静的ソース NAT
IPv4ネットワークでの静的ソース変換の設定
変換タイプを basic-nat44として設定するには、NATプールとルール、サービスインターフェイスを含むサービスセット、トレースオプションを設定する必要があります。このトピックは、以下のタスクで構成されています。
- NATプールとルールの設定
- NAT のサービス セットの設定
- トレース オプションの設定
- 設定例 - アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT
- サンプル設定 - プライベートサブネットとパブリックサブネット間の1対1のマッピング用の静的ソースNAT
NATプールとルールの設定
NATプール、ルール、条件を設定するには:
トラフィックにステートフルファイアウォール(SFW)ルールを設定していない場合、各パケットには以下のデフォルトのステートフルファイアウォールルールが適用されます。
内部から外部への有効なパケットを許可します。
パケット5タプルに基づいてフォワードフローとリターンフローを作成します。
外部から内部へのリターンフローに一致する有効なパケットのみを許可します。
ステートフルファイアウォールのパケット妥当性チェックについては、Junos Network Secureの概要のステートフルファイアウォールの異常チェックで説明しています。パケットがステートフルファイアウォールの妥当性チェックに合格しても、NATルールに一致しない場合、パケットは変換されず、NATノードにパケットの宛先IPアドレスへの有効なルートがある場合に転送されることがあります。
[edit services service-set service-set-name nat-rules rule-name term term- name]階層レベルでfromステートメント(ルール条件一致条件NATパラメーターを追加または削除すると、この設定変更により、NATポリシーの削除と追加(サービスセットの非アクティブ化とアクティブ化に相当)がトリガーされ、既存のすべてのNATマッピングが削除されます。NATポリシーの変更によりセッションが閉じられないため、この動作により、セッションが閉じられた直後にマッピングがタイムアウトします。この動作は予期され、デバイスにインストールされているJunos OS拡張プロバイダパッケージにのみ適用されます。NAT ポリシーを削除して再接続すると、EIM マッピングのみが削除されます。この NAT ポリシーの変更は、サービス セットの非アクティブ化およびアクティブ化にはなりません。このようなシナリオでは、Junos OSリリース14.2以前では、サービスセットを無効化し、再有効化することをお勧めします。
NAT のサービス セットの設定
NATのサービスセットを設定するには:
トレース オプションの設定
トレース オプションを設定するには:
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
設定例 - アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
サンプル設定 - プライベートサブネットとパブリックサブネット間の1対1のマッピング用の静的ソースNAT
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
IPv6ネットワークでの静的ソース変換の設定
変換タイプを basic-nat66として設定するには、NATプールとルール、サービスインターフェイスを備えたサービスセット、トレースオプションを設定する必要があります。MS-MPCまたはMS-MICを使用している場合は、 basic-nat66 変換タイプは使用できません。
このトピックは、以下のタスクで構成されています。
NATプールとルールの設定
NATプール、ルール、条件を設定するには:
NAT のサービス セットの設定
NATのサービスセットを設定するには:
トレース オプションの設定
[edit services adaptive-services-pics]階層レベルでトレースオプションを設定するには:
次の例では、変換タイプを basic-nat66として設定しています。
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
例:基本的なNAT44の設定
この例では、NAT44の基本設定を実装する方法について説明します。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
サービスDPCを持つMXシリーズ5Gユニバーサルルーティングプラットフォーム、またはサービスPICを持つM Seriesマルチサービスエッジルーター
ドメインネームサーバー(DNS)
Junos OSリリース11.4以降
概要
この例では、完全なCGN NAT44設定と高度なオプションを示しています。
基本NAT44の設定
シャーシ構成
ステップバイステップの手順
レイヤー 3 サービス パッケージでサービス PIC(FPC 5 スロット 0)を設定するには、次の手順に従います。
[edit chassis]階層レベルに移動します。
user@host# edit chassisレイヤー3サービスパッケージを設定します。
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
インターフェイス設定
ステップバイステップの手順
プライベートネットワークとパブリックインターネットへのインターフェイスを設定するには:
プライベートネットワークへのインターフェイスを定義します。
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24パブリックインターネットへのインターフェイスを定義します。
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24NAT処理用のサービスインターフェイスを定義します。
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
結果
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
例:マルチキャスト トラフィックに NAT を設定する
図1 は、マルチサービスPICにIPマルチキャストトラフィックを送信できる以下の設定のネットワーク設定を示しています。
のNATの設定
ランデブーポイントの設定
ランデブーポイント(RP)では、 192.168.254.0/27 のマルチキャスト送信元からのすべての着信トラフィックは、静的NATプール mcast_poolに送信され、送信元は 20.20.20.0/27に変換されます。サービス セット nat_ss は、IPマルチキャスト トラフィックをマルチサービス DPCまたはマルチサービス PIC に送信できるネクストホップ サービス セットです。PICの内部インターフェイスは ms-1/1/0.1 、外部インターフェイスは ms-1/1/0.2です。
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
ギガビットイーサネットインターフェイス ge-0/3/0 は、RPからルーター1にトラフィックを伝送します。マルチサービスインターフェイス ms-1/1/0 には2つの論理インターフェイスがあります。 ユニット1 はネクストホップサービス用の内部インターフェイスで、 ユニット2 はネクストホップサービス用の外部インターフェイスです。マルチキャスト ソース トラフィックは、ファスト イーサネット インターフェイス fe-1/2/1 で受信トラフィックにファイアウォール フィルター fbf が適用されています。
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
マルチキャストパケットは、ネクストホップサービスセットを使用して、マルチサービスDPCまたはマルチサービスPICにのみ送信できます。NATの場合、VPNルーティングおよび転送インスタンス(VRF)も設定する必要があります。そのため、ルーティングインスタンスステージは「ダミー」転送インスタンスとして作成されます。受信パケットをステージに誘導するには、受信インターフェイスfe-1/2/1に適用されるfbfと呼ばれるファイアウォールフィルターを介してフィルターベースの転送を設定します。ルックアップは、PICの内部インターフェイスを指すネクストホップでインストールされたマルチキャストスタティックルートを持つstage.inet.0で実行されます。このルートに一致するすべてのマルチキャストトラフィックがPICに送信されます。
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
ルーティングインスタンス ステージ は、マルチサービスDPCまたはマルチサービスPIC上の内部インターフェイス ms-1/1/0.1 にIPマルチキャストトラフィックを転送します。
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
IPマルチキャストトラフィックがRPに出入りするファストイーサネットおよびギガビットイーサネット論理インターフェイスで、OSPFとプロトコル独立マルチキャスト(PIM)を有効にします。また、ネクストホップサービスセットの外部インターフェイス(ms-1/1/0.2)でもPIMを有効にします。
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
他のフィルターベースの転送設定と同様に、転送インスタンス ステージ の静的ルートに到達可能なネクストホップを持つためには、すべてのインターフェイスルートが inet.0 から転送インスタンスのルーティングテーブルにコピーされるように、ルーティングテーブルグループを設定する必要があります。ルーティングテーブル inet.0 と stage.inet.0 を fbf_rib_groupのメンバーとして設定し、すべてのインターフェイスルートが両方のテーブルにインポートされるようにします。
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
ソース NAT が適用されるマルチキャスト グループでは、RPF(リバース パス フォワーディング)チェックを無効にする必要があります。以下の例のようなポリシーを設定することで、特定のマルチキャスト グループの RPF チェックを無効にできます。この場合、 no_rpf ポリシーは、 224.0.0.0/4に属するマルチキャストグループのRPFチェックを無効にします。
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
ルーター1の設定
ルーター1のIGMP(インターネットグループ管理プロトコル)、OSPF、PIMの設定は以下のとおりです。IGMPスタティックグループ設定のため、トラフィックはホストメンバーからメンバーシップレポートを受信することなく、 fe-3/0/0.0 でマルチキャストレシーバーに転送されます。
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
ルーティングオプションは、RP上のNATプール( mcast_pool)への静的ルートを作成します。
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。