Juniper Netscreen NAT简单总结_简单年终总结个人总结

Juniper Netscreen NAT简单总结由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“简单年终总结个人总结”。

Juniper Netscreen NAT简单总结

1、源网络地址转换

执行源网络地址转换(NAT-src)时，安全设备将初始源 IP 地址转换成不同的地址。已转换地址可以来自动态 IP(DIP)池或安全设备的出口接口。如果从 DIP 池中提取已转换的地址，安全设备可以随机提取或提取明确的地址，也就是说，既可以从DIP 池中随机提取地址，也可以持续提取与初始源 IP 地址有关的特定地址。可以配置安全设备，在接口级或策略级应用 NAT-src。如果配置策略以应用 NAT-src，且入口接口处于 NAT 模式下，则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。基于策略的NAT-SRC优先级高于接口级的NAT-src。

2、目标网络地址转换

基于策略的 NAT-dst:

MIP：MIP的地址转换双向执行，因此安全设备可以将到达 MIP 地址的所有信息流中的目标

IP 地址转换成主机 IP 地址，并将主机 IP 地址发出的所有信息流中的源 IP 地址转

换成 MIP 地址。

VIP：是从一个 IP 地址到基于目标端口号的另一个 IP 地址的映射。在同一子网中定义为接口的单个 IP 地址可以托管从若干服务(使用不同的目标端口号标识)到同样多主机的映射。VIP 还支持端口映射。与 MIP 不同，VIP的地址转换将单向执行。安全设备可以将到达VIP 地址的所有信息流中的目标 IP地址转换成主机 IP 地址。

ScreenOS 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之，如果安全设备偶然将 MIP 和 VIP 应用于同一信息流，则MIP 和 VIP 将禁用基于策略的 NAT-dst。感觉是MIP，VIP优先级高于基于策略的NAT-DST。

虽然 MIP 和 VIP 的地址转换机制是双向的，但基于策略的 NAT-src 和 NAT-dst 能够将入站和出站信息流的地址转换分开，以提供较好的控制与安全性能。基于策略的 NAT-src 和 NAT-dst 各提供一种单一方法，加起来可以取代基于接口的 MIP 和 VIP 功能，而且超过了后者。这一点太重要了，也就是在Netscreen可以用基于策略的NAT-src，NAT-dst实现所有的NAT功能，而且安全性、灵活性、控制粒度都优于其他方法。

Comment:

1、个人从不让接口工作在NAT模式，不论是trust, untrust zone,还是DMZ Zone的接口都工作在route mode。

2、对于转换的IP地址，一定要检查是否存在该IP的路由。

eg 把trust zone的一台服务器 10.180.0.25 对外发布为 59.42.5x.6x, 除了配置相应的NAT策略外，还一定 要添加路由59.42.5x.6x/32

set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中尝试用基于策略NAT-src,NAT-dst完成所有的NAT