與ScreenOS相比，SRX在NAT功能實現(xiàn)方面基本保持一致，但在配置上有較大區(qū)別，主要差異在于ScreenOS的NAT與policy是綁定的，無論是MIP/VIP/DIP還是基于策略的NAT，在policy中均要體現(xiàn)出NAT內(nèi)容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX的NAT則作為網(wǎng)絡層面基礎內(nèi)容進行獨立配置（獨立定義地址映射的方向、映射關系及地址范圍），Policy中不再包含NAT相關配置信息，這樣的好處是易于理解、簡化運維，當網(wǎng)絡拓樸和NAT映射關系發(fā)生改變時，無需調(diào)整Policy配置內(nèi)容。

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務領域包括：做網(wǎng)站、成都網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的加查網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

在SRX中安全策略只負責控制業(yè)務數(shù)據(jù)的轉(zhuǎn)發(fā)與否，NAT策略只控制業(yè)務數(shù)據(jù)的源地址和端口的翻譯規(guī)則，兩者各自獨立。

SRX的NAT配置分為源地址翻譯(source NAT)，目標地址翻譯(destination NAT)和靜態(tài)地址翻譯(static NAT)三種，其配置語法都類似，只是nat rule必須被放到rule-set里使用，任意兩個zone或任意兩個網(wǎng)絡邏輯接口之間只允許有一個rule-set。

Junos為SRX提供了一個完整而集成的NAT功能。NAT在【security】層級下配置，集成了有狀態(tài)流處理，但它在邏輯上是security policy配置分離。

一個給定的流量可以最多匹配一個NAT規(guī)則，必須匹配一個安全策略security policy。NAT與security policy之間沒有直接的對應關系，一個匹配NAT規(guī)則的流量可以被一個或者安全策略匹配。一個匹配security policy規(guī)則的流量可以被0,1或者多個NAT規(guī)則匹配。但是，一旦一個匹配NAT規(guī)則的流，將會在會話表session table建立雙向的表項。

圖5-1所示為在SRX流模型NAT的處理。

SRX內(nèi) NAT處理流程

請注意，靜態(tài)NAT和目標NAT規(guī)則匹配在路由查找/Zone確定之前，也在Policy之前。源NAT和反向靜態(tài)NAT的匹配在Policy匹配之后。

SRX這種不依賴于Policy的更靈活和精確的NAT配置模式，使得拓撲和地址翻譯的重新設計成為可能，而Policy可以保持不變。

因為Source NAT在路由和Zone查找之后，配置rule-sets時必須同時指定ingress和egress interface、zone、routinginstance。Static和Destination NAT在路由和Zone查找之前進行處理，rule-sets只需配置ingress的interface、zone、routing instance。

當多個NAT rule-sets包含的上下文都匹配給定流，具有最具體上下文的rule-set用于確定翻譯動作。一個包含匹配接口上下文的rule-set優(yōu)選于一個具有匹配zone的上下文，而匹配Zone的上下文優(yōu)于配路由實例的上下文。在所選擇的rule-set內(nèi)，按照順序評估rules，第一個匹配的用于確定翻譯動作的流程。

SRXNAT和Policy執(zhí)行先后順序為：目的地址轉(zhuǎn)換－目的地址路由查找－執(zhí)行策略檢查－源地址轉(zhuǎn)換，結(jié)合這個執(zhí)行順序，在配置Policy時需注意：Policy中源地址應是轉(zhuǎn)換前的源地址，而目的地址應該是轉(zhuǎn)換后的目的地址，換句話說，Policy中的源和目的地址應該是源和目的兩端的真實IP地址，這一點和ScreenOS存在區(qū)別，需要加以注意。

SRX中不再使用MIP/VIP/DIP這些概念，其中MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址轉(zhuǎn)換及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒有NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙向NAT，其他類型均屬于單向NAT，

此外，SRX還多了一個proxy-arp概念，如果定義的IPPool（可用于源或目的地址轉(zhuǎn)換）與接口IP在同一子網(wǎng)時，需配置SRX對這個Pool內(nèi)的地址提供ARP代理功能，這樣對端設備能夠解析到IPPool地址的MAC地址（使用接口MAC地址響應對方），以便于返回報文能夠送達SRX。

值得注意的是SRX不會自動為NAT規(guī)則生成proxy-arp配置，因此如果NAT地址翻譯之后的地址跟出向接口地址不同但在同一網(wǎng)絡內(nèi)時，必須手工配置相應接口proxy-arp以代理相關IP地址的ARP查詢回應，否則下一條設備會由于不能通過ARP得到NAT地址的MAC地址而不能構造完整的二層以太網(wǎng)幀頭導致通信失敗。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網(wǎng)站題目：JunosSRXNAT介紹-創(chuàng)新互聯(lián)
本文來源：http://weahome.cn/article/ddgpdc.html