Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ACX シリーズのネットワーク アドレス変換の概要

ACX シリーズのネットワーク アドレス変換の概要

ネットワーク アドレス変換 (NAT) は、パケット ヘッダー内のネットワーク アドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方を変換できます。NAT には、ポート番号と IP アドレスの変換を含めることができます。

NATは、IP(バージョン4)アドレス枯渇の問題を解決するためにRFC 1631に記載されています。NAT は、ファイアウォール、トラフィックのリダイレクト、負荷分散、ネットワークの移行などに役立つツールであることがわかっています。

メモ:

ACX シリーズ ルーターでは、インライン NAT およびインライン IPsec サービス向けに、ACX1100 AC 電源ルーターと ACX500 ルーターでのみ NAT がサポートされています。AC 電源のルーター ACX1100、IPv4 パケットの送信元 NAT のみをサポートします。静的および動的NATタイプは現在サポートされていません。ACX1100-ACおよびACX500ルーターでのサービスチェイニング(GRE、NAT、IPSec)はサポートされていません。

ACX500ルーターでインラインサービスを有効にするには、ライセンスが必要です。

メモ:

ACX5048およびACX5096ルーターは、NAT設定をサポートしていません。

送信元NATは、ルーターから出るパケットの送信元IPアドレスの変換です。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。

送信元 NAT では、プライベート ネットワークからインターネットなど、発信ネットワーク接続に対してのみ接続を開始できます。ソースNATは一般的に以下の目的で使用されます。

  • 1 つの IP アドレスを別のアドレスに変換します (たとえば、プライベート ネットワーク内の 1 つのデバイスにインターネットへのアクセスを提供する場合など)。

  • 連続したアドレス ブロックを、同じサイズの別のアドレス ブロックに変換します。

  • 連続したアドレス ブロックを、小さいサイズの別のアドレス ブロックに変換します。

  • ポート変換を使用して、連続したアドレス ブロックを単一の IP アドレスまたはより小さなアドレス ブロックに変換します。

  • 連続したアドレスブロックをエグレスインターフェイスのアドレスに変換します。

ネットワーク アドレス ポート変換の概要

ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。

ACX シリーズ ルーターでは、一度に最大 4096 個のネットワーク アドレス変換を行うことができます。

ACX シリーズにおけるネットワーク アドレス変換アドレスの過負荷

ACXシリーズルーターのNATサービスでは、Junos OSのインターフェイスアドレスをNAPTプールと共有することができます。NAPT プールと Junos OS の間で同じアドレス/ポートを共有するこの機能は、アドレス オーバーロードと呼ばれます。

アドレスの過負荷を実現するには、以下に示すように、使用可能なIPv4アドレスまたは1〜65,536アドレスのポート範囲をJunos OSとNATで分割します。

  • Junos OS—1 から 49,159 アドレス。

  • NAPT プール - 49,160 から 53,255 アドレス。

  • Junos OS—53,255 から 65,535 アドレス

アドレス過負荷機能を持つ NAPT プール用に予約されているポートの数は 4096 です。

アドレス オーバーロードを有効にするには、階層レベルで ステートメントと interface ステートメントを含めaddress-overloadます[edit services nat pool nat-pool-name]

ステートメントにより address-overload 、Junos OSとNATプール間でのIPv4アドレスの共有が有効になります。ステートメントとともに address-overload 、インターフェイスの最初の利用可能な IPv4 アドレスまたはポートが NAT プールに選択されるように、 ステートメントも指定 interface する必要があります。

アドレス オーバーロード機能は、次の方法で設定できます。

  • 次の例に示すように、 ステートメントとともに address-overload インターフェイスを設定します。

    この場合、インターフェイス上のプライマリアドレスがNATプール用に選択されます。

  • 次の例に示すように、/32 アドレスを直接構成します。

ステートメントを使用すると interface 、プールで指定されたポート範囲とともに、IPv4インターフェイスアドレスをNATプールと共有できます。

ACXでのネットワークアドレス変換の制約

ACX シリーズ ルーターでネットワーク アドレス変換(NAT)を構成する際は、以下の制約を考慮する必要があります。

  • ポートが NAT プールで定義されている場合、プール内に 1 つのアドレスまたは 1 つのアドレス範囲のみを設定できます。

  • ACX シリーズ ルーターでは、nat-rulesas をサポートしていますmatch-direction。as output inputはサポートされていません。 match-direction

  • NAT プールでアドレス範囲またはアドレス プレフィックスを指定する場合、サポートされるアドレスの最大数は 65,535 です。ACXシリーズルーターは、一度に最大4096のネットワークアドレス変換をサポートします。

  • 設定できるサービス セットの最大数は 2 です。

  • NAT ルールの用語では、この from 句には最大 4 つの一致するアドレスを含めることができます。

  • 許可されるNATルールあたりの最大条件数は4です。

  • 許可されるサービス セットあたりの最大 NAT ルールは 2 です。

ACXシリーズでのインラインサービスインターフェイスの有効化

インラインサービスインターフェイスは、パケット転送エンジンに存在する仮想インターフェイスです。この si- インターフェイスを使用すると、特別なサービス PIC を使用せずに NAT および IPsec サービスを提供できます。

インライン サービス インターフェイスを設定するには、タイプ si- (サービス インライン) インターフェイスとしてサービス インターフェイスを定義します。また、インライン サービス インターフェイス用に十分な帯域幅を予約する必要があります。これにより、NAT および IPsec サービスに使用するインターフェイスまたはネクストホップ サービス セットの両方を設定できます。

メモ:

ACXシリーズルーターでは、NATおよびIPsecセッションのアンカーインターフェイスとして設定できるインラインサービスインターフェイスは、si-0/0/0の1つだけです。

メモ:

ACX シリーズ ルーターでは、IPsec サービスをサポートするのは ACX1100-AC および ACX500 ルーターのみです。ACX シリーズ ルーターは、基本 NAT のみをサポートします。

インラインサービスインターフェイスを有効にするには:

  1. FPC管理スロットと、インターフェイスを有効にするPICにアクセスします。
  2. インターフェイスを有効にし、インラインサービスを使用するトンネルトラフィック用に各パケット転送エンジンで予約されている帯域幅の量を指定します。