亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Juniper Junos SRX NAT ARP代理

發布時間:2020-07-31 14:02:37 來源:網絡 閱讀:5288 作者:ilove0932 欄目:安全技術

SRX所使用的地址池使用的地址在SRX是虛擬的,它不是一個真正物理存在的。那么這個地址的可達性必然依賴于簡單的IP路由查找。SRX也支持將自己的物理接口配置到Pool中,如圖5-8


Figure5-8. Source NAT with ProxyARP

為保證這些Pool的可達性,Proxy ARP功能使能。由于Pool內有可路由的IP網絡(或者SRX設備本身是不可達),關鍵是要在以太網層面(二層)提供可達性,而不是IP層的可達性。

最后一跳IP路由設備必須在本地以太網絡上發送一個ARP請求,以獲得MAC地址。Proxy ARP功能可以讓SRX設備上代表Pool內地址回應這些ARP請求。在這樣做時,SRX設備提供其自己的MAC地址作為數據包在以太網層目的地發送到池地址的IP層。一旦報文被接收時,SRX設備繼續流處理為正常。

代理ARP配置

james@SRX5800-1>edit

Enteringconfigurationmode

[edit]

james@SRX5800-1# edit  security natsource

[editsecurity natsource]

james@SRX5800-1# set  pool phyPool  address  198.18.5.64/27

創建一個新的rule-set應用這個Pool

[edit]

james@SRX5800-1#editrule-set Dept-B-to-Inet

對來自Dept-B zone的流量進行匹配:

[editsecurity nat source rule-setDept-B-to-Inet]

james@SRX5800-1#set  from   zone Dept-B

目的是Inet zone:

[editsecuritynatsourcerule-setDept-B-to-Inet]

james@SRX5800-1# set  to zone Inet

下面在rule層級下進行配置:

[editsecuritynatsourcerule-setDept-B-to-Inet]

james@SRX5800-1# editrulephypoolNAT

對源地址10.2.0.0/16的流量進行匹配:

[editsecurity nat source rule-set Dept-B-to-Inet rulephypoolNAT]

james@SRX5800-1#  set   match  source-address  10.2/16

配置source natAction

[editsecurity nat source rule-set Dept-B-to-Inet rulephypoolNAT]

james@SRX5800-1#set  then   source-nat   phyPool

[editsecurity nat source rule-set Dept-B-to-Inet rulephypoolNAT]

james@SRX5800-1#up 3

Inet zone ge-0/0/2.0 interface198.18.5.64/27range配置Proxy ARP

[editsecurity nat]

james@SRX5800-1#set proxy-arp interface ge-0/0/2.0 address198.18.5.64/27

[editsecuritynat]

james@SRX5800-1#show |compare

[editsecurity natsource] pool ipPool { ...}

+     pool phyPool{

+            address{

+                   198.18.5.64/27;

+            }

+     }

[editsecurity natsource]

rule-setDept-A-to-Inet { ...}

+     rule-set Dept-B-to-Inet{

+            from zoneDept-B;

+            to zoneweb-dmz;

+            rule phypoolNAT{

+                   match{

+                          source-address198.18.11.0/24;

+                   }

+                   then{

+                          source-nat{

+                                  pool{

+                                         phyPool;

+                                  }

+                          }

+                   }

+            }

+     }

[editsecuritynat]

+  proxy-arp{

+          interface ge-0/0/2.0{

+                  address{

+                         198.18.5.64/27;

+                  }

+          }

+}

 [edit securitynat]

james@SRX5800-1#commit and-quit

configurationchecksucceeds commit complete

Exitingconfiguration mode

james@SRX5800-1>

來自Dept-B zone10.2.0.0/16流量去往net zone的流量將被翻譯為198.18.5.64/27,該地址池存在于egress Inet zone network

當在GE-0/0/2.0接口上收到對198.18.5.64/27ARP請求時,設備SRX將對其應答。

查看代理ARP:

可以看到一條flow通過新的rule-set進行了翻譯:

james@SRX5800-1>show  security flow  session

SessionID: 2336, Policy name: webdmz_mgt/8, Timeout:1796

In:10.2.1.15/49842 --> 198.18.200.1/80;tcp, If:ge-0/0/0.0

Out:198.18.200.1/80 --> 198.18.5.78/2615;tcp, If:ge-0/0/2.0

1sessionsdisplayed james@SRX5800-1>

在此,內部源IP地址10.2.1.15被轉換為198.18.5.78池地址(在Out返回方向可見),而源端口是從49842翻譯到2615(因為它沒有明確禁用)。該流量相應的日志是:

james@SRX5800-1>show  logtraffic-log

Jan19 09:41:59 SRX210 RT_FLOW: RT_FLOW_SESSION_CREATE: sessioncreated10.2.1.15/49842->198.18.200.1/80junos-http198.18.5.78/2615->198.18.200.1/80

phypoolNATNone 6 webdmz_mgt Dept-B web-dmz2336

james@SRX5800-1>

此會話初始化日志條目顯示翻譯內部源IP地址和端口從10.2.1.1549842198.18.5.782615公共地址和端口,它也顯示了匹配NAT規則(phypoolNAT)。

通過show命令查看rule

james@SRX5800-1>show security  nat  source rule phypoolNAT

source NAT rule:phypoolNAT                         Rule-set:Dept-B-to-InetRule-Id       2

Ruleposition                                1

Fromzone                                :Dept-B

Tozone                                    :Inet

Match

Sourceaddresses                  :198.18.5.64            -198.18.5.95 Action     :phyPool

PersistentNATtype              :N/AInactivitytimeout               0

Max sessionnumber                0

Translationhits                            1

james@SRX5800-1>

    新的地址池:

james@SRX5800-1>showsecurity nat source pool  all

Totalpools:1

Poolname                  :phyPool

Poolid                           5

Routinginstance         :default Host address base  :0.0.0.0

Port                           : [1024,63487]

Totaladdresses              32

Translationhits              1

Addre***ange                                            SinglePorts         TwinPorts 198.18.5.64 -198.18.5.95                 1                                                              0

james@SRX5800-1>


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

淳安县| 通州区| 怀远县| 蓝田县| 石林| 周口市| 云阳县| 松潘县| 高密市| 丹江口市| 绍兴市| 历史| 衢州市| 大英县| 桃园市| 馆陶县| 沈丘县| 沅陵县| 临泽县| 阿瓦提县| 乡宁县| 弋阳县| 潮州市| 定南县| 凭祥市| 中牟县| 百色市| 翁源县| 大庆市| 涟源市| 七台河市| 永登县| 寻甸| 扬州市| 姚安县| 馆陶县| 宣武区| 静宁县| 庆安县| 新邵县| 绥德县|