ビデオ: Using Juniper for the First Time | JunOS CLI 2024
SRX NATサービスを設定すると、またはプール方式では、特定のトラフィックをNATプロセスから除外するルールを作成できます。この設定は、特定のサーバー(パブリックWebやFTPサイトなど)がプライベートLANアドレス空間にパブリックIPアドレスを持つことを可能にするために行うことができますが、実際にはネットワーク管理者が選択します。
もちろん、新しいルールが必要です。これは、192.268.2.2に適用され、NO_translate:
<! NATをオフにすることができるように、新しいルールにマッチルールとアクションが必要です(192ページの「NATの設定」を参照)。ここで示されているように、以下のようになります:[セキュリティ・ナット・ソース・ルール・セットを編集してインターネット・ルールルールNO_translate]を設定します。root#set match source-address 1922. 168. 2. 2/32 root#set then source-あなたは終わったように見えるかもしれませんが、あなたはそうではありません。
<! - 2 - >
この設定をコミットすると、SRXはルールが正常でSRXがそれを翻訳すべきではないとしても、192. 168. 2. 2の変換を続けます。
発生したことは次のとおりです。ルールの順序は、CLIで設定された順序によって決定されます。 NO_translateルールは、基本的な管理アクセスルールを設定した後に追加されたため、NO_translateルールは既存の管理アクセスルールの後に追加されました。残念ながら、管理者アクセスはLANアドレススペース(192.268.2.0/24)全体と一致するため、NO-translateルールが一致するためのトラフィックは残っていません。
<! - 3 - >これはJunosの共通のポリシー問題であり、修正するのは簡単です。 1つのステートメントは正しい順序でルールを置きます:
[edit security nat source rule-set internet-nat] root#insert rule NO_translate beforeルールadmins-access
常に設定されたルールがあなたが望む結果を達成するための正しい順序。ルールの数が増えるにつれ、エラーの可能性はさらに早くなります。
