Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

NAT 概述

网络地址转换 (NAT) 是一种在将数据包发送到 Internet 时将一台计算机或一组计算机的 IP 地址转换为单个公共地址的机制。通过转换 IP 地址,仅向外部网络公布一个 IP 地址。由于外部世界只能看到一个 IP 地址,因此 NAT 提供了额外的安全性,它可以为整个网络只设置一个公共地址,而不是拥有多个 IP 地址。

使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持 其他平台

NAT 简介

网络地址转换 (NAT) 是一种在数据包标头中修改或转换网络地址信息的方法。可以转换数据包中的源地址和目标地址,或者同时转换。NAT 可以包括端口号和 IP 地址的转换。

RFC 1631 中描述了 NAT 来解决 IP(版本 4)地址耗尽问题。从那时起,人们发现 NAT 是防火墙、流量重定向、负载共享、网络迁移等的有用工具。

瞻博网络设备支持以下类型的 NAT:

  • 静态 NAT

  • 目标 NAT

  • 源 NAT

SRX 系列防火墙可根据转换后的目标端口执行策略查找和服务查找。

您可以使用 NAT 向导执行基本 NAT 配置。要执行更高级的配置,请使用 J-Web 界面或 CLI。

也可以看看

了解 NAT 规则集和规则

NAT 处理以评估 NAT 规则集和规则为中心。规则集确定要处理的流量的总体方向。例如,规则集可以选择来自特定接口或到特定区域的流量。一个规则集可以包含多个规则。找到与特定流量匹配的规则集后,系统会评估规则集中的每个规则是否匹配。规则集中的每个规则还会进一步指定要匹配的流量,以及当流量与规则匹配时要执行的作。

本主题包含以下部分:

NAT 规则集

规则集用于指定一组常规流量匹配条件。对于静态 NAT 和目标 NAT,规则集指定以下一项:

  • 源接口

  • 源区段

  • 源路由实例

对于源 NAT 规则集,您可以同时配置源条件和目标条件:

  • 源接口、区域或路由实例

  • 目标接口、区域或路由实例

一个数据包可以匹配多个规则集;在这种情况下,将使用具有更具体匹配项的规则集。接口匹配被视为比区域匹配更具体,而区域匹配比路由实例匹配更具体。如果数据包同时匹配指定源区域的目标 NAT 规则集和指定源接口的目标 NAT 规则集,则指定源接口的规则集为更具体的匹配项。

源 NAT 规则集匹配更为复杂,因为您在源 NAT 规则集中指定了源条件和目标条件。如果一个数据包与多个源 NAT 规则集匹配,则所选规则集基于以下源/目标条件(按优先级顺序排列):

  1. 源接口/目标接口

  2. 源区域/目标接口

  3. 源路由实例/目标接口

  4. 源接口/目标区域

  5. 源区域/目标区域

  6. 源路由实例/目标区域

  7. 源接口/目标路由实例

  8. 源区域/目标路由实例

  9. 源路由实例/目标路由实例

例如,您可以配置规则集 A(用于指定源接口和目标区域)和规则集 B(用于指定源区域和目标接口)。如果数据包与两个规则集匹配,则规则集 B 是更具体的匹配项。

您不能为源 NAT 规则集指定相同的源和目标条件。

NAT 规则

找到与流量匹配的规则集后,将评估规则集中的每个规则以进行匹配。NAT 规则可针对以下数据包信息进行匹配:

  • 源地址和目标地址

  • 源端口(仅适用于源和静态 NAT)

  • 目标端口

将使用规则集中与流量匹配的第一个规则。如果数据包与会话建立期间规则集中的规则匹配,则将根据该规则指定的作处理流量。

您可以使用 show security nat source ruleshow security nat destination rule 以及 show security nat static rule 命令查看特定规则的会话数。

规则处理

NAT 类型决定了处理 NAT 规则的顺序。在流的第一个数据包处理期间,将按以下顺序应用 NAT 规则:

  1. 静态 NAT 规则

  2. 目标 NAT 规则

  3. 路由查找

  4. 安全性策略查找

  5. 静态 NAT 规则的反向映射

  6. 源 NAT 规则

图 1 说明了 NAT 规则处理的顺序。

图 1: NAT 规则处理 Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet.

静态 NAT 和目标 NAT 规则在路由和安全策略查找之前进行处理。静态 NAT 规则优先于目标 NAT 规则。静态 NAT 规则的反向映射发生在路由和安全策略查找之后,优先于源 NAT 规则。在路由和安全策略查找之后以及静态 NAT 规则的反向映射之后,将处理源 NAT 规则。

每种 NAT(源、目标或静态)的规则和规则集配置基本相同。但是,由于在路由查找之前会同时处理目标和静态 NAT,因此您无法在规则集中指定目标区域、接口或路由实例。

NAT 规则容量

NAT 规则容量要求取决于 SRX 系列防火墙和 Junos OS 版本。

对每个规则集的规则数量的限制是设备范围内对设备可以支持的规则数量的限制。提供此限制是为了帮助您更好地规划和配置设备的 NAT 规则。

对于内存消耗,无法保证支持这些数字(最大源规则或规则集 + 最大目标规则或规则集 + 最大静态规则或规则集)。

NAT 规则容量要求取决于 SRX 系列防火墙和 Junos OS 版本。

使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持其他平台。

有关更多信息,请参阅 “其他平台信息” 部分。

其他平台信息

使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持其他平台。

NAT 规则类型

SRX300SRX320

SRX340、SRX345

SRX1500SRX1600

SRX2300、SRX4120SRX4100SRX4200

SRX4600SRX5400SRX5600SRX5800

SRX4700

源 NAT 规则

1024

2048

8192

20,480

30,720

51200

目标 NAT 规则

1024

2048

8192

20,480

30,720

51200

静态 NAT 规则

1024

2048

8192

20,480

30,720

51200

对象

SRX1600SRX2300、SRX4120

SRX4600SRX5400SRX5600SRX5800

SRX4700

每个系统的 NAT 规则总数

10,000

30,720

51200

每个规则集的 NAT 规则总数

10,000

30,720

51200
平台 OL 支持的 IP 数
vSRX 小型 VSRX-2CPU-4G 1
SRX1600 2
SRX2300、SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000 系列设备 128

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
19.3R1
从 Junos OS 19.3R1 版开始,带有 SRX5K-SPC3 卡的 SRX5000 系列设备、SRX4100、SRX4200 和 vSRX 虚拟防火墙实例支持 PowerMode IPsec (PMI) 模式下的 IPv4 和 IPv6 流量的源 NAT 功能,如源 NAT、目标 NAT 和静态 NAT。PMI 模式不支持 NAT64。但是,当启用 PMI 时,NAT64 在正常模式下可以正常工作。