關於Juniper SRX JUNOS NAT方面的設定
關於 Juniper SRX JUNOS NAT 方面的設定 網路位址轉換 ( Network Address Translation ,縮寫為 NAT ),也叫做 網路掩蔽 或者 IP 掩蔽 ( IP masquerading ),是一種在 IP 封包通過路由器或防火牆時重寫來源 IP 位址或目的 IP 地址 的技術。 這種技術被普遍使用在有多台主機但只通過一個公有 IP 位址存取網際網路的私有網路中 。 1990 年代中期, NAT 是作為一種解決 IPv4 位址短缺以避免保留 IP 位址困難的方案而流行起來的。網路位址轉換在很多國家有廣泛的使用。所以 NAT 就成了家庭和小型辦公室網路連線上的路由器的一個標準特徵,因為對他們來說,申請獨立的 IP 位址的代價要高於所帶來的效益。 在一個具有 NAT 功能的路由器下的主機並沒有建立真正的 IP 位址,並且不能參與一些網際網路協定。一些需要初始化從外部網路建立的 TCP 連線和無狀態協定(比如 UDP )無法實現。除非 NAT 路由器管理者預先設定了規則,否則送來的封包將不能到達正確的目的位址。 在一定程度上, NAT 依賴於本地網路上的一台機器來初始化和路由器另一邊的主機的任何連接,它可以阻止外部網路上的主機的惡意活動。這樣就可以阻止網路蠕 蟲病毒來提高本地系統的可靠性,阻擋惡意瀏覽來提高本地系統的私密性。很多具有 NAT 功能的防火牆都是使用這種功能來提供核心保護的。 ( 以上內容出自維基百科 ) SRX NAT 較 ScreenOS 在功能使用上基本一樣 , 但在功能設定上有較大區別 , 配置的主要差異在於 ScreenOS 的 NAT 與 policy 是綁定的 , 無論是 MIP/VIP/DIP 還是基於 Policy 的 NAT , 在 policy 中均要設定 NAT 內容 ( 除了預設 untrust 介面的 Souec-NAT 模式外 ), 而 SRX 的 NAT 則作為網路層面為基礎的獨立配置 ( 獨立定義位址映射的方向、映射關係及位址範圍 ), Policy 中不再包含 NAT 相關配置資訊 , 這樣的好處是易於理解、簡化運維 , 當網路 topology 和 NAT 對映關係發生改變時 , 無需調整 Policy 配置內容。 SRX NAT 和 P