NAT 概述

Junos Space Security Director 支持三种类型的 NAT：

• 源 NAT — 转换离开信任区域（出站流量）的数据包的源 IP 地址。它转换源自信任区域中设备的流量。通过源 NAT，内部设备可以使用 NAT 策略中指定的 IP 地址访问网络。IPv6 NAT 支持以下用例：

  • 从一个 IPv6 子网转换到另一个 IPv6 子网，无需端口地址转换 （PAT）

  • 从 IPv4 地址到 IPv6 前缀的转换以及 IPv4 地址转换

  • 从 IPv6 主机转换为带或不带 PAT 的 IPv6 主机

  • 从 IPv6 主机转换到 IPv4 主机（带或不带 PAT

  • 从 IPv4 主机转换为 IPv6 主机（带或不带 PAT）

• 目标 NAT — 转换进入信任区域（入站流量）的数据包的目标 IP 地址。它转换来自信任区域之外设备的流量。外部设备可使用目标 NAT 将数据包发送至隐藏的内部设备。IPv6 NAT 支持以下用例：

  • 将一个 IPv6 子网映射到另一个 IPv6 子网

  • 一个 IPv6 主机与另一个 IPv6 主机之间的映射

  • 将一个 IPv6 主机（和可选端口号）映射到另一个特殊 IPv6 主机（和可选端口号）

  • 将一个 IPv6 主机（和可选端口号）映射到另一个特殊 IPv4 主机（和可选端口号）

  • 将一个 IPv4 主机（和可选端口号）映射到另一个特殊 IPv6 主机（和可选端口号）

• 静态 NAT -- 始终将专用 IP 地址转换为相同的公共 IP 地址。它转换来自网络两端（源和目标）的流量。例如，具有专用 IP 地址的 Web 服务器可以使用静态的一对一地址转换来访问 Internet。IPv6 NAT 支持以下用例：

  • 将一个 IPv6 子网映射到另一个 IPv6 子网

  • 一个 IPv6 主机与另一个 IPv6 主机之间的映射

  • IPv4 地址 a.b.c.d 和 IPv6 地址之间的映射 前缀：：a.b.c.d

  • IPv4 主机和 IPv6 主机之间的映射

  • IPv6 主机与 IPv4 主机之间的映射

表 1 显示了对不同源 NAT 和目标 NAT 地址的持久 NAT 支持。

表 1：持久 NAT 支持

源 NAT 地址	翻译地址	目标 NAT 地址	持久 NAT
IPv4	IPv6	IPv4	不
IPv4	IPv6	IPv6	不
IPv6	IPv4	IPv4	是的
IPv6	IPv6	IPv6	不

表 2 和表 3 显示了源 NAT、目标 NAT 和静态 NAT 地址的转换地址池选择。

表 2：源 NAT 的转换地址池选择

源 NAT 地址	目标地址	池地址
IPv4	IPv4	IPv4
IPv4	IPv6 - 子网必须大于 96	IPv6
IPv6	IPv4	IPv4
IPv6	IPv6	IPv6

表 3：目标 NAT 和静态 NAT 的转换地址池选择

源 NAT 地址	目标地址	池地址
IPv4	IPv4	IPv4 或 IPv6
IPv4	IPv6 - 子网必须大于 96	IPv4 或 IPv6
IPv6	IPv4	IPv4
IPv6	IPv6	IPv4 或 IPv6

• 对于源 NAT，代理 NDP 可用于 NAT 池地址。对于目标 NAT 和静态 NAT，代理 NDP 可用于目标 NAT 地址。

• NAT 池可以有一个 IPv6 子网，也可以有多个 IPv6 主机。

• 如果地址类型为 IPv6，则无法配置溢出池。

• NAT 池只允许一种版本类型的地址条目：IPv4 或 IPv6。

Junos Space Security Director 为您提供了一个工作流，您可以在其中在网络中的设备上创建和应用 NAT 策略。

Security Director 将每个逻辑系统或租户系统视为任何其他安全设备，并获取逻辑系统或租户系统的安全配置的所有权。在 Security Director 中，每个逻辑系统或租户系统都作为唯一的安全设备进行管理。

注意：

如果发现根逻辑系统，则也会发现设备内的所有其他用户逻辑系统。

由于 SRX 系列逻辑系统设备不支持接口 NAT，因此 Security Director 也不允许对逻辑系统进行接口 NAT 配置。逻辑系统无法加入 Security Director 中的 NAT 组。对于设备 NAT 策略，逻辑系统中不支持基于接口的转换选择和以溢出池作为接口的池。该配置将在发布 NAT 策略期间进行验证，以避免设备中的提交失败。