NAT 概述

Junos Space Security Director 支持三种类型的 NAT：

• 源 NAT - 转换离开信任区域的数据包（出站流量）的源 IP 地址。它转换来自信任区域中的设备的流量。使用源 NAT，内部设备可以使用 NAT 策略中指定的 IP 地址访问网络。IPv6 NAT 支持以下用例：

  • 从一个 IPv6 子网到另一个 IPv6 子网的转换，不带端口地址转换 （PAT）

  • 从 IPv4 地址到 IPv6 前缀的转换以及 IPv4 地址转换

  • 从 IPv6 主机到 IPv6 主机的转换（带或不带 PAT

  • 从 IPv6 主机到 IPv4 主机的转换（带或不带 PAT

  • 从 IPv4 主机到 IPv6 主机的转换（带或不带 PAT

• 目标 NAT - 转换进入信任区域的数据包（入站流量）的目标 IP 地址。它转换来自信任区域外设备的流量。使用目标 NAT，外部设备可以将数据包发送到隐藏的内部设备。IPv6 NAT 支持以下用例：

  • 一个 IPv6 子网到另一个 IPv6 子网的映射

  • 一台 IPv6 主机与另一台 IPv6 主机之间的映射

  • 将一台 IPv6 主机（和可选端口号）映射到另一个特殊 IPv6 主机（和可选端口号）

  • 将一台 IPv6 主机（和可选端口号）映射到另一个特殊 IPv4 主机（和可选端口号）

  • 将一台 IPv4 主机（和可选端口号）映射到另一个特殊 IPv6 主机（和可选端口号）

• 静态 NAT - 始终将专用 IP 地址转换为相同的公共 IP 地址。它转换来自网络两端（源和目标）的流量。例如，具有私有 IP 地址的 Web 服务器可以使用静态的一对一地址转换访问互联网。IPv6 NAT 支持以下用例：

  • 一个 IPv6 子网到另一个 IPv6 子网的映射

  • 一台 IPv6 主机与另一台 IPv6 主机之间的映射

  • IPv4 地址 a.b.c.d 与 IPv6 地址 Prefix：：a.b.c.d 之间的映射

  • IPv4 主机与 IPv6 主机之间的映射

  • IPv6 主机与 IPv4 主机之间的映射

表 1 显示了对不同源 NAT 和目标 NAT 地址的持久 NAT 支持。

表 1：持久 NAT 支持

源 NAT 地址	转换地址	目标 NAT 地址	持久 NAT
IPv4	IPv6	IPv4	不
IPv4	IPv6	IPv6	不
IPv6	IPv4	IPv4	是的
IPv6	IPv6	IPv6	不

表 2 和表 3 显示了源NAT、目标NAT和静态NAT地址的转换地址池选择。

表 2：源 NAT 的转换地址池选择

源 NAT 地址	目标地址	池地址
IPv4	IPv4	IPv4
IPv4	IPv6 - 子网必须大于 96	IPv6
IPv6	IPv4	IPv4
IPv6	IPv6	IPv6

表 3：目标 NAT 和静态 NAT 的转换地址池选择

源 NAT 地址	目标地址	池地址
IPv4	IPv4	IPv4 或 IPv6
IPv4	IPv6 - 子网必须大于 96	IPv4 或 IPv6
IPv6	IPv4	IPv4
IPv6	IPv6	IPv4 或 IPv6

• 对于源 NAT，代理 NDP 可用于 NAT 池地址。对于目标 NAT 和静态 NAT，代理 NDP 可用于目标 NAT 地址。

• 一个 NAT 池可以有一个 IPv6 子网或多个 IPv6 主机。

• 如果地址类型为 IPv6，则无法配置溢出池。

• NAT 池仅允许一种版本类型的地址条目：IPv4 或 IPv6。

Junos Space Security Director为您提供了一个工作流程，您可以在其中创建NAT策略并将其应用于网络中的设备。

Security Director 将每个逻辑系统或租户系统视为任何其他安全设备，并拥有逻辑系统或租户系统安全配置的所有权。在 Security Director 中，每个逻辑系统或租户系统都作为唯一的安全设备进行管理。

注意：

如果发现根逻辑系统，则还将发现设备内的所有其他用户逻辑系统。

由于 SRX 系列逻辑系统设备不支持接口 NAT，因此 Security Director 也不允许对逻辑系统进行接口 NAT 配置。逻辑系统不能参与 Security Director 中的组 NAT。对于设备 NAT 策略，逻辑系统中不支持基于接口的转换选择和以溢出池为接口的池。在发布 NAT 策略期间验证配置，以避免设备提交失败。