目次:
- 出力インターフェイスアドレスを使用してソースNATを設定する
- [edit security nat source] root#set pool public_NAT_range address 66. 129. 250. 10〜66。129. 250. 15
ビデオ: Configuring Route-Based Site-to-Site IPSec VPN on the SRX 2024
NATは異なる方法でアドレスを変換できます。トラフィックに適用するルールを設定して、特定のケースでどのような種類のNATを使用するかを確認できます。次のNATサービスを実行するようにSRXを設定できます。
-
出力インターフェイスのIPアドレスを使用します。
-
翻訳にはアドレスのプールを使用します。
通常、最初の2つのサービスは同じSRXには含まれません。だからもしあなたが1つをしたら、あなたは同時に他の人をすることはできません。しかし、あるインタフェースでは出力変換を、別のインタフェースではプールを使用する理由があります。
出力インターフェイスアドレスを使用してソースNATを設定する
まず、固有の名前を持つinternet-natというルールセットを作成し、NATを適用するトラフィックのコンテキストを確立する必要があります。この場合、ルールは管理LANゾーンから信頼されていないゾーンへのトラフィック(untrust)に適用されます。インターフェイスや仮想ルーターを指定することもできますが、SRX上のすべてをゾーンの点で考えるのが最善です。
<! - # root#edit security nat sourceルールセットinternet-nat [edit security natソースルールセットインターネットナット] root#ゾーン管理者から設定root#ゾーンuntrustに設定さて、任意の場所に移動するすべてのLANトラフィックに一致する実際のルール(admins-access)を設定し、NATにパケットを適用します。
[edit nat source rule-set internet-nat] root#edit rule admins-セキュリティー・ナット・ソース・ルール・セットインターネット・ナット・ルールadmins-access] root#set match source-address 192. 168. 2. 0/24 root#set match宛先アドレスall root#set then source-nat interface
最後の行は、NATソース変換を出力インターフェイスに設定します。以下はその様子です:
<!ゾーン管理者アクセス{ルール{ゾーン管理者から{ゾーンの管理者でない}}にルールを設定します。{admin {source-address 192. 168. 2 0/24;ソースNAT変換プールを構成する
多くの場合、インタフェースに割り当てられたアドレス空間は十分ではありませんLAN内のすべてのアドレスをカバーします。この場合、信頼できるゾーン外にトラフィックを送信するときにLAN上のデバイスが使用できるアドレスのプールを確立する方が適切です。IPアドレスのプールを使用するために前の例を再構成するには、まず、プール、public_NAT_rangeを構成する必要があります。ここでは、6つのアドレスからなる小さなプールを使用します。
[edit security nat source] root#set pool public_NAT_range address 66. 129. 250. 10〜66。129. 250. 15
この文構造により、ルールセット全体ではなく、1つの場所でプールを変更できます。 NAT階層のレベルでプールを適用します。
[edit security nat source] root#editルールセットinternet-natルールadmins-access [edit natソースルールセットインターネットナットルール管理者アクセス]
実際には1つのステートメントだけが変更されますが、それによってすべての違いが生じます:
[edit nat] source {rule- {ゾーンの信頼できない;}ルール管理者アクセス{一致{送信元アドレス1922. 168. 2. 0/24;宛先アドレス0 0. 0. 0/0;} {source-nat pool public_NAT_range;}}}
