Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

NAT 概述

网络地址转换 (NAT) 是一种在数据包发送到 Internet 时将计算机或计算机组的 IP 地址转换为单个公共地址的机制。通过转换 IP 地址,只有一个 IP 地址被公开到外部网络。由于只有一个 IP 地址对外界可见,NAT 提供了额外的安全性,并且整个网络只能有一个公共地址,而不是多个 IP 地址。

使用 功能浏览器 确认平台和版本对特定功能的支持。可能支持 其他平台

NAT 简介

网络地址转换 (NAT) 是一种用于修改或转换数据包标头中的网络地址信息的方法。数据包中的源地址和目的地址之一或两者均可转换。NAT 可以包括端口号和 IP 地址的转换。

RFC 1631 中介绍了 NAT,用于解决 IP(版本 4)地址耗尽问题。从那时起,NAT 就被发现是防火墙、流量重定向、负载共享、网络迁移等的有用工具。

瞻博网络设备支持以下类型的 NAT:

  • 静态 NAT

  • 目标 NAT

  • 源 NAT

SRX 系列防火墙基于转换后的目标端口执行策略查找和服务查找。

您可以使用 NAT 向导执行基本 NAT 配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。

另见

了解 NAT 规则集和规则

NAT 处理的核心是对 NAT 规则集和规则的评估。规则集决定了要处理的流量的总体方向。例如,规则集可以选择来自特定接口或特定区域的流量。一个规则集可以包含多个规则。找到与特定流量匹配的规则集后,将评估规则集中的每个规则是否匹配。规则集中的每个规则进一步指定要匹配的流量,以及当流量与规则匹配时要执行的作。

本主题包含以下部分:

NAT 规则集

规则集用于指定一组常规的流量匹配条件。对于静态 NAT 和目标 NAT,规则集将指定以下选项之一:

  • 源接口

  • 源区

  • 源路由实例

对于源 NAT 规则集,您可以同时配置源条件和目标条件:

  • 源接口、区域或路由实例

  • 目标接口、区域或路由实例

一个数据包可以匹配多个规则集;在这种情况下,使用具有更具体匹配的规则集。接口匹配被认为比区域匹配更具体,而区域匹配比路由实例匹配更具体。如果数据包同时与指定源区域的目标 NAT 规则集和指定源接口的目标 NAT 规则集匹配,则指定源接口的规则集是更具体的匹配项。

源 NAT 规则集匹配更为复杂,因为您可以在源 NAT 规则集中同时指定源条件和目标条件。如果一个数据包与多个源 NAT 规则集匹配,则选择的规则集基于以下源/目标条件(按优先级排序):

  1. 源接口/目标接口

  2. 源区域/目标接口

  3. 源路由实例/目标接口

  4. 源接口/目标区域

  5. 源区域/目标区域

  6. 源路由实例/目标区域

  7. 源接口/目标路由实例

  8. 源区域/目标路由实例

  9. 源路由实例/目标路由实例

例如,您可以配置规则集 A(指定源接口和目标区域)和规则集 B(指定源区域和目标接口)。如果一个数据包与两个规则集都匹配,则规则集 B 是更具体的匹配项。

您不能为源 NAT 规则集指定相同的源和目标条件。

NAT 规则

找到与流量匹配的规则集后,将评估规则集中的每个规则,以便进行匹配。NAT 规则可以匹配以下数据包信息:

  • 源地址和目标地址

  • 源端口(仅适用于源和静态 NAT)

  • 目标端口

使用规则集中与流量匹配的第一个规则。如果数据包与会话建立期间规则集中的规则匹配,则将根据该规则指定的作处理流量。

您可以使用 show security nat source ruleshow security nat destination rule 以及 show security nat static rule 命令查看特定规则的会话数。

规则处理

NAT 类型决定了处理 NAT 规则的顺序。在对流进行第一个数据包处理期间,将按以下顺序应用 NAT 规则:

  1. 静态 NAT 规则

  2. 目标 NAT 规则

  3. 路由查找

  4. 安全策略查找

  5. 静态 NAT 规则的反向映射

  6. 源 NAT 规则

图 1 说明了 NAT 规则处理的顺序。

图 1: NAT 规则处理 Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet.

在路由和安全策略查找之前,先处理静态 NAT 和目标 NAT 规则。静态 NAT 规则优先于目标 NAT 规则。静态 NAT 规则的反向映射在路由和安全策略查找之后发生,并优先于源 NAT 规则。源 NAT 规则在路由和安全策略查找之后,以及静态 NAT 规则的反向映射之后进行处理。

对于每种类型的 NAT(源、目标或静态),规则和规则集的配置基本相同。但由于目标和静态 NAT 都是在路由查找之前处理的,因此您无法在规则集中指定目标区域、接口或路由实例。

NAT 规则容量

NAT 规则容量要求取决于 SRX 系列防火墙和 Junos OS 版本。

对每个规则集的规则数的限制是对设备可以支持的规则数的设备范围限制。提供此限制是为了帮助您更好地规划和配置设备的 NAT 规则。

对于内存消耗,无法保证支持这些数字(最大源规则或规则集 + 最大目标规则或规则集 + 最大静态规则或规则集)。

NAT 规则容量要求取决于 SRX 系列防火墙和 Junos OS 版本。

使用 功能浏览器 确认平台和版本对特定功能的支持。可能支持其他平台。

有关详细信息,请参阅 “其他平台信息” 部分。

其他平台信息

使用 功能浏览器 确认平台和版本对特定功能的支持。可能支持其他平台。

NAT 规则类型

SRX300、SRX320

SRX340、SRX345

SRX1500 SRX1600

SRX2300,SRX4120SRX4100SRX4200

SRX4600 SRX5400SRX5600SRX5800

SRX4700

源 NAT 规则

1024

2048

8192

20,480

30,720

51200

目标 NAT 规则

1024

2048

8192

20,480

30,720

51200

静态 NAT 规则

1024

2048

8192

20,480

30,720

51200

对象

SRX1600 SRX2300,SRX4120

SRX4600 SRX5400SRX5600SRX5800

SRX4700

每个系统的 NAT 规则集总数

10,000

30,720

51200

每个规则集的 NAT 规则总数

10,000

30,720

51200
平台 OL 支持的 IP 数
vSRX 小型 VSRX-2CPU-4G 1
SRX1600 2
SRX2300,SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000 系列设备 128

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
19.3R1
从 Junos OS 版本 19.3R1 开始,具有 SRX5K-SPC3 卡、SRX4100、SRX4200 和 vSRX 虚拟防火墙 实例的 SRX5000 系列 设备支持 NAT 功能,如源 NAT、目标 NAT 和静态 NAT,适用于 PowerMode IPsec (PMI) 模式下的 IPv4 和 IPv6 流量。PMI 模式不支持 NAT64。但是,当启用 PMI 时,NAT64 在正常模式下工作正常。