Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

在此页面上
 

NAT概述

网络地址转换 (NAT) 是一种在将数据包发送至互联网时将计算机或计算机组的 IP 地址转换为单个公共地址的机制。通过转换 IP 地址,只会将一个 IP 地址公开给外部网络。由于外部网络只能看到一个 IP 地址,NAT提供了额外的安全性,并且整个网络只能有一个公共地址,而不是具有多个 IP 地址。

企业NAT

网络地址转换 (NAT) 是在数据包标头中修改或转换网络地址信息的方法。可以转换数据包中的源地址和目的地址之一。NAT包括端口号和 IP 地址的转换。

NAT RFC 1631 中介绍了解决 IP(版本 4)地址枯竭问题的方法。此后,NAT已成为防火墙、流量重定向、负载共享、网络迁移等的有用工具。

这些设备上NAT以下瞻博网络类型:

  • 静态NAT

  • 目标NAT

  • 源NAT

注意:

SRX 系列设备会基于转换的目标端口执行策略查找和服务查找。

您可以使用"NAT向导"执行基本NAT配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。

从 Junos OS 版 19.3R1 开始,带 SRX5K-SPC3 卡、SRX4100、SRX4200 和 vSRX 实例的 SRX5000 系列设备在 PowerMode IPsec (PMI) 模式下支持源 NAT、目标 NAT 和静态 NAT 等 NAT 功能。NAT64 在 PMI 模式下不受支持。但是,当启用了 PMI 时,NAT64 在正常模式下工作正常。

另请参阅

了解NAT集和规则

NAT,其处理中心是评估NAT集和规则。规则集可确定要处理的信息流的整体方向。例如,规则集可以选择特定接口或特定区域的流量。规则集可以包含多个规则。发现规则集匹配特定信息流后,将评估规则集的每个规则是否匹配。规则设置中的每个规则都进一步指定了要匹配的流量,以及当信息流与规则匹配时要采取的措施。

本主题包括以下章节:

NAT规则集

规则集指定信息流一组常规匹配条件。对于静态NAT和目标NAT,规则集指定以下某一项:

  • 源接口

  • 源区域

  • 源路由实例

对于源NAT规则集,您可配置源条件和目标条件:

  • 源接口、区域或路由实例

  • 目标接口、区域或路由实例

数据包可以匹配多个规则集;在这种情况下,将使用具有更特定匹配的规则集。接口匹配被视为比区域匹配更具体,而区域匹配比路由实例匹配更具体。如果数据包匹配指定源区域的目标 NAT 规则集和指定源接口的目标 NAT 规则集,则指定源接口的规则集将更具体匹配。

源NAT规则集匹配更复杂,因为您可以在规则集的源规则集内指定源NAT条件。如果数据包匹配规则集NAT来源,则选择的规则集基于以下源/目标条件(按优先级顺序):

  1. 源接口/目标接口

  2. 源区域/目标接口

  3. 源路由实例/目标接口

  4. 源接口/目标区域

  5. 源区域/目标区域

  6. 源路由实例/目标区域

  7. 源接口/目标路由实例

  8. 源区域/目标路由实例

  9. 源路由实例/目标路由实例

例如,您可以配置规则集 A(用于指定源接口和目标区域)以及规则集 B(用于指定源区域和目标接口)。如果数据包与两个规则集匹配,则规则集 B 将更具体。

注意:

不能为源规则集指定相同的源NAT条件。

NAT规则

找到匹配信息流的规则集后,将评估规则集的每个规则以便进行匹配。NAT数据包信息上的规则可以匹配:

  • 源地址和目标地址

  • 源端口(仅适用于源端口和NAT端口)

  • 目标端口

使用规则集内匹配信息流的第一个规则。如果数据包在会话建立期间与规则集的规则匹配,则根据该规则指定的操作处理信息流。

您可以使用 show security nat 源规则并显示安全 nat 目标规则,以及show security nat 静态规则命令查看特定规则的会话数。

规则处理

NAT类型确定了处理规则NAT顺序。在流的第一次数据包处理期间,NAT规则按以下顺序应用:

  1. 静态NAT规则

  2. 目标NAT规则

  3. 路由查找

  4. 安全策略查找

  5. 静态路由规则NAT映射

  6. 源NAT规则

图 1 说明了规则NAT顺序。

图 1:NAT规则处理 NAT Rule Processing

静态NAT路由和NAT路由和安全策略查找之前处理规则。静态NAT规则优先于目标NAT规则。静态路由和NAT反向映射在路由和安全策略查找之后发生,并优先于源路由NAT规则。NAT路由和安全策略查找后以及静态路由和安全策略反向映射之后,将处理源路由NAT规则。

对于每种类型(源、目标或静态)NAT规则集的配置基本相同。但是,由于目标路由和NAT在路由查找之前均处理,因此您不能在规则集内指定目标区域、接口或路由实例。

NAT规则容量

表 1 提供了NAT设备规则容量要求。平台支持取决于Junos OS的新版本。

表 1:SRX系列设备上规则数

NAT规则类型

SRX100

SRX300

SRX320

SRX340

SRX345

SRX1500

SRX4100

SRX4200

SRX4600

SRX5400

SRX5600

SRX5800

源NAT规则

1024

1024

2048

8192

20,480

51,200

30,720

目标NAT规则

1024

1024

2048

8192

20,480

51,200

30,720

静态NAT规则

1024

1024

2048

8192

20,480

51,200

30,720

每个规则集对规则数量的限制是设备可支持的规则数的全设备限制。提供此限制可帮助您更好地计划和配置NAT规则。

对于内存消耗,不能保证同时为 SRX3400、SRX3600、SRX5400、SRX5600 和 SRX5800 设备支持这些数字(最大源规则或规则集 + 最大目标规则或规则集 + 最大静态规则或规则集)。

表 2 为设备、SRX3400、SRX3600、SRX5400、SRX5600 和设备提供了SRX5800数。平台支持取决于Junos OS的新版本。

表 2:规则和规则集数

对象

SRX3400

SRX3600

SRX4600

SRX5400

SRX5600

SRX5800

每NAT规则集总数

20,480

51,200

30,720

每个NAT规则集的总规则数

20,480

51,200

30,720