workbook:jno-332:332_nat
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| workbook:jno-332:332_nat [2017/05/24 00:29] – k | workbook:jno-332:332_nat [2021/08/12 08:35] (current) – external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== 332 NAT ===== | + | ===== JN0-332: NAT ===== |
| ** Необходимые знания: | ** Необходимые знания: | ||
| * Identify the concepts, benefits and operation of NAT | * Identify the concepts, benefits and operation of NAT | ||
| Line 202: | Line 202: | ||
| Схема: | Схема: | ||
| {{workbook: | {{workbook: | ||
| + | |||
| + | Тезисно о првилах: | ||
| + | * Правила STNAT и DNAT имеют преимущество над SNAT правилами. | ||
| + | * Пулы адресов не должны пересекаться. | ||
| + | * Если трафик подпадает под несколько rule-set, то применяется тот rule-set в котором более " | ||
| + | * Прорядок правил в rule-set имеет значение. Правила применяются сверху вниз до первого совпадения. Порядок правил можно менять командой " | ||
| ---- | ---- | ||
| Line 278: | Line 284: | ||
| ==== Configuration guidelines ==== | ==== Configuration guidelines ==== | ||
| + | === Обработка изменений в правилах === | ||
| + | Если в правила ната или пулы адресов были внесены какие-либо изменения, | ||
| + | |||
| + | === Емкость PAT === | ||
| + | ~64000 сессий. | ||
| + | |||
| + | === Отключение PAT при SNAT === | ||
| + | |||
| + | PAT отключается командой "port no-translation" | ||
| + | |||
| + | < | ||
| + | {primary: | ||
| + | admin@srx650-master# | ||
| + | pool SNAT-POOL-TEST { | ||
| + | address { | ||
| + | 1.2.3.1/32 to 1.2.3.27/ | ||
| + | } | ||
| + | port no-translation; | ||
| + | overflow-pool interface; | ||
| + | } | ||
| + | ... | ||
| + | rule-set TRUST-TO-UNTRUST { | ||
| + | from zone trust; | ||
| + | to zone untrust; | ||
| + | rule SRC-NAT-TR-TO-UNT-RULE-TEST { | ||
| + | match { | ||
| + | source-address 10.30.30.128/ | ||
| + | destination-address 0.0.0.0/0; | ||
| + | } | ||
| + | then { | ||
| + | source-nat { | ||
| + | pool { | ||
| + | SNAT-POOL-TEST; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </ | ||
| + | |||
| + | === Оповещения о исчерпании пула адресов === | ||
| + | < | ||
| + | [edit security nat source] | ||
| + | admin@bluebox# | ||
| + | ... | ||
| + | pool-utilization-alarm raise-threshold 70 clear-threshold 50; | ||
| + | ... | ||
| + | </ | ||
| + | |||
| + | Если использовали 70% пула, srx посылает snmp trap с алармом. Как только упали ниже 50%, srx snmp trap о нормализации ситуации. \\ | ||
| + | Если не задать clear-threshold, | ||
| + | |||
| + | === SNAT со сдвигом === | ||
| + | |||
| + | Если в критерии, | ||
| + | |||
| + | < | ||
| + | {primary: | ||
| + | admin@srx650-master# | ||
| + | pool SNAT-POOL-TEST { | ||
| + | address { | ||
| + | 1.2.3.1/32 to 1.2.3.27/ | ||
| + | } | ||
| + | host-address-base 10.30.30.150/ | ||
| + | } | ||
| + | ... | ||
| + | rule-set TRUST-TO-UNTRUST { | ||
| + | from zone trust; | ||
| + | to zone untrust; | ||
| + | rule SRC-NAT-TR-TO-UNT-RULE-TEST { | ||
| + | match { | ||
| + | source-address 10.30.30.128/ | ||
| + | destination-address 0.0.0.0/0; | ||
| + | } | ||
| + | then { | ||
| + | source-nat { | ||
| + | pool { | ||
| + | SNAT-POOL-TEST; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </ | ||
| + | |||
| ---- | ---- | ||
| ===== Полезные ссылки ===== | ===== Полезные ссылки ===== | ||
| + | |||
| + | {{tag> | ||
workbook/jno-332/332_nat.1495574969.txt.gz · Last modified: (external edit)