基于Juniper的NAT接口与策略

Question

我继承了一个由SSG140s、3.5亿和5.5亿混合而成的网络。它们中的每一个都配置了一个信任、不信任和虚拟专用网，每个区域上都有多个自定义区域(我们不使用默认区域)。

[Zone: ISP Link]--(Untrust-VR)--(Trust-VR)--[Zone: Routed: Internal A]
                                          \
                                           -[Zone: NAT: Internal B]

我很难理解如何配置某些区域之间的不同功能差异。我们有两种口味：

• 应用具有接口类型、路由和基于策略的NAT的区域。
  • 策略被配置为使用出口IP (无DIP)。

• 具有接口类型NAT的区域，仅应用标准策略。

在一个与信任-VR设置为NAT的区域的接口中，我可以从日志中看到，NAT不适用于连接到同一个Trust-VR的其他区域的流量。

作为背景，我特别问这个问题，因为RTMP (TCP媒体流)在一个用基于策略的nat配置的区域上遇到了问题。它看起来应该工作，流量日志显示NAT被正确翻译，但TCP握手从未完成，也没有数据包返回。我将流的源移到一个用NAT接口配置的区域中，并且它工作了，从日志中看，翻译看起来是一样的。这个问题在ssg140上得到了特别的注意。

总括而言：

• 无DIP策略NAT与基于接口NAT的NAT有什么区别？
• 我是否可以将连接到信任-VR的所有区域/接口配置为NAT，而不丢失任何功能？

Answer 1

无DIP策略NAT与基于接口NAT的NAT有什么区别？

基于接口的NAT只从信任区域到不信任区域工作(与默认区域一样)。其他区域之间的交通将永远被路由。所有这些(正如您已经发现的)的例外情况是，当目标区域处于不信任虚拟现实中时，在这种情况下，所有通信量都将是源NATted。

在Netscreen时代，这是一个挂起的问题，当时没有自定义区域，而且大多数盒子都有可用的<=3接口。它们被自动放置在区域内(这些区域实际上是在港口上方的丝质屏障)。

另一方面，基于策略的源-NAT将在流量与策略匹配时应用，而不考虑区域/虚拟现实。

如果两者都配置(例如，将接口设置为NAT模式，然后配置基于策略的NAT)，则策略NAT将覆盖该通信量的接口NAT。

我是否可以将连接到信任-VR的所有区域/接口配置为NAT，而不丢失任何功能？

是的，这应该很好--正如上面所述，除非使用信任或不信任区域，否则所有这些通信将被路由。如果有任何NAT要求，可以配置基于策略的策略来覆盖特定情况.

参考资料:使用基于接口的NAT的Juniper KB6725 - ScreenOS配置示例：

http://kb.juniper.net/InfoCenter/index?page=content&id=KB6725&pmv=print&actp=search&searchid=1236690693051&type=currentpaging