Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

NAT 配置概述

本文介绍如何配置网络地址转换(NAT)和多个ISP。此外,本主题还有助于通过配置追踪选项和监控 NAT 表来验证 NAT 流量。

使用 NAT 向导配置 NAT

您可以使用 NAT 向导执行基本 NAT 配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。

要使用 NAT 向导配置 NAT,请执行以下作:

  1. 在 J-Web 界面中选择 Configure>Tasks>Configure NAT
  2. 单击启动 NAT 向导按钮。
  3. 按照向导提示进行作。

向导页面的左上角区域显示了您在配置过程中所处的位置。页面的左下角区域显示字段敏感帮助。单击“资源”标题下的链接时,该文档将在您的浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而不是浏览器窗口)。

示例:为多个 ISP 配置 NAT

此示例说明如何配置瞻博网络设备以实现多个 ISP 的地址转换。

要求

开始之前:

  1. 配置设备上的网络接口。请参阅 安全性设备接口用户指南

  2. 创建安全区域并为其分配接口。请参阅 了解安全性区域

概述

在此示例中,您可以通过两个 ISP 连接使用 NAT 功能将 LAN 连接到互联网,从而配置 SRX 系列防火墙。在此配置中,信任是专用地址空间的安全区域,公共地址空间的两个不信任安全区域用于从 LAN 连接到两个 ISP,反之亦然。此示例是用于从 LAN 连接到互联网的源 NAT 规则,以及用于从互联网连接到 LAN 的目标和静态 NAT 规则的组合。

配置

为多个 ISP 配置 NAT

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

  1. 配置路由实例。

  2. 配置 RIB 组和布线选项。

  3. 配置安全策略。

  4. 配置源 NAT 池和规则。

  5. 配置目标 NAT 池和规则。

  6. 配置静态 NAT 规则。

结果

在配置模式下,输入 show configuration 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

验证

验证接口

目的

验证接口配置是否正确。

行动

在作模式下,输入以下命令:

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

为 NAT 配置代理 ARP(CLI 过程)

您可以使用 NAT 代理 ARP 功能,为需要源或目标 NAT 且与入口接口位于同一子网中的 IP 地址配置代理 NAT 条目。在 SRX 系列防火墙上,您必须显式配置 NAT 代理 ARP。

配置 NAT 代理 ARP 时,必须指定要在其上配置代理 ARP 的逻辑接口。然后输入地址或地址范围。

设备在以下情况下执行代理 ARP:

  • 当静态 NAT 和源 NAT 池中定义的地址与入口接口的地址位于同一子网中时

  • 当目标 NAT 规则中的原始目标地址条目中的地址与入口接口的地址位于同一子网中时

配置 NAT 追踪选项

目的

NAT 追踪选项层次结构配置追踪文件和标志以用于验证目的。

SRX 系列防火墙有两个主要组件:路由引擎 (RE) 和数据包转发引擎 (PFE)。PFE 分为 ukernel 部分和实时部分。

提交 NAT 配置时,首先会在 RE 上检查和验证该配置。验证后,配置将推送到 PFE。配置安装在 ukernel PFE 上,然后对与实时 PFE 上的 NAT 规则匹配的每个数据包执行作。

为了进行验证,您可以单独打开标志以调试 RE、ukernel PFE 或实时 PFE 上的 NAT 功能:

  • nat-re 标志记录了 RE 上的 NAT 配置验证跟踪以及配置推送到 PFE 的跟踪。

  • nat-pfe 标志记录 ukernel PFE 上 NAT 配置安装的跟踪。

  • nat-rt 标志记录 NAT 规则匹配的跟踪,以及对实时 PFE 的后续作。

默认情况下,跟踪数据写入 /var/log/security-trace ,可以使用命令 show log security-trace查看。

如果已在设备上的策略配置中启用会话日志记录,则会话日志将包含每个会话的特定 NAT 详细信息。有关如何启用会话日志记录的信息,请参阅 监控安全性策略统计信息 ,以及有关会话日志中提供的信息的说明,请参阅 SRX 系列服务网关的会话日志条目中提供的信息

行动

要验证 NAT 配置是否在提交时正确更新到设备,以及 NAT 规则匹配和后续作是否正确,请使用 security nat traceoptions 该语句。

要验证是否将 NAT 转换应用于流量,以及查看使用 NAT 转换的单个流量处理,请同时使用security nat traceoptions命令和security flow traceoptions命令。这些命令一起使用,因为除非还配置了命令flow traceoptions,否则不会记录使用命令配置security nat traceoptions的 NAT 跟踪。

要过滤特定流量,可以定义数据包过滤器并将其用作 traceoption :

要验证 NAT 流量并在数据平面中启用所有流量跟踪,请使用 traceoptions set security flow traceoptions flag basic-datapath 命令,如以下使用简单数据包过滤器的示例所示:

监控 NAT 传入表信息

目的

查看 NAT 表信息。

行动

在 J-Web 用户界面中选择 Monitor>NAT>Incoming Table, 或输入以下 CLI 命令:

show security nat incoming-table

表 1 汇总了传入表显示中的关键输出字段。

表 1:关键传入表输出字段摘要

字段

价值观
统计数据

使用中

NAT 表中的条目数。

最大值

NAT 表中可能出现的最大条目数。

条目分配失败

分配失败的条目数。
传入表

清除

最终目标

目标 IP 地址和端口号。

主持人

目标 IP 地址映射到的主机 IP 地址和端口号。

参考资料

引用条目的会话数。

超时

NAT 表中条目的超时(以秒为单位)。

源池

分配转换的源池的名称。

监控接口 NAT 端口信息

目的

查看接口源池信息的端口使用情况。

行动

要监控接口 NAT 端口信息,请执行下列作之一:

  • 在 J-Web 用户界面中选择 Monitor>Firewall/NAT>Interface NATMonitor>NAT>Interface NAT Ports ,或输入 CLI 命令 show security nat interface-nat-ports

表 2 汇总了接口 NAT 显示中的关键输出字段。

表 2:关键接口 NAT 输出字段摘要

字段

价值观

其他信息
接口 NAT 汇总表

池索引

端口池索引。

端口总数

端口池中的端口总数。

分配的单个端口

一次分配一个正在使用的端口数。

提供单端口

一次分配一个免费使用的端口数。

分配双端口

一次分配两个正在使用的端口数。

提供双端口

一次分配两个免费使用的端口数。