示例：用于 NAT 和有状态防火墙的单个 MX 系列（基于 ECMP 的一致散列）和横向扩展的 SRX 系列防火墙（独立） |Connected Security 分布式服务架构 |瞻博网络

概述

表 1 显示了示例中使用的部署组件。

表 1：部署详细信息
CSDS 组件	详细信息
转发层	带有 Junos OS 23.4R1 或更高版本的 MX304
服务层	vSRX 3.0（带 Junos OS 23.4R1 或更高版本）的
冗余	单个 MX 系列，具有基于 ECMP 的一致散列功能，适用于负载平衡器。 SRX 系列防火墙（独立）
特征	NAPT44 和有状态防火墙（IPv4 支持）
附加组件	用于信任和不信任网络的网关路由器。该示例使用 MX 系列。您可以使用任何设备。

流量见表 2 和表 3 。

表 2：NAT 的流量
功能	流量组件	IP 地址和端口号
SRX 系列防火墙（SRX1）上的 NAPT44	原始源数据客户端	140.0.0.0/8 和端口 22279
	原始目标 Internet 服务器	100.1.1.0/24 和端口 70
	在 NAT 源之后	192.168.64.0/24 和端口 2480
	NAT 目标之后	100.1.1.0/24 和端口 70
SRX 系列防火墙（SRX2）上的 NAPT44	原始源数据客户端	140.0.0.0/8 和端口 22279
	原始目标 Internet 服务器	100.1.1.0/24 和端口 70
	在 NAT 源之后	192.169.64.0/24 和端口 2480
	NAT 目标之后	100.1.1.0/24 和端口 70
SRX 系列防火墙（SRX3）上的 NAPT44	原始源数据客户端	140.0.0.0/8 和端口 22279
	原始目标 Internet 服务器	100.1.1.0/24 和端口 70
	在 NAT 源之后	192.170.64.0/24 和端口 2480
	NAT 目标之后	100.1.1.0/24 和端口 70

表 3：状态防火墙服务的流量
功能	流量流组件	IP 地址
SRX 系列防火墙上的状态防火墙服务（SRX1、SRX2 和 SRX3）	源数据客户端	141.0.0.0/8
	目标互联网服务器	100.1.1.0/24
	带状态防火墙的 SRX 系列 - 来源链接	141.0.0.0/8
	带状态防火墙的 SRX 系列 - 目标	100.1.1.0/24

流量见表 4 和表 5 。

表 4：用于 NAT 服务的 SRX 系列防火墙的负载平衡器
流类型	流量流组件	IP 地址
正向流	源负载均衡器（MX 系列上的路由过滤器）	0.0.0.0/0
逆流	目标负载均衡器（基于路由）	基于唯一 NAT 池 IP 地址范围

表 5：负载平衡器到 SRX 系列防火墙的状态防火墙服务
流类型	流量流组件	IP 地址
正向流	源负载均衡器（MX 系列上的路由过滤器）	0.0.0.0/0
逆流	目标负载均衡器（MX 系列上的路由过滤器）	141.0.0.0/8

拓扑图示

图 1：用于 NAT 和有状态防火墙服务的单个 MX 系列（基于 ECMP 的一致散列）和横向扩展的 SRX 系列防火墙 Network diagram showing SRX Series devices in AS 500 with NAT pools connected to MX Series. MX acts as a hub with TRUST_VR and UNTRUST_VR connections to Gateway Router and Internet Server. Data Clients have stateful firewall and NAT.

Network diagram showing SRX Series devices in AS 500 with NAT pools connected to MX Series. MX acts as a hub with TRUST_VR and UNTRUST_VR connections to Gateway Router and Internet Server. Data Clients have stateful firewall and NAT.

图 2：NAPT44 和有状态防火墙服务的正向流的路由播发 Network diagram showing SRX devices in AS 500 with NAT Pools, MX Series as central hub, Gateway Router with TRUST_VR and UNTRUST_VR, Data Clients with NAT and Stateful Firewall, and Internet Server with IP range 100.1.1.0/24.

Network diagram showing SRX devices in AS 500 with NAT Pools, MX Series as central hub, Gateway Router with TRUST_VR and UNTRUST_VR, Data Clients with NAT and Stateful Firewall, and Internet Server with IP range 100.1.1.0/24.

图 3：有状态防火墙服务 Network diagram showing traffic flow in an Autonomous System environment with SRX Series firewalls, MX Series router with virtual routers TRUST_VR and UNTRUST_VR, Gateway Router with similar virtual routers, Data Clients using subnets 140.0.0.0/8 and 141.0.0.0/8, and an Internet Server in subnet 100.1.1.0/24.

Network diagram showing traffic flow in an Autonomous System environment with SRX Series firewalls, MX Series router with virtual routers TRUST_VR and UNTRUST_VR, Gateway Router with similar virtual routers, Data Clients using subnets 140.0.0.0/8 and 141.0.0.0/8, and an Internet Server in subnet 100.1.1.0/24.

的反向流路由播发

图 4：NAT44 服务反向流的路由播发 Network diagram showing data flow between SRX Series in AS 500 with NAT pools, MX Series in AS 2000, and Gateway Router in AS 2500. Data Clients connect via stateful firewall. Internet Server at 100.1.1.0/24 through UNTRUST_VR.

Network diagram showing data flow between SRX Series in AS 500 with NAT pools, MX Series in AS 2000, and Gateway Router in AS 2500. Data Clients connect via stateful firewall. Internet Server at 100.1.1.0/24 through UNTRUST_VR.

配置

要快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中，然后从配置模式进入 commit。

这些配置是从实验室环境中捕获的，仅供参考。实际配置可能因环境的具体要求而异。

以下各项显示了此示例的配置组件列表：

配置 MX 系列
配置网关路由器
配置 SRX1
配置 SRX2
配置 SRX3

配置 MX 系列

配置网关路由器

配置 SRX1

配置 SRX2

配置 SRX3

验证

以下各项突出显示了此示例中用于验证功能的 show 命令列表。

验证 MX 系列配置
验证 SRX1 配置
验证 SRX2 配置
验证 SRX3 配置

验证 MX 系列配置

验证 SRX1 配置

验证 SRX2 配置

验证 SRX3 配置

本页内容

示例：用于 NAT 和有状态防火墙的单个 MX 系列（基于 ECMP 的一致散列）和横向扩展的 SRX 系列防火墙（独立）

概述

拓扑图示

配置

验证