NAT Source Address Translation Options in Junos - dummies

Layanan keamanan bukan satu-satunya layanan yang diberikan oleh SRX (walaupun layanan keamanan adalah yang paling vital). Anda dapat mengkonfigurasi layanan lain, seperti terjemahan alamat sumber NAT juga. Intinya, NAT hanya bisa dikonfigurasi untuk memperluas kegunaan alamat IP. NAT melakukannya dengan mengganti satu set informasi alamat header paket yang lain, sesuai dengan aturan yang dikonfigurasi.

Secara default, paket rute SRX yang lolos uji kebijakan keamanan, namun tidak menerjemahkan alamat IP sumber dan tujuan. Paket yang mengalir melalui sesi menunjukkan hal ini. Perhatikan bahwa alamat In dan Out tidak berubah saat paket mengalir ke tujuan dan kembali.

root #

tampilkan sesi aliran keamanan ID sesi: 100001790, nama kebijakan: admins_to_untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 209. 239. 112. 126/80; tcp, jika: ge-0/0/0 0 Keluar: 209. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Jika: ge-0/0/2. 0 … Anda dapat mengkonfigurasi NAT untuk menyediakan layanan terjemahan alamat ini di SRX dengan mudah.

Tiga pilihan NAT utama tersedia di SRX:

sumber, tujuan, dan statis. Dua yang pertama menerjemahkan alamat sumber atau tujuan berdasarkan kumpulan alamat, sedangkan opsi terakhir secara statis memetakan alamat dari satu ke yang lain (sehingga server dan printer jaringan memiliki alamat yang stabil namun tersembunyi).

Setelah Anda memutuskan pilihan NAT yang Anda inginkan, Anda dapat menyesuaikan pilihan lain. Secara khusus, pilihan yang tersedia adalah pilihan antara menggunakan terjemahan antarmuka sumber-ke-egress atau menerjemahkan port dan alamat IP (secara teknis, ini adalah NATP - NAT dengan port - tapi orang NAT dengan putus asa cenderung hanya memanggil semuanya NAT >).

Perhatikan bahwa selain menerjemahkan alamat IP sumber ke alamat IP pada antarmuka egress ge-0/0/2, SRX juga menerjemahkan port sumber. Ini adalah bentuk NAT yang sangat umum yang menyembunyikan alamat IP lokal pribadi dan port dari Internet publik global.

Namun, Anda perlu ingat bahwa SRX tidak dirancang untuk membedakan antara LAN "pribadi" dan Internet "publik". SRX hanya mengetahui zona, dan ini harus dikonfigurasi dengan benar untuk memasok layanan NAT yang diharapkan.

Selain itu, walaupun aturan NAT mungkin terlihat sangat mirip dengan kebijakan keamanan, SRX memperlakukan layanan NAT secara independen dari dinas keamanan (aturan NAT berada di bawah hierarki pengeditan yang terpisah).

Karakteristik ini memungkinkan aturan NAT disesuaikan tanpa mempengaruhi kebijakan keamanan, namun juga memerlukan pertimbangan cermat. NAT tidak ada hubungannya dengan apakah sebuah paket diterima; hanya kebijakan keamanan yang bisa melakukan itu.