SRX所使用的地址池使用的地址在SRX是虛擬的，它不是一個真正物理存在的。那么這個地址的可達性必然依賴于簡單的IP路由查找。SRX也支持將自己的物理接口配置到Pool中，如圖5-8。

在佳縣等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供做網(wǎng)站、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計制作按需開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,營銷型網(wǎng)站,成都外貿(mào)網(wǎng)站建設(shè)公司,佳縣網(wǎng)站建設(shè)費用合理。

Figure5-8. Source NAT with ProxyARP

為保證這些Pool的可達性，Proxy ARP功能使能。由于Pool內(nèi)有可路由的IP網(wǎng)絡(luò)（或者SRX設(shè)備本身是不可達），關(guān)鍵是要在以太網(wǎng)層面（二層）提供可達性，而不是IP層的可達性。

最后一跳IP路由設(shè)備必須在本地以太網(wǎng)絡(luò)上發(fā)送一個ARP請求，以獲得MAC地址。Proxy ARP功能可以讓SRX設(shè)備上代表Pool內(nèi)地址回應(yīng)這些ARP請求。在這樣做時，SRX設(shè)備提供其自己的MAC地址作為數(shù)據(jù)包在以太網(wǎng)層目的地發(fā)送到池地址的IP層。一旦報文被接收時，SRX設(shè)備繼續(xù)流處理為正常。

代理ARP配置

james@SRX5800-1>edit

Enteringconfigurationmode

[edit]

james@SRX5800-1# edit security natsource

[editsecurity natsource]

james@SRX5800-1# set pool phyPool address 198.18.5.64/27

創(chuàng)建一個新的rule-set應(yīng)用這個Pool：

[edit]

james@SRX5800-1#editrule-set Dept-B-to-Inet

對來自Dept-B zone的流量進行匹配：

[editsecurity nat source rule-setDept-B-to-Inet]

james@SRX5800-1#set  from  zone Dept-B

目的是Inet zone:

[editsecuritynatsourcerule-setDept-B-to-Inet]

james@SRX5800-1# set to zone Inet

下面在rule層級下進行配置：

[editsecuritynatsourcerule-setDept-B-to-Inet]

james@SRX5800-1# editrulephypoolNAT

對源地址10.2.0.0/16的流量進行匹配：

[editsecurity nat source rule-set Dept-B-to-Inet rulephypoolNAT]

james@SRX5800-1# set  match  source-address 10.2/16

配置source nat的Action：

[editsecurity nat source rule-set Dept-B-to-Inet rulephypoolNAT]

james@SRX5800-1#set  then  source-nat  phyPool

[editsecurity nat source rule-set Dept-B-to-Inet rulephypoolNAT]

james@SRX5800-1#up 3

在Inet zone ge-0/0/2.0 interface為198.18.5.64/27range配置Proxy ARP：

[editsecurity nat]

james@SRX5800-1#set proxy-arp interface ge-0/0/2.0 address198.18.5.64/27

[editsecuritynat]

james@SRX5800-1#show |compare

[editsecurity natsource] pool ipPool { ...}

+    pool phyPool{

+           address{

+                  198.18.5.64/27;

+           }

+    }

[editsecurity natsource]

rule-setDept-A-to-Inet { ...}

+    rule-set Dept-B-to-Inet{

+           from zoneDept-B;

+           to zoneweb-dmz;

+           rule phypoolNAT{

+                  match{

+                         source-address198.18.11.0/24;

+                  }

+                  then{

+                         source-nat{

+                                 pool{

+                                        phyPool;

+                                 }

+                         }

+                  }

+           }

+    }

[editsecuritynat]

+ proxy-arp{

+         interface ge-0/0/2.0{

+                 address{

+                        198.18.5.64/27;

+                 }

+         }

+}

 [edit securitynat]

james@SRX5800-1#commit and-quit

configurationchecksucceeds commit complete

Exitingconfiguration mode

james@SRX5800-1>

來自Dept-B zone的10.2.0.0/16流量去往net zone的流量將被翻譯為198.18.5.64/27，該地址池存在于egress Inet zone network。

當在GE-0/0/2.0接口上收到對198.18.5.64/27的ARP請求時，設(shè)備SRX將對其應(yīng)答。

查看代理ARP:

可以看到一條flow通過新的rule-set進行了翻譯：

james@SRX5800-1>show security flow session

SessionID: 2336, Policy name: webdmz_mgt/8, Timeout:1796

In:10.2.1.15/49842 --> 198.18.200.1/80;tcp, If:ge-0/0/0.0

Out:198.18.200.1/80 --> 198.18.5.78/2615;tcp, If:ge-0/0/2.0

1sessionsdisplayed james@SRX5800-1>

在此，內(nèi)部源IP地址10.2.1.15被轉(zhuǎn)換為198.18.5.78池地址（在Out返回方向可見），而源端口是從49842翻譯到2615（因為它沒有明確禁用）。該流量相應(yīng)的日志是：

james@SRX5800-1>show logtraffic-log

Jan19 09:41:59 SRX210 RT_FLOW: RT_FLOW_SESSION_CREATE: sessioncreated10.2.1.15/49842->198.18.200.1/80junos-http198.18.5.78/2615->198.18.200.1/80

phypoolNATNone 6 webdmz_mgt Dept-B web-dmz2336

james@SRX5800-1>

此會話初始化日志條目顯示翻譯內(nèi)部源IP地址和端口從10.2.1.15和49842至198.18.5.78和2615公共地址和端口，它也顯示了匹配NAT規(guī)則（phypoolNAT）。

通過show命令查看rule：

james@SRX5800-1>show security nat source rule phypoolNAT

source NAT rule:phypoolNAT                        Rule-set:Dept-B-to-InetRule-Id      2

Ruleposition                               1

Fromzone                               :Dept-B

Tozone                                   :Inet

Match

Sourceaddresses                 :198.18.5.64           -198.18.5.95 Action    :phyPool

PersistentNATtype             :N/AInactivitytimeout              0

Max sessionnumber               0

Translationhits                           1

james@SRX5800-1>

    新的地址池:

james@SRX5800-1>showsecurity nat source pool all

Totalpools:1

Poolname                 :phyPool

Poolid                          5

Routinginstance        :default Host address base :0.0.0.0

Port                          : [1024,63487]

Totaladdresses             32

Translationhits             1

Addre***ange                                           SinglePorts        TwinPorts 198.18.5.64 -198.18.5.95                1                                                            0

james@SRX5800-1>

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章題目：JuniperJunosSRXNATARP代理-創(chuàng)新互聯(lián)
本文URL：http://weahome.cn/article/jodce.html