目标 NAT
目标 NAT 更改通过路由器传输的数据包的目标地址。它还提供了在 TCP/UDP 报头中执行端口转换的选项。目标 NAT 主要用于将带有外部地址或端口目的地的传入数据包重定向到网络内部的 IP 地址或端口。
了解目标 NAT
目标 NAT 是进入瞻博网络设备的数据包的目标 IP 地址的转换。目标 NAT 用于将发往虚拟主机(由原始目标 IP 地址标识)的流量重定向至实际主机(由转换后的目标 IP 地址标识)。
执行目的 NAT 时,会根据配置的目标 NAT 规则转换目的 IP 地址,然后应用安全策略。
目标 NAT 只允许为传入网络连接启动连接,例如,从 Internet 到专用网络的连接。目标 NAT 通常用于执行以下作:
将单个 IP 地址转换为另一个地址(例如,以允许 Internet 上的设备连接到专用网络上的主机)。
将一个连续的地址块转换为另一个相同大小的地址块(例如,允许访问一组服务器)。
将一个目标 IP 地址和端口转换为另一个目标 IP 地址和端口(例如,允许使用相同 IP 地址但不同端口访问多个服务)。
支持以下类型的目标 NAT:
将原始目标 IP 地址转换为用户定义池中的 IP 地址。这种类型的转换不包括端口地址转换 (PAT)。如果原始目标 IP 地址范围大于用户定义地址池中的地址范围,则任何未转换的数据包都将被丢弃。
将原始目标 IP 地址(和可选端口号)从用户定义的池转换为一个特定的 IP 地址(和端口号)。
了解目标 NAT 地址池
NAT 池是一组用户定义的用于转换的 IP 地址。静态 NAT 具有一对一映射功能,包括单向目标 IP 地址转换和反向源 IP 地址转换,与静态 NAT 不同,使用目标 NAT,您可以将原始目的地址转换为地址池中的 IP 地址。
对于目标 NAT 地址池,请指定以下内容:
目标 NAT 地址池的名称
目标地址或地址范围
不要在一个路由实例中重叠源 NAT、目标 NAT 和静态 NAT 的 NAT 地址。
用于端口转发的目标端口
池所属的路由实例 - 未指定特定路由实例的目标 NAT 池将默认为入口区域的路由实例。
您可以将 NAT 池配置为存在于默认路由实例中。用于指定默认路由实例中存在 NAT 池的配置选项可用。因此,可以从默认路由实例中的区域以及其他路由实例中的区域访问 NAT 池。
了解目标 NAT 规则
目标 NAT 规则指定两层匹配条件:
流量方向 - 允许您指定
from interface、from zone或from routing-instance。数据包信息 — 可以是源 IP 地址、目标 IP 地址或子网、目标端口号或端口范围、协议或应用。
对于 ALG 流量,建议不要使用 destination-port 选项或 application 选项作为匹配条件。如果使用这些选项,转换可能会失败,因为应用程序有效负载中的端口值可能与 IP 地址中的端口值不匹配。
如果匹配条件中有多个目标NAT规则重叠,则选择最具体的规则。例如,如果规则 A 和 B 指定相同的源和目标 IP 地址,但规则 A 指定来自区域 1 的流量,规则 B 指定来自接口 ge-0/0/0的流量,则规则 B 将用于执行目标 NAT。接口匹配被认为比区域匹配更具体,而区域匹配比路由实例匹配更具体。
您可以为目标 NAT 规则指定的作包括:
off — 不执行目标 NAT。
pool — 使用指定的用户定义地址池执行目标 NAT。
目标 NAT 规则应用于为流处理的第一个数据包或 ALG 的快速路径中的流量。 目标 NAT 规则在静态 NAT 规则之后、源 NAT 规则之前进行处理。
目标 NAT 配置概述
目标 NAT 的主要配置任务如下:
- 配置符合您的网络和安全要求的目标 NAT 地址池。
- 配置符合您的网络和安全要求的目标 NAT 规则。
- 为入口接口同一子网中的 IP 地址配置 NAT 代理 ARP 条目。
示例:配置目标 NAT 以实现单个地址转换
此示例说明如何配置单个公共地址到私有地址的目标 NAT 映射。
使用静态 NAT 也可以将一个目标 IP 地址映射到另一个目标 IP 地址。 静态 NAT 映射允许从网关设备的任一端建立连接,而目标 NAT 只允许从一端建立连接。但是,静态 NAT 只允许从一个地址转换到另一个地址,或者在相同大小的地址块之间进行转换。
要求
概述
目标 NAT 通常用于分发位于具有可公开访问 IP 地址的专用网络中的服务。这允许用户使用具有公共 IP 地址的专用服务。目标 NAT 地址池和目标 NAT 规则配置用于协调您的网络并提高安全要求。
在此示例中,首先为专用地址空间配置信任安全区域,然后为公共地址空间配置不信任安全区域。在 图 1 中,不信任区域中的设备通过公共地址 203.0.113.200/32 访问信任区域中的服务器。对于从目标 IP 地址为 203.0.113.200/32 的不信任区域进入瞻博网络安全设备的数据包,目标 IP 地址将转换为专用地址 192.168.1.200/32。
拓扑学
该示例中的配置参数如表1所示。
参数 |
描述 |
|---|---|
trust 区段 |
专用地址空间的安全区域。 |
不信任区段 |
公共广播空间的安全区域。 |
192.168.1.200/32 |
转换目标 NAT IP 地址。 |
192.168.1.0/24 |
专用区域中的专用子网。 |
203.0.113.200/32 |
服务器的公共地址。 |
服务器 |
专用地址空间的服务器地址。 |
ge-0/0/0 和 ge-1/0/0 |
用于流量方向的 NAT 接口。 |
此示例介绍以下配置:
包含 IP 地址 192.168.1.200/32 的目标 NAT 池
dst-nat-pool-1。目标 NAT 规则集
rs1,其中包含用于将从 ge-0/0/0.0 接口接收的数据包与目标 IP 地址 203.0.113.200/32 进行匹配的规则r1。对于匹配的数据包,目标地址将转换为池中的dst-nat-pool-1地址。接口 ge-0/0/0.0 上地址 203.0.113.200/32 的代理 ARP。这允许瞻博网络安全设备响应在该地址的接口上收到的 ARP 请求。
安全策略,允许从不信任区域到信任区域中转换的目标 IP 地址的流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置从公共地址到私有地址的目标 NAT 映射,请执行以下作:
创建目标 NAT 池。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
创建目标 NAT 规则集。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
配置一个规则,用于匹配数据包并将目标地址转换为池中的地址。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
在全局通讯簿中配置地址。
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
配置一个安全策略,允许从不信任区域到信任区域中的服务器的流量。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
结果
在配置模式下,输入show interfacesshow security zones、和show bridge-domains命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
确认配置工作正常。
验证目标 NAT 池使用情况
目的
验证是否存在使用来自目标 NAT 池的 IP 地址的流量。
行动
在作模式下,输入 show security nat destination pool all 命令。查看转换命中字段,以检查使用池中的 IP 地址的流量。
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
意义
命令 show security nat destination pool all 将显示转换地址池。查看转换命中字段,以检查使用池中的 IP 地址的流量。
验证目标 NAT 规则的使用情况
目的
验证是否存在与目标 NAT 规则匹配的流量。
行动
在作模式下,输入 show security nat destination rule all 命令。
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
意义
命令 show security nat destination rule all 将显示目标 NAT 规则。查看转换命中字段,以检查与目标规则匹配的流量。
验证单个地址转换的目标 NAT
目的
验证单个地址转换的目标 NAT 配置。
行动
在作模式下,输入 show security nat destination summary 命令。
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
意义
命令 show security nat destination summary 显示有关目标 NAT 配置的信息。您可以验证以下信息:
规则集
规则
地址范围
NAT 池
端口详细信息
验证 NAT 应用到流量
目的
验证是否将 NAT 应用于指定的流量。
行动
在作模式下,输入 show security flow session 命令。
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
意义
命令 show security flow session 显示设备上的活动会话以及每个会话的关联安全策略。输出显示进入设备的流量,这些流量发往位于 203.0.113.200 的公共主机,该主机将转换为专用目标 IP 地址 192.168.1.200。
Session ID- 标识会话的编号。使用此 ID 可以获取有关会话的更多信息,例如策略名称或进出数据包数。
server-access- 允许从不信任区域到信任区域中转换目标 IP 地址的流量的策略名称。
In—传入流(源和目标 IP 地址及其各自的源端口号和目标端口号,会话为 ICMP,此会话的源接口为 ge-0/0/0.0)。
Out- 反向流(源和目标 IP 地址及其各自的源和目标端口号,会话为 ICMP,此会话的目标接口为 ge-0/0/1.0)。
示例:配置 IP 地址和端口转换的目标 NAT
此示例介绍如何根据端口号配置公共地址到专用地址的目标 NAT 映射。
要求
开始之前:
在设备上配置网络接口。请参阅 安全设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全区域。
概述
此示例对专用地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。在 图 2 中,不信任区域中的设备通过端口 80 或 8000 上的公共地址 203.0.113.200 访问信任区域中的服务器。从不信任区域进入瞻博网络安全设备的数据包将映射到服务器的专用地址,如下所示:
目标 IP 地址 203.0.113.200 和端口 80 将转换为专用地址 192.168.1.200 和端口 80。
目标 IP 地址 203.0.113.200 和端口 8000 将转换为专用地址 192.168.1.220 和端口 8000。
此示例介绍以下配置:
包含 IP 地址 192.168.1.200 端口 80 的目标 NAT 池
dst-nat-pool-1。包含 IP 地址 192.168.1.220 和端口 8000 的目标 NAT 池
dst-nat-pool-2。目标 NAT 规则集
rs1,用于匹配从目标 IP 地址为 203.0.113.200 和目标端口 80 的不信任区域接收的数据r1包。对于匹配的数据包,目标地址将转换为池中的dst-nat-pool-1地址。目标 NAT 规则集
rs1,其中的规则r2用于匹配从目标 IP 地址为 203.0.113.200 和目标端口 8000 的不信任区域接收的数据包。为了匹配数据包,目标 IP 地址和端口将转换为池中的dst-nat-pool-2地址和端口。地址 203.0.113.200/32 的代理 ARP。这允许瞻博网络安全设备响应在该地址的接口上收到的 ARP 请求。
安全策略,允许从不信任区域到信任区域中转换的目标 IP 地址的流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
分步过程
下面的示例要求您在配置层次结构的各个层级中导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置从公共地址到私有地址的目标 NAT 映射,请执行以下作:
创建目标 NAT 池。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
创建目标 NAT 规则集。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
配置一个规则,用于匹配数据包并将目标地址转换为池中的地址。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
配置一个规则,用于匹配数据包并将目标地址转换为池中的地址。
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
在全局通讯簿中配置地址。
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
配置一个安全策略,允许从不信任区域到信任区域中的服务器的流量。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
结果
在配置模式下,输入 show security nat 和 show security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证目标 NAT 池使用情况
目的
验证是否存在使用来自目标 NAT 池的 IP 地址的流量。
行动
在作模式下,输入 show security nat destination pool all 命令。查看转换命中字段,以检查使用池中的 IP 地址的流量。
验证目标 NAT 规则的使用情况
目的
验证是否存在与目标 NAT 规则匹配的流量。
行动
在作模式下,输入 show security nat destination rule all 命令。查看转化命中字段,以检查与规则匹配的流量。
示例:配置子网转换的目标 NAT
此示例介绍如何配置公有子网地址到私有子网地址的目标 NAT 映射。
也可以使用静态 NAT 将地址从一个子网映射到另一个子网。 静态 NAT 映射允许从网关设备的任一端建立连接,而目标 NAT 只允许从一端建立连接。但是,静态 NAT 只允许相同大小的地址块之间进行转换。
要求
开始之前:
在设备上配置网络接口。请参阅 安全设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全区域。
概述
此示例对专用地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。在 图 3 中,不信任区域中的设备通过公共子网地址 203.0.113.0/24 访问信任区域中的设备。对于目标 IP 地址在 203.0.113.0/24 子网中从不信任区域进入瞻博网络安全设备的数据包,目标 IP 地址将转换为 192.168.1.0/24 子网上的专用地址。
此示例介绍以下配置:
包含 IP 地址 192.168.1.0/24 的目标 NAT 池
dst-nat-pool-1。目标 NAT 规则集
rs1,用于r1将从 ge-0/0/0.0 接口接收的数据包与 203.0.113.0/24 子网上的目标 IP 地址进行匹配。对于匹配的数据包,目标地址将转换为池中的dst-nat-pool-1地址。接口 ge-0/0/0.0 上地址 203.0.113.1/32 到 203.0.113.62/32 的代理 ARP;这些是应从 203.0.113.0/24 子网转换的主机的 IP 地址。这允许瞻博网络安全设备响应接口上针对这些地址收到的 ARP 请求。地址 203.0.113.0/24 已分配给接口本身,因此此地址不包含在代理 ARP 配置中。不在 203.0.113.1/32 到 203.0.113.62/32 范围内的地址预计不会出现在网络上,也不会被转换。
安全策略,允许从不信任区域到信任区域中转换的目标 IP 地址的流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
分步过程
下面的示例要求您在配置层次结构的各个层级中导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置从公有子网地址到私有子网地址的目标 NAT 映射:
创建目标 NAT 池。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
创建目标 NAT 规则集。
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
配置一个规则,用于匹配数据包并将目标地址转换为池中的地址。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
在全局通讯簿中配置地址。
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
配置安全策略,允许流量从不信任区域流向信任区域中的设备。
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
结果
在配置模式下,输入 show security nat 和 show security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证目标 NAT 池使用情况
目的
验证是否存在使用来自目标 NAT 池的 IP 地址的流量。
行动
在作模式下,输入 show security nat destination pool all 命令。查看转换命中字段,以检查使用池中的 IP 地址的流量。
验证目标 NAT 规则的使用情况
目的
验证是否存在与目标 NAT 规则匹配的流量。
行动
在作模式下,输入 show security nat destination rule all 命令。查看转化命中字段,以检查与规则匹配的流量。
监控目标 NAT 信息
目的
查看目标网络地址转换(NAT)汇总表和指定NAT目的地址池信息的详细信息。
行动
在 J-Web 用户界面中选择 Monitor>NAT> Destination NAT ,或输入以下 CLI 命令:
show security nat destination summaryshow security nat destination pool pool-name
表 2 汇总了目标 NAT 显示中的关键输出字段。
田 |
值 |
行动 |
|---|---|---|
| 规则 | ||
规则集名称 |
规则集的名称。 |
从列表中选择要显示的所有规则集或特定规则集。 |
规则总数 |
配置的规则数。 |
– |
编号 |
规则 ID 号。 |
– |
名字 |
规则的名称。 |
– |
规则集名称 |
规则集的名称。 |
– |
从 |
数据包流经的路由实例/区域/接口的名称。 |
– |
源地址范围 |
源池中的源 IP 地址范围。 |
– |
目标地址范围 |
源池中的目标 IP 地址范围。 |
– |
目标端口 |
目标池中的目标端口。 |
– |
IP 协议 |
IP 协议。 |
– |
行动 |
对与规则匹配的数据包执行的作。 |
– |
报警阈值 |
利用率警报阈值。 |
– |
会话(成功/失败/当前) |
成功、失败和当前会话。
|
– |
翻译命中率 |
转换表中的转换用于目标 NAT 规则的次数。 |
– |
| 池 | ||
池名称 |
池的名称。 |
从列表中选择要显示的所有池或特定池。 |
池总数 |
添加的池总数。 |
– |
编号 |
池的 ID。 |
– |
名字 |
目标池的名称。 |
– |
地址范围 |
目标池中的 IP 地址范围。 |
– |
港口 |
池中的目标端口号。 |
– |
路由实例 |
路由实例的名称。 |
– |
地址总数 |
总 IP 地址、IP 地址集或地址簿条目。 |
– |
翻译命中率 |
转换表中的转换用于目标 NAT 的次数。 |
– |
| 十大翻译点击率 | ||
图 |
显示排名前 10 位的翻译命中次数的图表。 |
– |