個rule-set。

Junos為SRX提供了一個完整而集成的NAT功能。NAT在【security】層級下配置，集成了有狀態(tài)流處理，但它在邏輯上是security policy配置分離。

一個給定的流量可以最多匹配一個NAT規(guī)則，必須匹配一個安全策略security policy。NAT與security policy之間沒有直接的對應(yīng)關(guān)系，一個匹配NAT規(guī)則的流量可以被一個或者安全策略匹配。一個匹配security policy規(guī)則的流量可以被0,1或者多個NAT規(guī)則匹配。但是，一旦一個匹配NAT規(guī)則的流，將會在會話表session table建立雙向的表項。

圖5-1所示為在SRX流模型NAT的處理。

SRX內(nèi) NAT處理流程

請注意，靜態(tài)NAT和目標(biāo)NAT規(guī)則匹配在路由查找/Zone確定之前，也在Policy之前。源NAT和反向靜態(tài)NAT的匹配在Policy匹配之后。

SRX這種不依賴于Policy的更靈活和精確的NAT配置模式，使得拓?fù)浜偷刂贩g的重新設(shè)計成為可能，而Policy可以保持不變。

因為Source NAT在路由和Zone查找之后，配置rule-sets時必須同時指定ingress和egress interface、zone、routinginstance。Static和Destination NAT在路由和Zone查找之前進(jìn)行處理，rule-sets只需配置ingress的interface、zone、routing instance。

當(dāng)多個NAT rule-sets包含的上下文都匹配給定流，具有最具體上下文的rule-set用于確定翻譯動作。一個包含匹配接口上下文的rule-set優(yōu)選于一個具有匹配zone的上下文，而匹配Zone的上下文優(yōu)于配路由實例的上下文。在所選擇的rule-set內(nèi)，按照順序評估rules，第一個匹配的用于確定翻譯動作的流程。

SRXNAT和Policy執(zhí)行先后順序為：目的地址轉(zhuǎn)換－目的地址路由查找－執(zhí)行策略檢查－源地址轉(zhuǎn)換，結(jié)合這個執(zhí)行順序，在配置Policy時需注意：Policy中源地址應(yīng)是轉(zhuǎn)換前的源地址，而目的地址應(yīng)該是轉(zhuǎn)換后的目的地址，換句話說，Policy中的源和目的地址應(yīng)該是源和目的兩端的真實IP地址，這一點和ScreenOS存在區(qū)別，需要加以注意。

SRX中不再使用MIP/VIP/DIP這些概念，其中MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址轉(zhuǎn)換及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒有NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙向NAT，其他類型均屬于單向NAT，

此外，SRX還多了一個proxy-arp概念，如果定義的IPPool（可用于源或目的地址轉(zhuǎn)換）與接口IP在同一子網(wǎng)時，需配置SRX對這個Pool內(nèi)的地址提供ARP代理功能，這樣對端設(shè)備能夠解析到IPPool地址的MAC地址（使用接口MAC地址響應(yīng)對方），以便于返回報文能夠送達(dá)SRX。

值得注意的是SRX不會自動為NAT規(guī)則生成proxy-arp配置，因此如果NAT地址翻譯之后的地址跟出向接口地址不同但在同一網(wǎng)絡(luò)內(nèi)時，必須手工配置相應(yīng)接口proxy-arp以代理相關(guān)IP地址的ARP查詢回應(yīng)，否則下一條設(shè)備會由于不能通過ARP得到NAT地址的MAC地址而不能構(gòu)造完整的二層以太網(wǎng)幀頭導(dǎo)致通信失敗。

網(wǎng)頁題目：JunosSRXNAT介紹
標(biāo)題鏈接：http://jinyejixie.com/article34/pgeepe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、云服務(wù)器、商城網(wǎng)站、Google、定制開發(fā)、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)