Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT 概述

网络地址转换 (NAT) 是一种在数据包发送到互联网时将计算机或计算机组的 IP 地址转换为单个公共地址的机制。通过转换 IP 地址,只会向外部网络公布一个 IP 地址。由于只有一个 IP 地址对外界可见,因此 NAT 提供了额外的安全性,整个网络只能有一个公共地址,而不是有多个 IP 地址。

NAT 简介

网络地址转换 (NAT) 是一种修改或转换数据包标头中的网络地址信息的方法。数据包中的源地址和目标地址可以转换其中一个或两个。NAT 可以包括端口号和 IP 地址的转换。

RFC 1631 中介绍了用于解决 IP(版本 4)解决耗尽问题的 NAT。从那时起,NAT 就被发现是防火墙、流量重定向、负载共享、网络迁移等的有用工具。

瞻博网络设备支持以下类型的 NAT:

  • 静态 NAT

  • 目标 NAT

  • 源 NAT

注意:

SRX 系列防火墙会根据转换后的目标端口执行策略查找和服务查找。

您可以使用 NAT 向导执行基本 NAT 配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。

从 Junos OS 19.3R1 版开始,具有 SRX5K-SPC3 卡、SRX4100、SRX4200和 vSRX 虚拟防火墙实例的SRX5000系列设备支持 NAT 功能,如源 NAT、目标 NAT 和静态 NAT,适用于 PowerMode IPsec (PMI) 模式下的 IPv4 和 IPv6 流量。在 PMI 模式下不支持 NAT64。但是,当启用 PMI 时,NAT64 在正常模式下工作正常。

了解 NAT 规则集和规则

NAT 处理以评估 NAT 规则集和规则为中心。规则集确定要处理的流量的总体方向。例如,规则集可以选择来自特定接口或流向特定区域的流量。一个规则集可以包含多个规则。找到与特定流量匹配的规则集后,将评估规则集中的每个规则是否匹配。规则集中的每个规则都进一步指定要匹配的流量以及流量与规则匹配时要执行的操作。

本主题包括以下部分:

NAT 规则集

规则集指定一组常规的流量匹配条件。对于静态 NAT 和目标 NAT,规则集指定以下内容之一:

  • 源接口

  • 源区域

  • 源路由实例

对于源 NAT 规则集,您可以同时配置源和目标条件:

  • 源接口、区域或路由实例

  • 目标接口、区域或路由实例

一个数据包可以匹配多个规则集;在这种情况下,将使用具有更具体匹配项的规则集。接口匹配被认为比区域匹配更具体,区域匹配比路由实例匹配更具体。如果数据包同时匹配指定源区域的目标 NAT 规则集和指定源接口的目标 NAT 规则集,则指定源接口的规则集是更具体的匹配项。

源 NAT 规则集匹配更为复杂,因为您可以在源 NAT 规则集中同时指定源条件和目标条件。如果数据包与多个源 NAT 规则集匹配,则所选规则集基于以下源/目标条件(按优先级顺序):

  1. 源接口/目标接口

  2. 源区域/目标接口

  3. 源路由实例/目标接口

  4. 源接口/目标区域

  5. 源区域/目标区域

  6. 源路由实例/目标区域

  7. 源接口/目标路由实例

  8. 源区域/目标路由实例

  9. 源路由实例/目标路由实例

例如,您可以配置规则集 A(指定源接口和目标区域)和规则集 B(指定源区域和目标接口)。如果数据包与两个规则集匹配,则规则集 B 是更具体的匹配项。

注意:

不能为源 NAT 规则集指定相同的源和目标条件。

NAT 规则

找到与流量匹配的规则集后,将评估规则集中的每个规则以进行匹配。NAT 规则可以匹配以下数据包信息:

  • 源地址和目标地址

  • 源端口(仅适用于源和静态 NAT)

  • 目标端口

使用规则集中与流量匹配的第一个规则。如果在会话建立期间数据包与规则集中的规则匹配,则根据该规则指定的操作处理流量。

您可以使用 显示安全 nat 源规则显示安全 nat 目标规则 以及 显示安全 nat 静态规则 命令来查看特定规则的会话数。

规则处理

NAT 类型决定了处理 NAT 规则的顺序。在流的第一个数据包处理期间,将按以下顺序应用 NAT 规则:

  1. 静态 NAT 规则

  2. 目标 NAT 规则

  3. 路由查找

  4. 安全策略查找

  5. 静态 NAT 规则的反向映射

  6. 源 NAT 规则

图 1 说明了 NAT 规则处理的顺序。

图 1: NAT 规则处理 NAT Rule Processing

静态 NAT 和目标 NAT 规则在路由和安全策略查找之前进行处理。静态 NAT 规则优先于目标 NAT 规则。静态 NAT 规则的反向映射在路由和安全策略查找之后进行,并优先于源 NAT 规则。源 NAT 规则在路由和安全策略查找以及静态 NAT 规则的反向映射之后进行处理。

对于每种类型的 NAT(源、目标或静态),规则和规则集的配置基本相同。但由于目标和静态 NAT 都是在路由查找之前处理的,因此您无法在规则集中指定目标区域、接口或路由实例。

NAT 规则容量

表 1 提供了每台设备的 NAT 规则容量要求。平台支持取决于安装中的 Junos OS 版本。

表 1: SRX 系列防火墙上的规则数

NAT 规则类型

SRX100

SRX300SRX320

SRX340SRX345

SRX1500

SRX1600

SRX2300

SRX4100 SRX4200

SRX4600

SRX5400 SRX5600SRX5800

源 NAT 规则

1024

1024

2048

8192

8192

10,000

20,480

51,200

30,720

目标 NAT 规则

1024

1024

2048

8192

8192

10,000

20,480

51,200

30,720

静态 NAT 规则

1024

1024

2048

8192

8192

10,000

20,480

51,200

30,720

对每个规则集的规则数量的限制是设备范围内对设备可以支持的规则数量的限制。提供此限制是为了帮助您更好地规划和配置设备的 NAT 规则。

对于内存消耗,无法保证 SRX3400、SRX3600、SRX5400、SRX5600 和 SRX5800 设备同时支持这些数字(最大源规则或规则集 + 最大目标规则或规则集 + 最大静态规则或规则集)。

表 2 提供了建议的最大规则数和规则集,适用于 SRX3400、SRX3600、SRX5400、SRX5600 和 SRX5800 设备。平台支持取决于安装中的 Junos OS 版本。

表 2:规则和规则集的数量

对象

SRX1600

SRX2300

SRX3400 SRX3600

SRX4600

SRX5400 SRX5600SRX5800

每个系统的 NAT 规则集总数

8192

10,000

20,480

51,200

30,720

每个规则集的 NAT 规则总数

8192

10,000

20,480

51,200

30,720