juniper配置-静态NAT

 

Junos静态NAT+端口映射

 

要建立junos的静态NAT和端口映射关系，那么需要先明白一些事情，尤其是它与screen os的区别，它与screen os的区别在于以下三点

1、 在screen os里面，做公网与私网一对一的映射的功能叫做MIP，而在junos里面叫做静态NAT

2、 在screen os里面，在对MIP所对应的主机开放端口时，是需要调用刚才建立的MIP关系，而在junos 里面则不用

3、 Junos在建立完静态映射之后，需要在建立一条proxy-arp的概念

明白这三点以后，接下来还要了解一下junos的静态NAT的工作方式：当广域网的机器在访问公司的服务器的某个端口的时候，是先访问这台服务器的公网IP——公网IP在通过静态NAT找到服务器的私网IP——服务器的私网IP在去找发布的策略——发布的策略在去调用刚刚建立的地址和应用

环境模拟：

一台juniper SRX 650防火，系统为junos，untrsut口地址是211.147.75.194/27，trust口地址为10.10.8.1/7，现在trust下面连接一台服务器10.10.11.11，现在外面用户希望在通过公网IP211.147.75.208来远程访问10.10.11.11这台服务器的3389端口

 

先用CLI命令来进行配置

全局下的基本配置

1、配置端口IP及路由

set interfaces ge-0/0/0 unit 0 family inet address 211.147.75.194/27

#配置untrust口的地址是211.147.75.194，默认ge-0/0/0端口是untrust口，至于为什么用unit 0我确实不清楚，配置完后，你不会看到ge-0/0/0的IP地址是211.137.75.194，而是看到ge-0/0/0.0的一个子接口的IP地址是211.147.75.194

set interfaces ge-0/0/1 unit 0 family inet address 10.10.8.1/8

#配置一个内网的端口的IP地址是10.10.8.1/8，同理，你不会看到ge-/0/01的IP是10.10.8.1，你只能看到一个子接口ge-0/0/1.0的IP地址是10.10.8.1

set routing-options static route 0.0.0.0/0 next-hop 211.147.75.193

#配置一条默认路由，下一跳网网是211.147.75.193，这是我们ISP的网关

set system name-server 8.8.8.8

#配置DNS为8.8.8。8

2、建立远程登陆用户

set system login user test uid 2000

#建立一个登陆的用户test，它的UID是2000，默认也是以2000开始的

set system login user hdlxinyu class super-user

#设置该用户的权限是超级管理员

set system login user test uid 2000 authentication plain-text-password

输入密码：

在次输入密码

#设置该用户的密码，密码是名文方式，但是在显示的时候，会以加密的形式显示，官方不推荐用加密的方式来设置密码，所说是验证时会出现问题，我未做过相应偿试，所以无权反驳这个结论）

3、开启设备端口的服务

set system services telnet

#开启telnet服务，要想开启设备的某个端口下开启一个服务，那么首先要在配置模式下开启这个服务，比如我这里开启的telnet

set security zones security-zone untrust host-inbound-traffic system-services telnet

#定义访问这个服务的方向，当然是从untrust口流入的

set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services telnet

#再在这个接口下面开启相对应的服务，如我现在将untrust口的telnet服务打开，同理开启webmanager/ftp/tftp/https等服务都是一样

4、定义一个静态NAT，将开放相应的端口

要求：将服务器地址为10.10.11.11/8的这台服务器的3389端口开放出去，外部用户在访问这台机器的3389时，用的公网IP是211.147.75.208/27

set security nat static rule-set static-nat from zone untrust

#做静态映射，因为我是做一个公网对私网的映射，所以方向是从untrust

set security nat static rule-set static-nat rule rule5 match destination-address 211.147.75.208/32

#定义一个NAT的名字叫做static-nat，规则叫做rule5，所匹配的公网IP地址是211.147.75.208/32（这里用32掩码是为了精确匹配这某一个公网IP）

set security nat static rule-set static-nat rule rule5 then static-nat prefix 10.10.11.11/32

#对于这条名叫static-nat规则是rule5的静态NAT，配置对应的私网IP地址10.10.11.11

set security nat proxy-arp interface ge-0/0/0.0 address 211.147.75.208/32

#最后在设置一条proxy-arp，端口是untrust端口，我的设备的untrust端口是ge-0/0/0.0，在写上要对应的公网IP

接下来就需要做策略的调用

注意：junos和screen OS在NAT/MIP的不同之处在于，screen os在做完MIP映射之后，还需要做一条对映的策略，这条策略的目的是用来发布MIP所建立的公网与私网的关系，而junos的不同之处在于，它在做完静态NAT映射之后，也需要用策略来发布所做的映射，唯一不同的是，在这里是不需要调用刚刚所做的NAT映射的）

set applications application remote-3389 protocol tcp

#建立一条应用名字叫做remote-3389，所用到的协议是TCP

set applications application remote-3389 source-port 1-65535

   #设置该应用的源端口是所有，通常写成1-65535

set applications application remote-3389 destination-port 3389

   #设置该应用的目的端口是3389

   set security zones security-zone trust address-book address 10.10.11.11 10.10.11.11/32

   #建立一个地址簿，名字叫做10.10.11.11，所对应的地址是10.10.11.11/32，因为这个地下是trust端口的地址，所以在选择区域的时候，需要选择trust

   set security policies from-zone untrust to-zone trust policy CE-3850-policy match

destination-address 10.10.11.11

   #建立一条策略，策略的名字叫做CE-3850,所匹配的目地地址是刚刚建立的名字叫做10.10.11.11的地址，方向是从untrust到trust

   set security policies from-zone untrust to-zone trust policy CE-3850-policy match application remote-3389

   #在这条策略上面调用remote-3389这个应用

   现在就已经将211.147.75.208-10.10.11.11所对映的这条NAT关系的3389端口开放出去了

  整理一下思路，要做一条MIP映射，并且要开放端口，步骤是

建立NAT映射关系

建立proxy-arp地址

建立一条应用

建立一个地址

建立二条策略调用地址和应用

接下来用图形界面来演示

1、配置untrust口IP地址为211.147.75.208/27

用IE登入设备后，点击Interfaces-Link Aggregation，在点右上角的Edit，默认灰色的是无法输入，zone区域输入untrust，选择IPV4 Address，Add，输入ISP提供的公网地址211.147.75.208/27

2、配置trust口地址为10.10.8.1/7

点击Interfaces，Link Aggregation，Eddit，zone区域选择trust，选择IPV4 Address，Add，输入trust口地址10.10.8.1/7

3、添加一条默认路由

点击Routing，Static Routing，选择IPV4，IP address输入0.0.0.0，Subnet mask输入0.0.0.0，在点击Add，输入下一跳网关211.147.75.193

4、添加一个超级管理员用户，用来远程telnet或者http管理

点击System Properties，Edit，User Mangerment，user id输入2000，输入密码，确认密码，login class选择super-user，点击Add

5、开启untrust端口的telnet/http/https服务，但首先需要在配置模式下开启

点击system properties，Edit，managerment access，managerment，勾选Enable telnet/Enable HTTP/Enable HTTPS，最后选择所有的端口

6、开启端口下的telnet/http/https/等应用

点击Security，zones/screens，Main，选择端口ge-0/0/0.0，也就是untrust端口，在选择Host inbound traffic-zone，在下面的services里面选择telnet/http/https等服务

 

7、建立静态nat映射

点击Nat，static NAT，输入NAT名字static nat，在from区域里面选择untrust，点击Add，输入规则名字,rule5，输入destination address 211.137.75.208/32，输入static pprefex地址10.10.11.11/32

8、建立proxy arp关系

点击nat，proxy arp，Add，在interface里面选择ge-0/0/0.0，address/range里输入211.147.75.208，点击Add

9、建立一条3389的应用，名字叫作remote-3389

点击security，policy elements，applications，Add，在Application name里输入remote-3389，mattch ip protocol里输入tcp，destination port里输入3389，source port里输入1-65535

10、建立一个地址簿，因为是要访问10.10.11.11，而这个地址属于trust

点击security，policy elements，address book，Add，在zone里面选择trust，Address name里输入10.10.11.11（这个名字可以叫别的，我是为了以后区分方便就写了10.10.11.11），在下面的地址栏里输入10.10.11.11/32

11、建立一条策略，调用刚才设置的应用和地址

点击security，policy，FW Policies，Add，在policy name里输入test，在policy action里选择permit，在from zone里选择untrust，在to zone里面选择trust，在source address里选择any，在destination address里选择刚才建立的地址名称10.10.11.11，在下面的应用里选择remote-3389

到此，211.147.75.208-10.10.11.11对应的3389端口已开放成功

转载于:https://blog.51cto.com/kqpynn/843588