RTFM && WTFN - backup

User Tools

Site Tools

Trace: JN0-332: HA Установка и настройка nfsen и nfdump JN0-332: Security Zones JN0-332: Screen JN0-332: Junos Security Policies
workbook:jno-332:332_nat

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
workbook:jno-332:332_nat [2017/05/24 00:47] – [Configuration guidelines] kworkbook:jno-332:332_nat [2021/08/12 08:35] (current) – external edit 127.0.0.1
Line 1: Line 1:
-===== 332 NAT =====+===== JN0-332NAT =====
 ** Необходимые знания: ** ** Необходимые знания: **
   * Identify the concepts, benefits and operation of NAT   * Identify the concepts, benefits and operation of NAT
Line 202: Line 202:
 Схема:\\ Схема:\\
 {{workbook:jno-332:nat-and-pat-processing.gif?700}} {{workbook:jno-332:nat-and-pat-processing.gif?700}}
 +
 +Тезисно о првилах:
 +  * Правила STNAT и DNAT имеют преимущество над SNAT правилами.
 +  * Пулы адресов не должны пересекаться. 
 +  * Если трафик подпадает под несколько rule-set, то применяется тот rule-set в котором более "узко" описаны критерии трафика.
 +  * Прорядок правил в rule-set имеет значение. Правила применяются сверху вниз до первого совпадения. Порядок правил можно менять командой "insert".
  
 ---- ----
Line 317: Line 323:
 } }
 </code> </code>
 +
 +=== Оповещения о исчерпании пула адресов ===
 +<code>
 +[edit security nat source]
 +admin@bluebox# show
 +...
 +    pool-utilization-alarm raise-threshold 70 clear-threshold 50;
 +...
 +</code>
 +
 +Если использовали 70% пула, srx посылает snmp trap с алармом. Как только упали ниже 50%, srx snmp trap о нормализации ситуации. \\
 +Если не задать clear-threshold, то он по дефорлу будте составлять 80% от значения raise-threshold, в данном случае clear-threshold по дефолту будет равняться 56% (70*0.8).     
 +
 +=== SNAT со сдвигом ===
 +
 +Если в критерии, в качестве источника, мы указали "широкую" сетку, но при этом хотим что бы SNAT работал начиная с определенного внутреннего адреса надо дать команду "host-address-base" и указать с какого адреса начинать.
 +
 +<code>
 +{primary:node0}[edit security nat source]
 +admin@srx650-master# show
 +pool SNAT-POOL-TEST {
 +    address {
 +        1.2.3.1/32 to 1.2.3.27/32;
 +    }
 +    host-address-base 10.30.30.150/32
 +}
 +...
 +rule-set TRUST-TO-UNTRUST {
 +    from zone trust;
 +    to zone untrust;
 +    rule SRC-NAT-TR-TO-UNT-RULE-TEST {
 +        match {
 +            source-address 10.30.30.128/25;
 +            destination-address 0.0.0.0/0;
 +        }
 +        then {
 +            source-nat {
 +                pool {
 +                    SNAT-POOL-TEST;
 +                }
 +            }
 +        }
 +    }
 +}
 +</code>
 +
 +
 ---- ----
 ===== Полезные ссылки ===== ===== Полезные ссылки =====
 +
 +{{tag>juniper jn0-332 exam}}
workbook/jno-332/332_nat.1495576022.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki