NAT概述
网络地址转换 (NAT) 是一种在将数据包发送至互联网时将计算机或计算机组的 IP 地址转换为单个公共地址的机制。通过转换 IP 地址,只会将一个 IP 地址公开给外部网络。由于外部网络只能看到一个 IP 地址,NAT提供了额外的安全性,并且整个网络只能有一个公共地址,而不是具有多个 IP 地址。
企业NAT
网络地址转换 (NAT) 是在数据包标头中修改或转换网络地址信息的方法。可以转换数据包中的源地址和目的地址之一。NAT包括端口号和 IP 地址的转换。
NAT RFC 1631 中介绍了解决 IP(版本 4)地址枯竭问题的方法。此后,NAT已成为防火墙、流量重定向、负载共享、网络迁移等的有用工具。
这些设备上NAT以下瞻博网络类型:
静态NAT
目标NAT
源NAT
SRX 系列设备会基于转换的目标端口执行策略查找和服务查找。
您可以使用"NAT向导"执行基本NAT配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。
从 Junos OS 版 19.3R1 开始,带 SRX5K-SPC3 卡、SRX4100、SRX4200 和 vSRX 实例的 SRX5000 系列设备在 PowerMode IPsec (PMI) 模式下支持源 NAT、目标 NAT 和静态 NAT 等 NAT 功能。NAT64 在 PMI 模式下不受支持。但是,当启用了 PMI 时,NAT64 在正常模式下工作正常。
另请参阅
了解NAT集和规则
NAT,其处理中心是评估NAT集和规则。规则集可确定要处理的信息流的整体方向。例如,规则集可以选择特定接口或特定区域的流量。规则集可以包含多个规则。发现规则集匹配特定信息流后,将评估规则集的每个规则是否匹配。规则设置中的每个规则都进一步指定了要匹配的流量,以及当信息流与规则匹配时要采取的措施。
本主题包括以下章节:
NAT规则集
规则集指定信息流一组常规匹配条件。对于静态NAT和目标NAT,规则集指定以下某一项:
源接口
源区域
源路由实例
对于源NAT规则集,您可配置源条件和目标条件:
源接口、区域或路由实例
目标接口、区域或路由实例
数据包可以匹配多个规则集;在这种情况下,将使用具有更特定匹配的规则集。接口匹配被视为比区域匹配更具体,而区域匹配比路由实例匹配更具体。如果数据包匹配指定源区域的目标 NAT 规则集和指定源接口的目标 NAT 规则集,则指定源接口的规则集将更具体匹配。
源NAT规则集匹配更复杂,因为您可以在规则集的源规则集内指定源NAT条件。如果数据包匹配规则集NAT来源,则选择的规则集基于以下源/目标条件(按优先级顺序):
源接口/目标接口
源区域/目标接口
源路由实例/目标接口
源接口/目标区域
源区域/目标区域
源路由实例/目标区域
源接口/目标路由实例
源区域/目标路由实例
源路由实例/目标路由实例
例如,您可以配置规则集 A(用于指定源接口和目标区域)以及规则集 B(用于指定源区域和目标接口)。如果数据包与两个规则集匹配,则规则集 B 将更具体。
不能为源规则集指定相同的源NAT条件。
NAT规则
找到匹配信息流的规则集后,将评估规则集的每个规则以便进行匹配。NAT数据包信息上的规则可以匹配:
源地址和目标地址
源端口(仅适用于源端口和NAT端口)
目标端口
使用规则集内匹配信息流的第一个规则。如果数据包在会话建立期间与规则集的规则匹配,则根据该规则指定的操作处理信息流。
您可以使用 show security nat 源规则并显示安全 nat 目标规则,以及show security nat 静态规则命令查看特定规则的会话数。
规则处理
NAT类型确定了处理规则NAT顺序。在流的第一次数据包处理期间,NAT规则按以下顺序应用:
静态NAT规则
目标NAT规则
路由查找
安全策略查找
静态路由规则NAT映射
源NAT规则
图 1 说明了规则NAT顺序。
静态NAT路由和NAT路由和安全策略查找之前处理规则。静态NAT规则优先于目标NAT规则。静态路由和NAT反向映射在路由和安全策略查找之后发生,并优先于源路由NAT规则。NAT路由和安全策略查找后以及静态路由和安全策略反向映射之后,将处理源路由NAT规则。
对于每种类型(源、目标或静态)NAT规则集的配置基本相同。但是,由于目标路由和NAT在路由查找之前均处理,因此您不能在规则集内指定目标区域、接口或路由实例。
NAT规则容量
表 1 提供了NAT设备规则容量要求。平台支持取决于Junos OS的新版本。
NAT规则类型 |
SRX100 |
SRX300 SRX320 |
SRX340 SRX345 |
SRX1500 |
SRX4100 SRX4200 |
SRX4600 |
SRX5400 SRX5600 SRX5800 |
|
---|---|---|---|---|---|---|---|---|
源NAT规则 |
1024 |
1024 |
2048 |
8192 |
20,480 |
51,200 |
30,720 |
|
目标NAT规则 |
1024 |
1024 |
2048 |
8192 |
20,480 |
51,200 |
30,720 |
|
静态NAT规则 |
1024 |
1024 |
2048 |
8192 |
20,480 |
51,200 |
30,720 |
每个规则集对规则数量的限制是设备可支持的规则数的全设备限制。提供此限制可帮助您更好地计划和配置NAT规则。
对于内存消耗,不能保证同时为 SRX3400、SRX3600、SRX5400、SRX5600 和 SRX5800 设备支持这些数字(最大源规则或规则集 + 最大目标规则或规则集 + 最大静态规则或规则集)。
表 2 为设备、SRX3400、SRX3600、SRX5400、SRX5600 和设备提供了SRX5800数。平台支持取决于Junos OS的新版本。
对象 |
SRX3400 SRX3600 |
SRX4600 |
SRX5400 SRX5600 SRX5800 |
---|---|---|---|
每NAT规则集总数 |
20,480 |
51,200 |
30,720 |
每个NAT规则集的总规则数 |
20,480 |
51,200 |
30,720 |