Почему juniper vmx не поддерживает nat
Перейти к содержимому

Почему juniper vmx не поддерживает nat

  • автор:

NAT Configuration Overview

This topic describes how to configure Network Address Translation (NAT) and multiple ISPs. Also, this topic helps to verify the NAT traffic by configuring the trace options and monitoring NAT table.

Configuring NAT Using the NAT Wizard

You can use the NAT Wizard to perform basic NAT configuration on SRX300, SRX320, SRX340, SRX345, and SRX550M devices. To perform more advanced configuration, use the J-Web interface or the CLI.

To configure NAT using the NAT Wizard:

  1. Select Configure>Tasks>Configure NAT in the J-Web interface.
  2. Click the Launch NAT Wizard button.
  3. Follow the wizard prompts.

The upper-left area of the wizard page shows where you are in the configuration process. The lower-left area of the page shows field-sensitive help. When you click a link under the Resources heading, the document opens in your browser. If the document opens in a new tab, be sure to close only the tab (not the browser window) when you close the document.

Example: Configuring NAT for Multiple ISPs

This example shows how to configure a Juniper Networks device for address translation of multiple ISPs.

Requirements

Before you begin:

  1. Configure network interfaces on the device. See Interfaces User Guide for Security Devices.
  2. Create security zones and assign interfaces to them. See Understanding Security Zones.

Overview

In this example, you can configure an SRX Series Firewall by connecting the LAN to the Internet by using NAT feature through two ISP connections. In this configuration, trust is the security zone for the private address space and the two untrust security zones for the public address space are used to connect from LAN to the two ISPs and vice versa. The example is a combination of source NAT rules to connect to Internet from the LAN, and destination and static NAT rules to connect to the LAN from Internet.

Configuration

Configuring NAT for Multiple ISPs
  • CLI Quick Configuration
  • Step-by-Step Procedure
  • Results
CLI Quick Configuration

To quickly configure this example, copy the following commands, paste them into a text file, remove any line breaks, change any details necessary to match your network configuration, copy and paste the commands into the CLI at the [edit] hierarchy level, and then enter commit from configuration mode.

set routing-instances isp1 instance-type virtual-router set routing-instances isp1 interface ge-0/0/2.0 set routing-instances isp1 routing-options static route 10.0.0.0/8 next-table inet.0 set routing-instances isp1 routing-options static route 0.0.0.0/0 next-hop 192.0.2.20 set routing-instances isp2 instance-type virtual-router set routing-instances isp2 interface ge-0/0/3.0 set routing-instances isp2 routing-options static route 10.0.0.0/8 next-table inet.0 set routing-instances isp2 routing-options static route 0.0.0.0/0 next-hop 198.51.100.251 set routing-options interface-routes rib-group inet isp set routing-options static route 10.0.0.0/8 next-hop 10.0.21.254 set routing-options rib-groups isp import-rib inet.0 set routing-options rib-groups isp import-rib isp1.inet.0 set routing-options rib-groups isp import-rib isp2.inet.0 set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match source-address any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match destination-address any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match application any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol then permit set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match source-address any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match destination-address any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match application any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol then permit set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match source-address any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match application any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol then reject set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match source-address any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match destination-address any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match application any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol then reject set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match source-address any set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address ftp-ser set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address telnet-ser set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-ftp set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-telnet set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol then permit set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match source-address any set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.171.9.23/32 set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address http-ser set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.103.12.0/24 set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-http set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-icmp-all set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-dhcp-server set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol then permit set security nat source pool pool_1 address 192.0.2.40/32 to 192.0.2.190/32 set security nat source pool pool_2 address 192.0.2.250/32 set security nat source pool pool_3 address 198.51.100.20/32 to 198.51.100.30/32 set security nat source address-persistent set security nat source pool-utilization-alarm raise-threshold 90 set security nat source pool-utilization-alarm clear-threshold 80 set security nat source rule-set SR_SET_1 from zone trust set security nat source rule-set SR_SET_1 to zone untrust1 set security nat source rule-set SR_SET_1 rule rule1 match source-address 10.11.0.0/16 set security nat source rule-set SR_SET_1 rule rule1 match source-address 10.147.0.0/16 set security nat source rule-set SR_SET_1 rule rule1 match destination-address 0.0.0.0/0 set security nat source rule-set SR_SET_1 rule rule1 then source-nat pool pool_1 set security nat source rule-set SR_SET_1 rule rule2 match source-address 10.148.1.0/27 set security nat source rule-set SR_SET_1 rule rule2 match destination-address 0.0.0.0/0 set security nat source rule-set SR_SET_1 rule rule2 then source-nat interface set security nat source rule-set SR_SET_2 from zone trust set security nat source rule-set SR_SET_2 to zone untrust2 set security nat source rule-set SR_SET_2 rule rule3 match source-address 10.140.21.0/27 set security nat source rule-set SR_SET_2 rule rule3 then source-nat pool pool_3 set security nat source rule-set SR_SET_2 rule rule4 match source-address 10.150.45.0/24 set security nat source rule-set SR_SET_2 rule rule4 then source-nat off set security nat destination pool dppol_1 address 10.101.1.10/32 set security nat destination pool dppol_1 address port 21 set security nat destination pool dppol_2 address 10.101.1.11/32 set security nat destination pool dppol_2 address port 2101 set security nat destination pool dppol_3 address 10.103.12.251/32 set security nat destination pool dppol_3 address port 23 set security nat destination pool dppol_4 address 10.103.12.241/32 set security nat destination pool dppol_4 address port 23 set security nat destination pool dppol_5 address 10.103.1.11/32 set security nat destination pool dppol_5 address port 22 set security nat destination rule-set DR_SET1 from routing-instance isp1 set security nat destination rule-set DR_SET1 rule rule1 match destination-address 192.168.0.10/32 set security nat destination rule-set DR_SET1 rule rule1 match destination-port 7230 set security nat destination rule-set DR_SET1 rule rule1 then destination-nat pool dppol_1 set security nat destination rule-set DR_SET1 rule rule2 match destination-address 192.169.1.0/24 set security nat destination rule-set DR_SET1 rule rule2 then destination-nat pool dppol_2 set security nat destination rule-set DR_SET2 from routing-instance isp2 set security nat destination rule-set DR_SET2 rule rule3 match destination-address 192.168.2.2/32 set security nat destination rule-set DR_SET2 rule rule3 match destination-port 7351 set security nat destination rule-set DR_SET2 rule rule3 then destination-nat pool dppol_3 set security nat destination rule-set DR_SET2 rule rule4 match destination-address 192.168.4.171/32 set security nat destination rule-set DR_SET2 rule rule4 match destination-port 3451 set security nat destination rule-set DR_SET2 rule rule4 then destination-nat pool dppol_4 set security nat static rule-set ST_SET1 from zone trust set security nat static rule-set ST_SET1 rule rule1 match destination-address 10.0.10.0/24 set security nat static rule-set ST_SET1 rule rule1 then static-nat prefix 192.168.5.0/24 set security nat static rule-set ST_SET2 from routing-instance isp1 set security nat static rule-set ST_SET2 rule rule2 match destination-address 192.168.6.0/24 set security nat static rule-set ST_SET2 rule rule2 then static-nat prefix 10.107.30.0/24 set security nat static rule-set ST_SET2 rule rule3 match destination-address 192.168.0.10/32 set security nat static rule-set ST_SET2 rule rule3 then static-nat prefix 10.171.9.23/32 
Step-by-Step Procedure

The following example requires you to navigate various levels in the configuration hierarchy. For instructions on how to do that, see Using the CLI Editor in Configuration Mode in the Junos OS CLI User Guide.

    Configure routing instances.

[edit ] user@host# set routing-instances isp1 instance-type virtual-router user@host# set routing-instances isp1 interface ge-0/0/2.0 user@host# set routing-instances isp1 routing-options static route 10.0.0.0/8 next-table inet.0 user@host# set routing-instances isp1 routing-options static route 0.0.0.0/0 next-hop 192.0.2.20 user@host# set routing-instances isp2 instance-type virtual-router user@host# set routing-instances isp2 interface ge-0/0/3.0 user@host# set routing-instances isp2 routing-options static route 10.0.0.0/8 next-table inet.0 user@host# set routing-instances isp2 routing-options static route 0.0.0.0/0 next-hop 198.51.100.251 
[edit ] user@host# set routing-options interface-routes rib-group inet isp user@host# set routing-options static route 10.0.0.0/8 next-hop 10.0.21.254 user@host# set routing-options rib-groups isp import-rib inet.0 user@host# set routing-options rib-groups isp import-rib isp1.inet.0 user@host# set routing-options rib-groups isp import-rib isp2.inet.0 
[edit security policies] user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match source-address any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match destination-address any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match application any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol then permit user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match source-address any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match destination-address any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match application any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol then permit user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match source-address any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address anyfrom-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match application any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol then reject user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match source-address any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match destination-address any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match application any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol then reject user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match source-address any user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address ftp-ser user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address telnet-ser user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-ftp user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-telnet user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol then permit user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match source-address any user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.171.9.23/32 user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address http-ser user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.103.12.0/24 user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-http user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-icmp-all user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-dhcp-server user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol then permit 
[edit security nat] user@host# set source pool pool_1 address 192.0.2.40/32 to 192.0.2.190/32 user@host# set source pool pool_2 address 192.0.2.250/32 user@host# set source pool pool_3 address 198.51.100.20/32 to 198.51.100.30/32 user@host# set source address-persistent user@host# set source pool-utilization-alarm raise-threshold 90 user@host# set source pool-utilization-alarm clear-threshold 80 user@host# set source rule-set SR_SET_1 from zone trust user@host# set source rule-set SR_SET_1 to zone untrust1 user@host# set source rule-set SR_SET_1 rule rule1 match source-address 10.11.0.0/16 user@host# set source rule-set SR_SET_1 rule rule1 match source-address 10.147.0.0/16 user@host# set source rule-set SR_SET_1 rule rule1 match destination-address 0.0.0.0/0 user@host# set source rule-set SR_SET_1 rule rule1 then source-nat pool pool_1 user@host# set source rule-set SR_SET_1 rule rule2 match source-address 10.148.1.0/27 user@host# set source rule-set SR_SET_1 rule rule2 match destination-address 0.0.0.0/0 user@host# set source rule-set SR_SET_1 rule rule2 then source-nat interface user@host# set source rule-set SR_SET_2 from zone trust user@host# set source rule-set SR_SET_2 to zone untrust2 user@host# set source rule-set SR_SET_2 rule rule3 match source-address 10.140.21.0/27 user@host# set source rule-set SR_SET_2 rule rule3 then source-nat pool pool_3 user@host# set source rule-set SR_SET_2 rule rule4 match source-address 10.150.45.0/24 user@host# set source rule-set SR_SET_2 rule rule4 then source-nat off 
[edit security nat] user@host#set destination pool dppol_1 address 10.101.1.10/32 user@host#set destination pool dppol_1 address port 21 user@host#set destination pool dppol_2 address 10.101.1.11/32 user@host#set destination pool dppol_2 address port 2101 user@host#set destination pool dppol_3 address 10.103.12.251/32 user@host#set destination pool dppol_3 address port 23 user@host#set destination pool dppol_4 address 10.103.12.241/32 user@host#set destination pool dppol_4 address port 23 user@host#set destination pool dppol_5 address 10.103.1.11/32 user@host#set destination pool dppol_5 address port 22 user@host#set destination rule-set DR_SET1 from routing-instance isp1 user@host#set destination rule-set DR_SET1 rule rule1 match destination-address 192.168.0.10/32 user@host#set destination rule-set DR_SET1 rule rule1 match destination-port 7230 user@host#set destination rule-set DR_SET1 rule rule1 then destination-nat pool dppol_1 user@host#set destination rule-set DR_SET1 rule rule2 match destination-address 192.169.1.0/24 user@host#set destination rule-set DR_SET1 rule rule2 then destination-nat pool dppol_2 user@host#set destination rule-set DR_SET2 from routing-instance isp2 user@host#set destination rule-set DR_SET2 rule rule3 match destination-address 192.168.2.2/32 user@host#set destination rule-set DR_SET2 rule rule3 match destination-port 7351 user@host#set destination rule-set DR_SET2 rule rule3 then destination-nat pool dppol_3 user@host#set destination rule-set DR_SET2 rule rule4 match destination-address 192.168.4.171/32 user@host#set destination rule-set DR_SET2 rule rule4 match destination-port 3451 user@host#set destination rule-set DR_SET2 rule rule4 then destination-nat pool dppol_4 
[edit security nat] user@host#set static rule-set ST_SET1 from zone trust user@host#set static rule-set ST_SET1 rule rule1 match destination-address 10.0.10.0/24 user@host#set static rule-set ST_SET1 rule rule1 then static-nat prefix 192.168.5.0/24 user@host#set static rule-set ST_SET2 from routing-instance isp1 user@host#set static rule-set ST_SET2 rule rule2 match destination-address 192.168.6.0/24 user@host#set static rule-set ST_SET2 rule rule2 then static-nat prefix 10.107.30.0/24 user@host#set static rule-set ST_SET2 rule rule3 match destination-address 192.168.7.2/32 user@host#set static rule-set ST_SET2 rule rule3 then static-nat prefix 10.171.9.23/32 
Results

From configuration mode, confirm your configuration by entering show configuration command. If the output does not display the intended configuration, repeat the configuration instructions in this example to correct it.

user@host# show configuration routing-intances routing-instances < isp1 < instance-type virtual-router; interface ge-0/0/2.0; routing-options < static < route 10.0.0.0/8 next-table inet.0; route 0.0.0.0/0 next-hop 192.0.2.20; >> > isp2 < instance-type virtual-router; interface ge-0/0/3.0; routing-options < static < route 10.0.0.0/8 next-table inet.0; route 0.0.0.0/0 next-hop 198.51.100.251; >> > >
user@host# show configuration routing-options routing-options < interface-routes < rib-group inet isp; >static < route 10.0.0.0/8 next-hop 10.0.21.254; >rib-groups < isp < import-rib [ isp1.inet.0 isp2.inet.0 ]; >> >
user@host# show configuration policies policies < from-zone trust to-zone untrust1 < policy tr-untr1-pol < match < source-address any; destination-address any; application any; >then < permit; >> > from-zone trust to-zone untrust2 < policy tr-untr2-pol < match < source-address any; destination-address any; application any; >then < permit; >> > from-zone untrust1 to-zone untrust2 < policy untr1-untr2-pol < match < source-address any; destination-address any; application any; >then < reject; >> > from-zone untrust2 to-zone untrust1 < policy untr2-untr1-pol < match < source-address any; destination-address any; application any; >then < reject; >> > from-zone untrust1 to-zone trust < policy untr1-tr-pol < match < source-address any; destination-address [ ftp-ser telnet-ser ]; application [ junos-ftp junos-telnet ]; >then < permit; >> > from-zone untrust2 to-zone trust < policy untr2-tr-pol < match < source-address any; destination-address [ 10.171.9.23/32 http-ser 10.103.12.0/24 ]; application [ junos-http junos-icmp-all junos-dhcp-server ]; >then < permit; >> > >
user@host# show configuration security nat security < nat < source < pool pool_1 < address < 192.0.2.40/32 to 192.0.2.190/32; >> pool pool_2 < address < 192.0.2.250/32; >> pool pool_3 < address < 198.51.100.20/32 to 198.51.100.30/32; >> address-persistent; pool-utilization-alarm raise-threshold 90 clear-threshold 80; rule-set SR_SET_1 < from zone trust; to zone untrust1; rule rule1 < match < source-address [ 10.11.0.0/16 10.147.0.0/16 ]; destination-address 0.0.0.0/0; >then < source-nat < pool < pool_1; >> > > rule rule2 < match < source-address 10.148.1.0/27; destination-address 0.0.0.0/0; >then < source-nat < interface; >> > > rule-set SR_SET_2 < from zone trust; to zone untrust2; rule rule3 < match < source-address 10.140.21.0/27; >then < source-nat < pool < pool_3; >> > > rule rule4 < match < source-address 10.150.45.0/24; >then < source-nat < off; >> > > >
user@host# show configuration security nat destination < pool dppol_1 < address 10.101.1.10/32 port 21; >pool dppol_2 < address 10.101.1.11/32 port 2101; >pool dppol_3 < address 10.103.12.251/32 port 23; >pool dppol_4 < address 10.103.12.241/32 port 23; >pool dppol_5 < address 10.103.1.11/32 port 22; >rule-set DR_SET1 < from routing-instance isp1; rule rule1 < match < destination-address 192.168.0.10/32; destination-port 7230; >then < destination-nat pool dppol_1; >> rule rule2 < match < destination-address 192.169.1.0/24; >then < destination-nat pool dppol_2; >> > rule-set DR_SET2 < from routing-instance isp2; rule rule3 < match < destination-address 192.168.2.2/32; destination-port 7351; >then < destination-nat pool dppol_3; >> rule rule4 < match < destination-address 192.168.4.171/32; destination-port 3451; >then < destination-nat pool dppol_4; >> > >
user@host# show configuration static nat static < rule-set ST_SET1 < from zone trust; rule rule1 < match < destination-address 10.0.10.0/24; >then < static-nat prefix 192.168.5.0/24; >> > rule-set ST_SET2 < from routing-instance isp1; rule rule2 < match < destination-address 192.168.6.0/24; >then < static-nat prefix 10.107.30.0/24; >> rule rule3 < match < destination-address 192.168.7.2/32; >then < static-nat prefix 10.171.9.23/32; >> > > >

If you are done configuring the device, enter commit from configuration mode.

NAT Overview

Network Address Translation (NAT) is a mechanism to translate the IP address of a computer or group of computers into a single public address when the packets are sent out to the internet. By translating the IP address, only one IP address is publicized to the outside network. Since only one IP address is visible to the outside world, NAT provides additional security and it can have only one public address for the entire network instead of having multiple IP addresses.

Introduction to NAT

Network Address Translation (NAT) is a method for modifying or translating network address information in packet headers. Either or both source and destination addresses in a packet may be translated. NAT can include the translation of port numbers as well as IP addresses.

NAT is described in RFC 1631 to solve IP (version 4) address depletion problems. Since then, NAT has been found to be a useful tool for firewalls, traffic redirect, load sharing, network migrations, and so on.

The following types of NAT are supported on Juniper Networks devices:

  • Static NAT
  • Destination NAT
  • Source NAT

SRX Series Firewalls perform both policy lookup and service lookup based on the translated destination port.

You can use the NAT Wizard to perform basic NAT configuration. To perform more advanced configuration, use the J-Web interface or the CLI.

Starting from Junos OS Release 19.3R1, SRX5000 line devices with SRX5K-SPC3 card, SRX4100, SRX4200, and vSRX Virtual Firewall instances support NAT features such as source NAT, destination NAT, and static NAT for both IPv4 and IPv6 traffic in PowerMode IPsec (PMI) mode. NAT64 is not supported in PMI mode. However, NAT64 works properly in normal mode, when PMI is enabled.

See Also

Understanding NAT Rule Sets and Rules

NAT processing centers on the evaluation of NAT rule sets and rules. A rule set determines the overall direction of the traffic to be processed. For example, a rule set can select traffic from a particular interface or to a specific zone. A rule set can contain multiple rules. Once a rule set is found that matches specific traffic, each rule in the rule set is evaluated for a match. Each rule in the rule set further specifies the traffic to be matched and the action to be taken when traffic matches the rule.

This topic includes the following sections:

NAT Rule Sets

A rule set specifies a general set of matching conditions for traffic. For static NAT and destination NAT, a rule set specifies one of the following:

  • Source interface
  • Source zone
  • Source routing instance

For source NAT rule sets, you configure both source and destination conditions:

  • Source interface, zone, or routing instance
  • Destination interface, zone, or routing instance

It is possible for a packet to match more than one rule set; in this case, the rule set with the more specific match is used. An interface match is considered more specific than a zone match, which is more specific than a routing instance match. If a packet matches both a destination NAT rule set that specifies a source zone and a destination NAT rule set that specifies a source interface, the rule set that specifies the source interface is the more specific match.

Source NAT rule set matching is more complex because you specify both source and destination conditions in a source NAT rule set. In the case where a packet matches more than one source NAT rule set, the rule set chosen is based on the following source/destination conditions (in order of priority):

  1. Source interface/destination interface
  2. Source zone/destination interface
  3. Source routing instance/destination interface
  4. Source interface/destination zone
  5. Source zone/destination zone
  6. Source routing instance/destination zone
  7. Source interface/destination routing instance
  8. Source zone/destination routing instance
  9. Source routing instance/destination routing instance

For example, you can configure rule set A, which specifies a source interface and a destination zone, and rule set B, which specifies a source zone and a destination interface. If a packet matches both rule sets, rule set B is the more specific match.

You cannot specify the same source and destination conditions for source NAT rule sets.

NAT Rules

Once a rule set that matches the traffic has been found, each rule in the rule set is evaluated in order for a match. NAT rules can match on the following packet information:

  • Source and destination address
  • Source port (for source and static NAT only)
  • Destination port

The first rule in the rule set that matches the traffic is used. If a packet matches a rule in a rule set during session establishment, traffic is processed according to the action specified by that rule.

You can use the show security nat source rule and show security nat destination rule and the show security nat static rule commands to view the number of sessions for a specific rule.

Rule Processing

The NAT type determines the order in which NAT rules are processed. During the first packet processing for a flow, NAT rules are applied in the following order:

  1. Static NAT rules
  2. Destination NAT rules
  3. Route lookup
  4. Security policy lookup
  5. Reverse mapping of static NAT rules
  6. Source NAT rules

Figure 1 illustrates the order for NAT rule processing.

Figure 1: NAT Rule Processing

Static NAT and destination NAT rules are processed before route and security policy lookup. Static NAT rules take precedence over destination NAT rules. Reverse mapping of static NAT rules takes place after route and security policy lookup and takes precedence over source NAT rules. Source NAT rules are processed after route and security policy lookup and after reverse mapping of static NAT rules.

The configuration of rules and rule sets is basically the same for each type of NAT—source, destination, or static. But because both destination and static NAT are processed before route lookup, you cannot specify the destination zone, interface or routing instance in the rule set.

NAT Rule Capacity

Table 1 provides the NAT rule capacity requirements per device. Platform support depends on the Junos OS release in your installation.

Почему juniper vmx не поддерживает nat

vMX Juniper Networks ПО
запрос цены

Виртуальный маршрутизатор Juniper vMX разработан компанией Juniper Networks как решение по виртуализации сетей связи, для предоставления конечным клиентам возможности по широкой масштабируемости и гибкости предоставления сервисов. Данный программный продукт предназначен для установки на выделенную аппаратную платформу – сервер, с установленной средой виртуализации. Juniper vMX призван занять свою нишу в линейке продуктов Juniper, и работать совместно с железными решениями.

Широкий спектр применения:

· Использование в качестве виртуальной лаборатории. С помощью программного обеспечения vMX каждый может создать свою тестовую лабораторию, для проверки нового функционала, а так же создать виртуальную копию своей сети, для проведения тестов, испытаний, обучения сотрудников.

· Использование в качестве полноценного маршрутизатора с функционалом PE/Border. Программное обеспечение по своему функционалу не уступает своим братьям из «железной линейки», поддерживая все фичи MX серии. Это позволит вам использовать данное ПО как полноценный маршрутизатор необходимой производительности.

· Использование в качестве устройства vCPE. Удобно для предоставления клиентам – юридическим лицам. На стороне конечного пользователя ставится коммутатор с подключенными абонентами. Со стороны провайдера ставится vMX с небольшой полосой пропускания, который находится под управлением оператора, что облегчает его эксплуатацию и обслуживание клиента.

Особенности лицензирования:

BASE — base ip routing, no vpn, 32k FIB (-X mode)

Advanced: same as -IR mode, Full FIB, no L3VPNs;

Premium — same as -R (no restrictions)

Так же ограничивается и лицензируется полоса пропускания / производительность.

Имеется возможность получить Lab License – 50 мбит/с а так же trial license – 90 дней без ограничений.

Эмулятор Juniper. Виртуальная лаборатория VMware

image

Заранее стоит создать достаточное количество виртуальных коммутаторов на хосте. С помощью них мы будем связывать наши устройства в сеть. Делается это во вкладке Configuration нашего хоста VMware.

image

Далее нужно прейти в раздел Networking и нажать Add Networking… В появившемся окне Connection Type выбрать Virtual Machine и нажать Next, выбрать Create vSphere standart switch и нажать Next, в новом окне задать понятное имя для свича – например Office_lan. Нажать Next и Finish. Я рекомендую создать 5-7 виртуальных коммутаторов, включая один, который будет использовать для изолирования портов маршрутизаторов. Важно – не нужно назначать виртуальным свичам реальные физические интерфейсы виртуального хоста.

Далее необходимо добавить в каждый маршрутизатор необходимое количество сетевых карт, думаю, многим будет достаточно 4-5. В маршрутизаторах они будут инициализироваться под именами ge-0/0/n, где n — номер сетевой карты начиная с нуля. Для добавления сетевой карты нажмите правой кнопкой мыши на виртуальном маршрутизаторе и выберите в контекстном меню Edit Settings. Нажмите кнопку Add, далее выберите тип устройства Ethernet Adapter и нажмите Next. В следующем окне вы сразу же сможете подключить ваш адаптер в созданный заранее виртуальный коммутатор.

Необходимо понимать, что те порты, которые будут подключены в один виртуальный коммутатор, будут иметь Ethernet связанность, как будто вы их подключили напрямую проводом или через обычный хаб\свич. Посмотреть, какие порты в какой виртуальный коммутатор подключены, можно все на той же вкладке Edit Settings, доступ которой можно получить, нажав правой кнопкой на любом виртуальном устройстве на вашем хосте. В этой же вкладке можно оперативно поменять виртуальный коммутатор для сетевого адаптера – «переткнуть кабель».

image

Для начала работы необходимо создать минимум два маршрутизатора, один виртуальный коммутатор и на каждом маршрутизаторе подключить сетевой интерфейс к этому коммутатору. Далее можно конфигурировать маршрутизаторы. Для начала назначить интерфейсам ge-0/0/0 IP адреса и проверить IP-связанность, что подтвердит правильность проведенных настоек. Для конфигурирования необходимо включить виртуальные устройства и на включенном виртуальном устройстве нужно нажать правой кнопкой и в контекстном меню выбрать Open Console.

Следующим шагом будет подключение к маршрутизаторам клиентских устройств-компьютеров, которые можно эмулировать весьма лёгким форком TinyLinux. Развернуть таких клиентов можно так же, как и маршрутизаторы, через OVA файл. Для того, чтобы соединить компьютер и маршрутизатор между собой, подключаем сетевой интерфейс клиентского компьютера и свободный интерфейс маршрутизатора к одному виртуальному коммутатору.

Чтобы вывести виртуальную сеть в реальную, достаточно к одному из портов маршрутизатора подключить виртуальный коммутатор, к которому в свою очередь подключен реальный физический сетевой интерфейс виртуального хоста VMware.
Вот и все, теперь можно конфигурировать ваши устройства, используя документацию с официального сайта Juniper.

image

Так выглядит TinyLinux. С помощью встроенного менеджера пакетов, его можно легко доукомплектовать любым приложением, например браузером Chromium или http сервером. Это очень поможет когда вы будете настраивать конфигурации source и destenation nat

А так выглядит консоль в которой вы будете конфигурировать маршрутизаторы. Данная консоль сама по себе не очень удобна из-за отсутствия буфера экрана (это значит, что вы не сможете посмотреть/прокрутить текст, который вышел за верхнюю границу окна; выделения текста мышкой и copy/past из браузера, в этой консоли, так же работать не будут). Идеальным решением будет подключение к маршрутизаторам по SSH, а к данной консоли вы будете возвращаться только если полностью потеряли связь с устройством, хотя при грамотном использовании commit confirmed вам, возможно, это никогда не понадобится.

P.S. Ложечка дёгтя все же есть. Функции коммутации aka Ethernet-switching не поддерживаются, так что изучить коммутационное оборудование компании Juniper таким образом не получится.

Решаем нехватку адресов с помощью CGNAT

Интернет пришел во все без исключения аспекты нашей жизни. От осознания того, какие устройства имеют порты для подключения к сети, можно с ума сойти. Тем временем количество IP-адресов уменьшается прямо пропорционально.

Простой пример: я достаточно консервативен в этом отношении, но уже подключил:

  • телевизор (2 штуки);
  • телефон (2 сим);
  • видеорегистратор;
  • машину;
  • собаку (ошейник с GPS/GPRS).
  • свет в доме;
  • чайник;
  • гладильная доска.

Количество «Connected»-устройств растет непомерными темпами. Статистика и прогнозы роста аппаратных средств, которым нужен IP-адрес, не поддается анализу, но все источники сходятся в том, что рост носит экспоненциальный характер, и тенденция эта сохранится в ближайшие 5-10 лет.

С очередным расширением сети ушел в продакшн очередной блок IP-адресов, а их по сусекам почти не осталось… LIR PI не выдает (что предсказуемо уже лет 5), а PA дорожают с каждым годом, да и аренда столь критического ресурса пугает немалыми рисками. Остался практически последний шанс получить статус LIR и заветную /22, и, судя по последним новостям RIPE, скоро такого шанса не станет вовсе: европейский регистратор раздал больше половины из последнего /8 блока.

Да и весь запас адресов на исходе:

Глядя на график становится ясно, что прогнозы регистраторов сбываются. Несмотря на все старания RIPE продлить агонию, в 2017 году выдано около 4 млн. адресов, а всего их осталось 11 миллионов. И это говорит о том, что к 2020 году их не станет вовсе. А операторам придется делать выбор: усиленно экономить IPv4 или переходить на IPv6.

Размышляя над будущей архитектурой сети, я прихожу к выводу, что, судя по темпам внедрения IPv6, ближайшие (как минимум) 10-15 лет основной трафик все же останется на 4 версии интернет-протокола. В России сегодня в анонсах BGP только около 15% AS имеют IPv6, а в мире — чуть больше 25%,

трафик IPv6 в MSK-IX составляет менее 1% от IPv4 (Источник),

по данным Гугла — чуть более 20% пользователей в мире (и только 1.34% в России) заходят с IPv6.

Рост трафика IPv6 есть, но он не столь значителен, чтобы всерьез беспокоиться и спешить с его внедрением. Связано это с тем, что нативная поддержка IPv6 до сих пор реализуется не во всех клиентских устройствах! Даже новых, даже в суперновомодных штуках, претендующих на новое поколение IoT-устройств. Так что, как верно подмечено в статье одного из сотрудников Google, Avery Pennarun, после тотального перехода сетей на IPv6, нам всё ещё будет нужен. NAT. Чтобы устаревшие IPv4-лампочки смогли добраться до интернета.

Статей про реализации IPv6 можно найти предостаточно. Усредняя мегабайты прочитанного текста и собственные эксперименты, заключение на конец 2017 года такое: внедрять IPv6 нужно, но осторожно. Граблей будет много, и у каждого они окажутся свои. С поддержкой v6 пока еще все плохо даже на операторском оборудовании (про грабли внедрения можно почитать хотя бы вот тут). Внедрять нужно DualStack, т.е. выдавать клиенту адреса IPv6 и IPv4 одновременно. А это значит, что остатки IPv4 все еще нужно раздавать клиентам, и скоро они будут стоить на вес золота, и их надо экономить. Следовательно, в ближайшие (как минимум) 10 лет NAT никуда не денется, а значит планировать развитие сетей нужно с учетом реализации Dual Stack, либо просто закупать новые железки только с поддержкой v6, чтобы впоследствии получить как можно меньше проблем.

Прогнозируя рост трафика и количества абонентов, убеждаюсь в том, что на существующем железе, которое реализует NAT, достаточно скоро ресурсы закончатся, и надо будет расширяться. Решить необходимо следующие задачи:

  • обеспечить заданное количество трансляций на одного абонента;
  • обеспечить Address Pooling — все соединения от одного клиента должны транслироваться в один и тот же белый IP;
  • ограничить время жизни одной трансляции;
  • вести лог трансляций (для СОРМ).

Выбор аппаратных решений — это выбор бренда, и надежда на стабильность и надежность. Это примерно, как выбор топового автомобиля — Феррари, Ламборджини, Макларен…Все они безусловно хороши, но и бюджет на их приобретение весьма велик, а эксплуатация требует высокой квалификации инженерного состава. И эта квалификация, помимо того, что весьма недешево обойдется, должна быть заточена под конкретного производителя. К примеру, Juniper готов научить Вашего админа настраивать NAT на своем оборудовании чуть более, чем за 700 USD (тут), и только при условии наличия сертификата AJSPR. Таким образом, если у Вас в ядре сети уже трудятся Cisco ASR, то, конечно же, нет смысла рассматривать, например, Ericcsson для вынесения на него одной единственной функции.

С другой стороны, реализация NAT на чисто аппаратных средствах (ASIC), это скорее экзотика, и как доказательство тому — модуль CGSE для Cisco представляет собой ни что иное, как х.86 сервер с проприетарным софтом на базе FreeBSD, адаптированный под работу в составе аппаратного роутера. И в этом смысле, его цена кажется совсем заоблачной. Но наиболее желанным функционалом брендовых аппаратных решений, является «настроил и забыл», жаль, только, что он так до сих пор никем и не реализован на 100%. Стоило бы вынести в отдельный раздел виртуализованные платформы, такие как NFWare Virtual Carrier Grade NAT, Juniper vSRX / vMX и прочие NFV-решения, для которых NAT является интересным кейсом для концепции распределённого NFV (dNFV), когда сетевые функции логически централизованы (имеем единый пул адресов и ресурсов, и единую точку управления), но при этом территориально распределены. Но это тема достойна отдельного и достаточно емкого обзора.

Есть мнение, что за NFV будущее, не зря же этой тематикой интересуются и именитые бренды, традиционно занимающие топовые позиции на рынке операторского железа, и крупные инвесторы, активно финансирующие все, что связано с виртуализацией, в том числе и сетевых функций (на примере АФК Системы и NFWare). Но NFV, в рамках данной статьи, более касаться не буду.

Также, несколько особняком стоит Mikrotik, который может быть реализован на платформе х.86 и не х.86 (CCR), и в виртуализованной среде (CHR), но, тем не менее, это чистой воды софт-роутер, обрабатывающий практически все функции одинаковыми процессорами. Но, в виду того, что CCR, это законченное устройство с проприетарным софтом — я отнес его также в раздел аппаратных (кстати, это одно из немногих решений для малых сетей — предел производительности в режиме NAT+шейпер около 4-5 Гбит/с для модели CCR-1036), а RouterOs для х.86 — софт — он попал в раздел х.86.

Самосбор на Linux/FreeBSD — это, если вернуться к автомобильной тематике, раллийный автомобиль. Надо взять платформу, изначально предназначенную для гражданских целей, грамотных механиков, и пилить, крутить, настраивать, перестраивать и надеяться, что в конечном итоге на всем этом можно очень быстро поехать на встречу победе…Все зависит на 90% от тех, кто будет это реализовывать и поддерживать. Как правило, такой человек в компании один. И строит систему он исходя из своего понимания процесса. И поддерживает систему он же. А что будет, если он уйдет? Насколько качественно задокументирован функционал? Поддерживать чужую систему подобного рода также затратно, как и написать ее с нуля.

Альтернативой самосбору и именитым брендам являются чисто софтовые решения, такие, как RDP.ru, Carbon Soft, VAS Experts и т.д. В автотерминах — это тюнинг-ателье, которые за определенную сумму денег, из гражданской машины могут сделать весьма впечатляющий спорткар, во многом не уступающий именитым брендам. На сегодняшний момент, для средних и даже крупных сетей, этот вариант подкупает массой достоинств. А именно: х.86 — распространенная платформа, компоненты которой можно купить практически в любом крупном городе, и они зачастую есть на складе у поставщика. Аппаратная часть заметно дешевле тех же модулей для Cisco или Juniper, что позволяет держать их в ЗИПе. Можно модернизировать платформу, заменив аппаратную часть на более производительную и докупив лицензии, а высвободившееся оборудование задействовать для других целей. Т.е. вопросы резервирования легко решаемы и концепция pay-as-you-grow видна во всей своей красе. Кроме того, софтовые решения, такие как СКАТ DPI от VAS Experts, выполняют еще ряд задач, которые в случае аппаратных решений придется реализовывать отдельно. Это кэширование трафика, защита от DDOS, и другие прелести полноценного DPI, такие как блокировки в соответствии с ФЗ-139, блокировка и замена рекламы, журналирование трансляций и экспорт данных в СОРМ-3, сбор статистики по типам трафика, возможность реализации некоторых доп. услуг, как, например, «Детский интернет» и т.д. Что немаловажно, на рынке софтовых решений очень хорошо представлены отечественные производители, а это помимо гордости за отчизну, еще и русскоязычная поддержка, у которой нет языкового барьера с разработчиками.

Недостатки у х.86 решений тоже очевидны — в первую очередь это касается грамотного подбора аппаратных компонентов. Ошибки чреваты проблемами с производительностью и отказоустойчивостью. Инсталляция системы (если производитель не предоставляет такой услуги) может оказаться крайне нетривиальным занятием. Однако адекватный поставщик софта всегда должен помочь как с выбором аппаратной части, так и с инсталляцией и вводом в эксплуатацию. Отдельно стоит отметить, что решение должно быть сертифицированным, тут думаю, вопросов «зачем» и «почему», возникнуть не должно.

В заключение могу сказать, что для меня выбор очевиден — NAT и DPI в одной коробке — оптимальное решение по совокупности требований к стоимости, функционалу, масштабируемости и ремонтопригодности.

  • компания наг
  • интернет
  • сетевое оборудование
  • связь
  • телекоммуникации и связь
  • адреса
  • ipv6day
  • Блог компании НАГ
  • Софт
  • Сетевое оборудование
  • Интернет вещей

Почему juniper vmx не поддерживает nat

08.06.2017 Juniper 4 комментария

Настроим juniper vpn на SRX210

Настроим juniper vpn на SRX210

Добрый день уважаемые читатели, в прошлый раз мы с вами настроили сетевые интерфейсы на Juniper SRX210, а вот сегодня с помощью него же поднимем на juniper vpn канал, между двумя офисами, чтобы объединить с помощью него две локальные сети, рассмотрим примеры соединения, точка-точка и сеть-сеть. На сегодняшний момент, когда у компании может быть огромное количество филиалов, сложно представить жизнь без впн, и любой системный администратор, просто обязан знать его принципы работы и настройки.

12.06.2017 Juniper No comments

Как настроить сетевой интерфейс на маршрутизаторе juniper srx210

Как настроить сетевой интерфейс на маршрутизаторе juniper srx210

Добрый день уважаемые читатели блога, сегодня я хочу показать вам как настроить сетевой интерфейс на маршрутизаторе juniper srx210. В примере будут рассмотрены как графический метод, так и через командную строку, вы уже сами определите какой метод вам нравится больше. На выполнение данной задачи у вас уйдет буквально пара минут вашего драгоценного времени, которое системный администратор и без того, знает куда применить.

01.07.2022 Juniper 13 комментариев

Download Juniper vMX Router 15.1F4 for VMWare ESXi 5.5

Download Juniper vMX Router 15.1F4

Hello everyone, today I want to share with you a way virtual machine for VMWare ESXi 5.5 with Juniper vMX Router 15.1F4 on 05 Jan 2016. This image has asked me to put one of the readers. All bathed in a cloud of Yandex on disk, so that the speed will be different. Any questions, please write in the comments.

13.06.2017 Juniper No comments

Скачать vSRX VMware Appliance with SCSI virtual disk 15.1X49-D15

Скачать vSRX VMware Appliance with SCSI virtual disk 15.1X49-D15

Скачать vSRX VMware Appliance with SCSI virtual disk 15.1X49-D15

Всем привет сегодня хочу поделиться vSRX VMware Appliance with SCSI virtual disk 15.1X49-D15, ранее он назывался Firefly Perimeter. Версия триальная на 60 дней, залито на яндекс диск, так что скачать сможете на хорошей скорости, vSRX является виртуализированным брандмауэров и гораздо больше. Этот продукт доступен для версий 5.X VMware VSphere. Эта виртуальная машина VMware обеспечивает возможности брандмауэра для вашего трафика, а также функциональность NAT и VPN. Построенный на технологии наших высокопроизводительных межсетевых экраны, vSRX включает в себя IPS и UTM технологии. vSRX также возможности кластеризации, что позволяет запускать виртуальные машины в активном / активном режиме, обеспечивая возможности допуска в случае неисправностей. Используя эту возможность, позволяет inheritently защитить ваши виртуальные машины, виртуальные серверы, приложения, виртуальной инфраструктуры без дополнительных систем.

Скачать Junosphere Connector VM for VMware Player / Download Junosphere Connector VM for VMware Player

Скачать Junosphere Connector VM for VMware Player

Скачать Junosphere Connector VM for VMware Player

Новое в Junosphere

Этот релиз содержит следующие новые функции:

  • Новый более дружественный интерфейс.
  • Усовершенствованная архитектура является более надежной, гибкой и автоматизированной, что обеспечивает повышенную производительность.
  • Поддержка новых образов: VJX1000 11.4, 12.3 VJX1000, VSRX 12.1X47-D20, Junos Space 14.1R3.4, Junos Space 14.1R3 (с приложениями), VRR 14.2.
  • Расширенный набор каких топологий, охватывающих базовые и расширенные маршрутизации.

19.09.2019 Juniper 688 комментариев

Помогу скачать прошивку Juniper с официального сайта пишите помогу

Juniper

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России Pyatilistnik.org. Если у вас есть желание держать ваше сетевое оборудование в актуальном состоянии, то я слегка могу вам в этом помочь. Сразу оговорюсь, что лучше если вы купите сервисный контракт или же пройдете самостоятельную регистрацию вашего оборудования Juniper на официальном сайте, да этот процесс не быстрый, но за то, вы потом сможете все скачивать сами и при желании кому-то помочь. Если кому то нужно скачать прошивку Juniper с официального сайта пишите помогу и залью куда вам нужно. Ниже приведены ссылки на методы установки прошивки.

30.05.2016 Juniper No comments

Juniper SRX: Configure Time and NTP Client

Juniper

Let’s see how to set the system time of an SRX Series device manually and configure NTP on the device.

Setting the Time Zone
The time zone is set to the time zone for Rome, Italy:

set system time-zone Europe/Rome

What’s the Best Way to Learn About Our vMX Virtual Router? Try It.

The vMX is a full-featured, virtualized MX Series Universal Router. It helps you improve service agility, speed your time to market, and increase routing scale and performance. You can use it to create and centrally manage policy, gather and distribute threat intelligence, detect threats, and adapt and enforce policies in real time.

Our free 60-day trial for current Juniper customers makes it easy for you to qualify the vMX in your own network. Simply follow the steps below to download, install, and begin your evaluations.

At the end of the trial period, we offer a seamless conversion to purchase—so there’s no need to reinstall the vMX.

Step 1

If you are a registered Juniper user, click here to edit your account and choose the software evaluation you would like.

Otherwise Register into Juniper and choose “Evaluation user access”.

Step 2

Select vMX Software

Select the desired evaluation of vMX software to download. You need to accept the Juniper End User License Agreement to proceed.

Step 3

Retrieve License Key

Retrieve the license key that activates your 60-day, unlimited-bandwidth vMX trial.

Step 4

Install License Key

Follow the instructions on how to install the license key.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *