Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

NAT 配置概述

本主题介绍如何配置网络地址转换 (NAT) 和多个 ISP。此外,本主题还有助于通过配置追踪选项和监控 NAT 表来验证 NAT 流量。

使用 NAT 向导配置 NAT

您可以使用 NAT 向导执行基本 NAT 配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。

要使用 NAT 向导配置 NAT,请执行以下作:

  1. 在 J-Web 界面中选择。Configure>Tasks>Configure NAT
  2. 单击“启动 NAT 向导”按钮。
  3. 按照向导提示进行作。

向导页面的左上角区域显示您在配置过程中所处的位置。页面的左下角区域显示字段敏感帮助。当您单击“资源”标题下的链接时,该文档将在您的浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而不是浏览器窗口)。

示例:为多个 ISP 配置 NAT

此示例说明如何为多个 ISP 的地址转换配置瞻博网络设备。

要求

开始之前:

  1. 在设备上配置网络接口。请参阅 安全设备接口用户指南

  2. 创建安全区域并为其分配接口。请参阅 了解安全区域

概述

在此示例中,您可以通过使用 NAT 功能,通过两个 ISP 连接将 LAN 连接到互联网,来配置 SRX 系列防火墙。在此配置中,信任是专用地址空间的安全区域,公共地址空间的两个不信任安全区域用于从 LAN 连接到两个 ISP,反之亦然。该示例是源 NAT 规则(用于从 LAN 连接到 Internet)与目标和静态 NAT 规则(用于从 Internet 连接到 LAN)的组合。

配置

为多个 ISP 配置 NAT

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》 中的在配置模式下使用 CLI 编辑器

  1. 配置路由实例。

  2. 配置 RIB 组和路由选项。

  3. 配置安全策略。

  4. 配置源 NAT 池和规则。

  5. 配置目标 NAT 池和规则。

  6. 配置静态 NAT 规则。

结果

在配置模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

验证接口

目的

验证接口配置是否正确。

行动

在作模式下,输入以下命令:

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

为 NAT 配置代理 ARP(CLI 过程)

您可以使用 NAT 代理 ARP 功能为需要源或目标 NAT 且与入口接口位于同一子网中的 IP 地址配置代理 ARP 条目。在 SRX 系列防火墙上,您必须显式配置 NAT 代理 ARP。

配置 NAT 代理 ARP 时,必须指定用于配置代理 ARP 的逻辑接口。然后输入地址或地址范围。

设备会在以下情况下执行代理 ARP:

  • 当静态 NAT 和源 NAT 池中定义的地址与入口接口的子网相同时

  • 当目标NAT规则中的原始目标地址条目中的地址与入口接口的子网相同时

配置 NAT 追踪选项

目的

NAT 追踪选项层次结构用于配置追踪文件和标志以进行验证。

SRX 系列防火墙有两个主要组件:路由引擎 (RE) 和数据包转发引擎 (PFE)。PFE 分为尤克纳尔部分和实时部分。

提交 NAT 配置时,首先在 RE 上检查和验证配置。验证后,配置将被推送到 PFE。配置安装在 ukernel PFE 上,然后对与实时 PFE 上的 NAT 规则匹配的每个数据包执行作。

为了进行验证,您可以单独打开标志以调试 RE、ukernel PFE 或实时 PFE 上的 NAT 功能:

  • nat-re 标志记录 RE 上的 NAT 配置验证和对 PFE 的配置推送的跟踪。

  • nat-pfe 标志记录了 ukernel PFE 上 NAT 配置安装的跟踪。

  • nat-rt 标志记录 NAT 规则匹配的跟踪,以及对实时 PFE 的后续作。

默认情况下,跟踪数据写入 /var/log/security-trace ,可以使用命令 show log security-trace查看。

如果在设备上的策略配置中启用了会话日志记录,则会话日志将包括每个会话的特定 NAT 详细信息。有关如何启用会话日志记录的信息,请参阅 监控安全策略统计 信息,以及 SRX 系列服务网关会话日志条目中提供的信息 ,了解会话日志中提供的信息。

行动

要验证 NAT 配置是否在提交时正确更新到设备,以及 NAT 规则匹配和后续作是否正确,请使用语 security nat traceoptions 句。

要验证是否正在将 NAT 转换应用于流量,并查看带有 NAT 转换的单个流量流处理,请同时使用security nat traceoptions命令和security flow traceoptions命令。这些命令会一起使用,因为除非还配置了命令,否则flow traceoptions不会记录使用命令配置的 security nat traceoptions NAT 跟踪。

要过滤特定流量,您可以定义数据包过滤器并将其用作跟踪选项:

要验证 NAT 流量并在数据平面中启用所有流量跟踪,请使用 traceoptions set security flow traceoptions flag basic-datapath 命令,如以下示例中使用简单数据包过滤器所示:

监控 NAT 传入表信息

目的

查看 NAT 表信息。

行动

在 J-Web 用户界面中选择 Monitor>NAT>Incoming Table ,或输入以下 CLI 命令:

show security nat incoming-table

表 1 汇总了传入表显示中的关键输出字段。

表 1:关键传入表输出字段摘要

统计学

使用中

NAT 表中的条目数。

最大

NAT 表中可能的最大条目数。

条目分配失败

分配失败的条目数。
传入表

清楚

目的地

目标 IP 地址和端口号。

主机

目标 IP 地址映射到的主机 IP 地址和端口号。

引用

引用条目的会话数。

超时

NAT 表中条目的超时(以秒为单位)。

源池

分配翻译的源池的名称。

监控接口 NAT 端口信息

目的

查看接口源池信息的端口使用情况。

行动

要监控接口 NAT 端口信息,请执行下列作之一:

  • 在 J-Web 用户界面中选择 监控>防火墙/NAT>接口 NAT监控>NAT>接口 NAT 端口 ,或输入 CLI 命令 show security nat interface-nat-ports

表 2 汇总了接口 NAT 显示中的键输出字段。

表 2:关键接口 NAT 输出字段汇总

其他信息
接口 NAT 汇总表

池索引

端口池索引。

端口总数

端口池中的端口总数。

分配的单个端口

一次分配一个正在使用的端口数。

提供单端口

一次分配一个可供免费使用的端口数。

分配的双端口

一次分配两个正在使用的端口数。

提供双端口

一次分配两个可供免费使用的端口数。