Juniper--cli----NAT配置笔记

最新推荐文章于 2023-09-04 14:28:20 发布
最新推荐文章于 2023-09-04 14:28:20 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 防火墙专栏 文章标签: network juniper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43331152/article/details/101263462
版权

地址转换配置

SRX NAT 和Policy 执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy 时需注意:Policy 中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy 中的源和目的地址应该是源和目的两端的真实IP 地址。

SRX 还多了一个proxy-arp 概念,如果定义的IP Pool(可用于源或目的地址转换)需配置SRX 对这个Pool 内的地址提供ARP 代理功能,这样对端设备能够解析到IP Pool 地址的MAC 地址
(使用接口MAC 地址响应对方),以便于返回报文能够送达SRX

1,Interface based Nat 基于接口的源地址转换

指出站流量从一个方向上流出时,将源地址转换为出口的接口地址。最常见应用于内网访问互联网时。
本例中内网段 172.17.1.0 要访问互联网时,需要做一个基于接口的源地址转换,使访问外网时的源地址转换为外网的接口地址:192.168.1.239

set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match sourceaddress 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface
Source Nat 配置完成后,一定要有相同方向上的策略允许才能完成通讯

2,Pool based Source Nat 基于地址池的源地址转换

与基于接口的源地址转换不同的是,将源地址转换为一个地址池中的地址,可以是一个也可以是多个。
本例中设置一个 Name 为 Snatpool 地址范围从 192.168.1.220-230 的 Pool。 并且让172.17.1.0/24 段的地址使用该 SnatPool。

CLI配置如下:
set security nat source pool snatpool address 192.168.1.220/32 to 192.168.1.230/32
set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule snatpool220-230 match sourceaddress 172.17.1.0/24
set security nat source rule-set trust-to-untrust rule snatpool220-230 then sourcenat pool snatpool
set security nat proxy-arp interface ge-0/0/0.0 address 192.168.1.220/32 to 192.168.1.230/32
需要注意的是:定义Pool 时不需要与Zone 及接口进行关联。配置proxy-arp 目的是让返回包能够送达SRX,如果Pool 与出接口IP不在同一子网,则对端设备需要配置指向 ge-0/0/0.0 接口的 Pool 地址路由。

3,Pool based Destination Nat 基于地址池的目标地址转换

这种 NAT 主要用于一对多的 IP 端口转换,类似于 SCREENOS 中的 VIP,常用于内部有多个地址端口要映射到公网,但公网地址又不够用的情况。可以对 IP 和端口同时转换。

本例中将内部 IP-172.16.1.11 的 3389 端口转换成 192.168.1.236 的 3389

在 CLI 管理方式中的相关配置

/NAT 部分配置/
set security nat destination pool srv11-3389 address 172.16.1.11/32
set security nat destination pool srv11-3389 address port 3389
set security nat destination rule-set utot from zone untrust
set security nat destination rule-set utot rule u236-srv11-3389 match sourceaddress 0.0.0.0/0
set security nat destination rule-set utot rule u236-srv11-3389 match destinationaddress 192.168.1.236/32
set security nat destination rule-set utot rule u236-srv11-3389 match destinationport 3389
set security nat destination rule-set utot rule u236-srv11-3389 then destinationnat pool srv11-3389
/定义 3389 服务/
set applications application tcp-3389 protocol tcp
set applications application tcp-3389 destination-port 3389
/定义 SRV11 地址/
set security zones security-zone trust address-book address srv11 172.16.1.11/32
/增加策略/
set security policies from-zone untrust to-zone trust policy utot-srv11-3389 match source-address any
set security policies from-zone untrust to-zone trust policy utot-srv11-3389 match destination-address srv11
set security policies from-zone untrust to-zone trust policy utot-srv11-3389 match application tcp-3389
set security policies from-zone untrust to-zone trust policy utot-srv11-3389 then permit

4,Pool based Static Nat 基于地址池的静态地址转换
本例中,定义一条 Static Nat,外网的 192.168.1.237 对应内网的 172.16.1.10

在 CLI 管理方式中的相关配置
/Static Nat 处配置/
set security nat static rule-set SUTOT from zone untrust
set security nat static rule-set SUTOT rule U237-SRV10 match destination-address
192.168.1.237/32
set security nat static rule-set SUTOT rule U237-SRV10 then static-nat prefix
172.16.1.10/32
set security nat proxy-arp interface ge-0/0/0.0 address 192.168.1.237/32
/SRV10 地址配置/
set security zones security-zone trust address-book address SRV10 172.16.1.10/32
/策略配置/
set security policies from-zone untrust to-zone trust policy U237-SRV10 match source-address any
set security policies from-zone untrust to-zone trust policy U237-SRV10 match destination-address SRV10
set security policies from-zone untrust to-zone trust policy U237-SRV10 match application any
set security policies from-zone untrust to-zone trust policy U237-SRV10 then permit

此去经年c
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Juniper防火墙模式及配置
07-16
Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。
juniper-中文.rar
01-07
juniper-中文配置中文文档juniper-中文配置中文文档
juniper SRX防火墙NAT 专题
网络之路Blog(其他平台同名)
03-07 672
文档查看须知 测试环境:SRX 220H两台 配置须知:SRX 220H默认带外管理口Ge-0/0/6控制口:Ge-0/0/7数据同步口:Ge-0/0/1 使用集群后则集群后接口标示为:Ge-0/0/0-7; Ge-3/0/0-7 (不同型号集群后接口显示不同,详情见官方文档) 拓扑对应IP:G-0/0/3:192.168.3.1/24 G-0/0/4:192.168.4.1/24 G-0/0/5:192.168..5.1/24 MGT:10.10.30.189-190/24 F0/0:192.168.4
Juniper防火墙NAT配置示例
12-13 4825
案例1:内部服务器网段需要上网访问internet (源地址NAT) 需求:内部服务器网段172.16.1.0/24想要访问internet,172.16.1.0/24属于trust区域,互联网专线的接口属于untrust。 分析:此时需要配置源地址转换,将源地址172.16.1.0/24转换为互联网的出接口地址。 配置示例: set security nat source rule-set src-nat from zone trust set security nat source rule-
Juniper 多网口、多网段NAT上网设置(已验证)
潇洒哥的运维之道
11-23 4581
Juniper 多网口、多网段NAT上网设置   本例以juniper netscreen-25为例,默认ethernet3是untrust口,设置静态公网ip上网,或者设置pppoe拨号上网。ethernet是trust口默认为192.168.1.1/24为nat上网模式。 那么如何将ethernet4口设置为10.10.10.1/24,同时让其网段能上网呢? 1.       首先可以...
Juniper--CLI配置
qq_43331152的博客
09-24 522
配置路由: set routing-options static route 0.0.0.0/0 next-hop 192.168.1.253 配置接口IP及划zone: 接口设置IP地址 set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.239/24 set interfaces vlan unit 0 family ine...
Juniper-网络准入控制解决方案.doc
06-20
Juniper-网络准入控制解决方案.doc
Juniper-HA配置方法
05-25
Juniper-HA配置方法
Juniper SD-WAN解决方案文档
06-02
Juniper SD-WAN解决方案】是Juniper Networks在收购128Technology后推出的创新网络解决方案,旨在解决传统广域网(WAN)面临的一系列挑战。Session Smart Router是该方案的核心,它是一种针对业务需求而设计的新...
Juniper SRX-NAT配置.pdf
09-12
Juniper SRX-NAT配置常规配置
Juniper防火墙CLI配置手册
12-03
本文档是Juniper防火墙基于CLI方式配置手册,内容包含基本配置及排错.
JUNIPER 最基本的配置图解
08-17
JUNIPER防火墙的最基本的配置图解,高深的没有,只是基础的,针对第一次接触juniper的人员
juniper junos基本操作配置
11-14
juniper junos的基本操作配置命令
juniper防火墙开启NAT功能
weixin_33841503的博客
02-22 947
好久没有配置juniper的防火墙了,最近需要配置一台juniper的SSG-550,只是简单的防火墙网关,需要NAT代理上网,但NAT一直做不好,最后发现原来是juniper防火墙启用NAT需要两个步骤,一个是接口模式选择“NAT”,二是放行的策略中,高级选项中开启“Source Translation”(就是这个没配置)。选择使用接口地址作为DIP的地址。 转载...
华为、思科、Juniper 三厂商NAT配置详解
网络技术联盟站
05-23 1681
华为、思科和Juniper都是知名的网络设备制造商,提供了强大的NAT功能。在配置NAT时,我们需要指定内部接口和外部接口,定义地址池或地址组,并使用ACL或规则集来确定需要进行NAT转换的流量。华为使用"nat outbound"命令和地址组来配置NAT,思科使用"ip nat"命令和地址池来配置NAT,而Juniper使用"set security nat"命令和地址池来配置NAT。这些配置示例仅为基本示例,实际的NAT配置可能更加复杂,涉及到端口转换、静态NAT、动态NAT等更高级的功能。
Juniper简单配置
weixin_34315485的博客
05-26 142
cliconfigureload factory-defaultset system root-authentication plain-text-passwordshow system root-authenticationset system login user lab class super-user authentication plain-text-passwor...
Juniper SRX300系列 —— 防火墙端口映射配置详解
最新发布
茉清语
09-04 771
静态端口映射:就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。
Juniper SRX防火墙-NAT
ztejiagn的专栏
05-08 3030
http://hi.baidu.com/ccie33/item/2a0c995c8f33e5ccd2e10c35 Juniper SRX防火墙-NAT学习笔记!! Junos NAT 第一部分:SRX NAT介绍 第二部分:Source NAT:Interface NAT 第三部分:Source NAT:Address Pools 第四部分:Destin
Juniper 防火墙简明配置手册
Jian Sun_的博客
01-17 7751
 Juniper SRX防火墙简明配置手册   SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软.
juniper,storm-control配置命令
03-14
Juniper设备的storm-control配置命令可以通过以下命令进行配置set interfaces <interface-name> storm-control action <action> threshold 。其中,<interface-name>是接口名称,是指定当流量超过阈值时采取的操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值