次世代サービスステートフルNAT64の設定
次世代サービス ステートフル NAT64 を設定するには、次の手順を実行します
ステートフルNAT64のソースプールの設定
ステートフルNAT64のソースプールを設定するには:
- ソース プールを作成します。
user@host# edit services nat source pool nat-pool-name
- 送信元アドレスが変換されるアドレスまたはサブネットを定義します。
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
又は
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
automatic (random-allocation | round-robin)設定を指定しないすべての NAT プールに対してラウンドロビン ポート割り当てを無効にするには、グローバル設定を構成します。[edit services nat source] user@host# set port-round-robin disable
- プールに割り当てるポートの範囲を設定するには、以下の手順を実行します。
手記:
割り当てるポートの範囲を指定した場合、
automaticステートメントは無視されます。- ポートの下限値と上限値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- ランダム割り当てまたはラウンドロビン割り当てのいずれかを指定します。ラウンドロビン割り当てがデフォルトです。
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- ポートの下限値と上限値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
- 受信ポートと同じ範囲(0〜1023または1024〜65,535)でポートを割り当てます。この機能は、ポートブロック割り当てを設定した場合には使用できません。
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 受信ポートと同じパリティ(偶数または奇数)を持つポートを割り当てます。この機能は、ポートブロック割り当てを設定した場合には使用できません。
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- ポート変換を使用するNATプールのグローバルなデフォルトポート範囲を設定します。このポート範囲は、NAT プールでポート範囲が指定されておらず、自動ポート割り当ても指定されていない場合に使用されます。グローバルポートの範囲は1024〜65,535です。
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- ポート変換を使用せずに送信元プールを設定します。
[edit services nat source pool nat-pool-name] user@host# set address-pooling no-paired
- 各ホストに割り当てることができるポートの最大数を設定します。範囲は 2 から 65,535 です。
[edit services nat source pool nat-pool-name] user@host# set limit-ports-per-host number
- 使用する各加入者にポートのブロックを割り当てる場合は、ポートブロックの割り当てを設定します。
- ブロック内のポート数を設定します。範囲は 1 から 64,512 で、デフォルトは 128 です。
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- ブロックがアクティブになる間隔を秒単位で設定します。タイムアウト後、アクティブなブロックでポートが使用可能な場合でも、新しいブロックが割り当てられます。タイムアウトを 0 に設定すると、新しいポート ブロックが割り当てられる前にポート ブロックが完全にいっぱいになり、最後のポート ブロックは無期限にアクティブなままになります。範囲は 0 〜 86,400 で、デフォルトは 0 です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- NAT プールを使用するアドレスプールペアマッピングのタイムアウト時間を指定します。範囲は 120 〜 86,400 秒で、デフォルトは 300 です。この時間だけ非アクティブなマッピングはドロップされます。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
エンドポイントに依存しない翻訳に
ei-mapping-timeoutを設定しない場合、エンドポイントに依存しない翻訳にはmapping-timeout値が使用されます。 - ユーザーアドレスに割り当てることができるブロックの最大数を設定します。範囲は 1 から 512 で、デフォルトは 8 です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- アクティブなポートブロックとライブセッションの非アクティブなポートブロックの中間システムログを送信する頻度を指定します。これにより、UDPベースであり、ネットワーク内で失われる可能性のあるシステムログの信頼性が向上します。範囲は 1800 〜 86,400 秒で、デフォルトは 0 です (仮ログは無効です)。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- ブロック内のポート数を設定します。範囲は 1 から 64,512 で、デフォルトは 128 です。
- 指定された NAT プールを使用するエンドポイントに依存しない変換のタイムアウト時間を指定します。この時間だけ非アクティブなマッピングはドロップされます。範囲は 120 秒から 86,400 秒です。
ei-mapping-timeoutを設定しない場合、エンドポイントに依存しない翻訳にmapping-timeout値が使用されます。[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- NAT プールを使用するアドレスプールペアマッピングのタイムアウト時間を指定します。範囲は 120 〜 86,400 秒で、デフォルトは 300 です。この時間だけ非アクティブなマッピングはドロップされます。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
エンドポイントに依存しない翻訳に
ei-mapping-timeoutを設定しない場合、エンドポイントに依存しない翻訳にはmapping-timeout値が使用されます。 - NAT ソース プールの IP アドレスが、他のサービス セットで使用されているプールの IP アドレスと重複できるようにするには、
allow-overlapping-poolsを構成します。[edit services nat] user@host# set allow-overlapping-pools
ステートフルNAT64のNATルールの設定
ステートフルNAT64の場合、送信元ルールと宛先ルールを設定する必要があります。ステートフルNAT64のNATルールを設定するには:
- 送信元 NAT ルール名を構成します。
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- NAT ルール セットを適用するトラフィックの方向を指定します。
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- NAT ルールによって変換される IPv6 送信元アドレスを指定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
- 一致する宛先アドレスを 0.0.0.0/0 として設定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match destination-address 0.0.0.0/0
- NAT ルールが適用されるアプリケーション プロトコルを 1 つ以上指定します。ルールにリストされているアプリケーションの数は、3072を超えてはなりません。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 変換された送信元アドレスのアドレスを含むNAT送信元プールを指定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- エンドポイントに依存しないマッピングを設定し、特定のホストからのすべての接続に同じ外部アドレスとポートが割り当てられるようにします。
- マッピングタイプをエンドポイントに依存しないように設定します。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- エンドポイントに依存しないマッピングを使用してインバウンド接続を確立できるホストを含むプレフィックスリストを指定します。(プレフィックスリストは
[edit policy-options]階層レベルで設定されます)。[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- エンドポイントに依存しないマッピングで同時に許可されるインバウンドフローの最大数を指定します。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- アクティブなエンドポイント非依存マッピングが更新される方向を指定します。既定では、マッピングはインバウンドとアウトバウンドの両方のアクティブ フローに対して更新されます。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- マッピングタイプをエンドポイントに依存しないように設定します。
- 宛先 NAT ルール名を構成します。
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- 宛先 NAT ルール セットが適用されるトラフィックの方向を指定します。
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 宛先 NAT ルールによって変換される IPv6 プレフィックス送信元アドレスを指定します。NAT 送信元ルールに使用したのと同じ値を使用します。
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match source-address address
- IPv6 宛先アドレスに IPv4 宛先アドレスを埋め込むために使用されるプレフィックスを指定します。
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat destination-prefix destination-prefix
- IPv6 の宛先アドレスが一致するように設定します。これは、
destination-prefixを使用して IPv6 に埋め込まれた IPv4 宛先アドレスです。[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
- トラフィックが NAT ルール条件に一致した場合の syslog の生成を設定します。
[edit services nat (source | destination) rule-set rule-set-name rule rule-name then] user@host# set syslog
ステートフルNAT64のサービスセットの設定
ステートフルNAT64のサービスセットを設定するには:
- サービスセットを定義します。
[edit services] user@host# edit service-set service-set-name
- 単一のサービス インターフェイスを必要とするインターフェイス サービス、または内部および外部サービス インターフェイスを必要とするネクストホップ サービスを設定します。
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
又は
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- サービス セットで使用する NAT ルール セットを指定します。
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name
Don't Fragment ビットのクリア
1280 バイト未満の IPv4 パケットを変換するときに IPv6 フラグメンテーション ヘッダーが不必要に作成されるのを防ぐために、パケット長が 1280 バイト未満のときに IPv4 パケット ヘッダーの DF(Don't Fragment)ビットをクリアするように指定できます。
[edit services nat natv6v4] user@host# set clear-dont-fragment-bit