項目一覧
ソースNAT
ソースNATは、プライベートIPアドレスをパブリックルーティング可能なアドレスに変換してホストと通信するために最も一般的に使用されます。送信元NATは、ルーターを通過するパケットの送信元アドレスを変更します。NAT プールは、クライアント IP アドレスの代わりとして設計されたアドレスのセットです。詳細については、次のトピックを参照してください。
ソースNATについて
送信元NATとは、ジュニパーネットワークスデバイスから出るパケットの送信元IPアドレスを変換したものです。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
ソース NAT を使用すると、たとえば、プライベート ネットワークからインターネットへの接続など、発信ネットワーク 接続に対してのみ接続を開始できます。ソースNATは、通常、以下の変換を実行するために使用されます。
-
1 つの IP アドレスを別のアドレスに変換する (たとえば、プライベート ネットワーク内の 1 つのデバイスにインターネットアクセスを提供する場合など)。
-
連続したアドレスのブロックを、同じサイズの別のアドレスのブロックに変換します。
-
連続したアドレスのブロックを、より小さいサイズのアドレスの別のブロックに変換します。
-
ポート変換を使用して、連続したアドレスのブロックを単一のIPアドレスまたはより小さいアドレスのブロックに変換します。
-
連続したアドレスのブロックを、エグレスインターフェイスのアドレスに変換します。
エグレスインターフェイスのアドレスへの変換には、アドレスプールは必要ありません。その他のすべての送信元NAT変換には、アドレスプールの設定が必要です。同じサイズのアドレス ブロックの 1 対 1 および多対多の変換では、変換されるすべてのアドレスに対して利用可能なアドレスがプールに存在するため、ポート変換は必要ありません。
アドレスプールのサイズが変換されるアドレスの数よりも小さい場合、変換可能な同時アドレスの総数はアドレスプールのサイズによって制限されるか、ポート変換を使用する必要があります。たとえば、253個のアドレスのブロックを10個のアドレスのアドレスプールに変換する場合、ポート変換を使用しない限り、最大10台のデバイスを同時に接続できます。
以下のタイプの送信元 NAT がサポートされています。
-
元の送信元 IP アドレスからエグレス インターフェイスの IP アドレス(インターフェイス NAT とも呼ばれる)への変換。ポート アドレス変換は常に実行されます。
-
ポートアドレス変換を行わずに、元の送信元IPアドレスをユーザー定義アドレスプールのIPアドレスに変換する。元の送信元 IP アドレスと変換された送信元 IP アドレスの関連付けは動的です。ただし、いったんアソシエーションが発生すると、同じ NAT ルールに一致する新しいトラフィックの同じ元の送信元 IP アドレスに同じアソシエーションが使用されます。
-
ポートアドレス変換を使用して、ユーザー定義のアドレスプールからIPアドレスに元の送信元IPアドレスを変換します。元の送信元 IP アドレスと変換された送信元 IP アドレスの関連付けは動的です。アソシエーションが存在していても、同じNAT ルールに一致する新しいトラフィックに対して、同じ元の送信元IPアドレスが別のアドレスに変換される可能性があります。
-
IPアドレスをシフトすることで、元の送信元IPアドレスをユーザー定義のアドレスプールのIPアドレスに変換すること。このタイプの変換は、1 対 1、静的で、ポート アドレス変換なしです。元の送信元 IP アドレス範囲がユーザー定義プールの IP アドレス範囲よりも大きい場合、宛先アドレスが変換されたパケットまたは未変換のパケットは破棄されます。
MXシリーズデバイスで、集約されたマルチサービス(AMS)インターフェイスでソースNATを使用する場合。 service set コマンドは、AMS インターフェイスごとに個別のエントリを作成します。そのため、メモリ使用量が枯渇し、追加のAMSインターフェイスを設定すると、設定コミットエラーが発生します。
NAT のセントラル ポイント アーキテクチャの強化について
システム セッション容量とセッションの立ち上げ速度は、中央ポイントのメモリ容量と CPU 容量によって制限されます。Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降、SRX5000シリーズでは、NAT の中央点アーキテクチャが強化され、より高いシステム セッション容量とセッション ランプアップ レートに対応できるようになりました。したがって、中央点のワークロードが削減され、セッション容量が増加し、より多くのセッションをサポートすることで、より高い接続数/秒(CPS)を実現します。Junos OS リリース 17.4R1 以降、SPC 番号が 4 を超える場合、中央ポイント アーキテクチャで処理されるソース NAT リソースが SPU にオフロードされ、リソースの割り当てがより効率的になりました。次のリストでは、パフォーマンスを向上させるための NAT の機能拡張について説明します。
中心点アーキテクチャは、中心点セッションをサポートしなくなりました。したがって、NATは、IPアドレスまたはポートの割り当てと使用状況を追跡するために、NATトラッカーを維持する必要があります。NAT トラッカーは、NAT リソースの管理に使用される SPU セッション ID から NAT IP またはポートへのマッピングのグローバル配列です。
デフォルトでは、NAT ルール アラームとトラップ統計カウンターの更新メッセージは、中央ポイント システムの各セッション トリガーに基づいて統計を更新するのではなく、サービス処理ユニット(SPU)から中央ポイントに 1 秒間隔で送信されます。
NAT 後の 5 タプル ハッシュが NAT 前の元の 5 タプル ハッシュと同じになるように割り当てられた特定の NAT IP アドレスまたはポートをサポートするには、特定の計算によって元のハッシュと同じハッシュになる NAT ポートを選択します。したがって、転送セッションが削減されます。NAT を使用する場合、リバース ウィングは別の SPU にハッシュされます。リバーストラフィックをセッションSPUに転送するには、フォワードセッションをインストールする必要があります。NAT は、リバース ウィングを最初のウィングと同じ SPU にハッシュさせるために、ハッシュ アルゴリズムで使用できるポートを選択しようとします。そのため、このアプローチにより、NATのパフォーマンスとスループットの両方が向上します。
NAT のパフォーマンスを向上させるため、IP シフト プール(非 PAT プール)の管理は中央ポイントから SPU に移動され、NAT 要求を中央ポイントに送信する代わりに、そのプールのすべてのローカル NAT リソースがローカルで管理されます。したがって、IPアドレスシフトの1秒あたりのNAT プール接続数とスループットが向上します。
ポート オーバーフロー バースト モード
ポート オーバーフロー バースト モードでは、割り当てられたポート ブロックを超えてポートを使用できます。IP アドレス内のポート範囲を使用してバースト プールをバースト用に予約するように構成できます。
プライマリ プールとバースト プールのタイプがあり、加入者がプライマリ プールで構成された制限に達すると、デバイスはバースト プールを使用します。
ブラストモードは、以下でサポートされています。
PBA タイプ バースト プールを使用した決定論的 NAT 送信元 NAT プール。
動的ネットワーク アドレス ポート変換(NAPT)タイプのバースト プールを備えた、確定的 NAT ソース NAT プール。
PBA タイプ バースト プールがある通常の PBA 送信元 NAT プール。
動的 NAPT タイプのバースト プールを備えた標準 PBA 送信元 NAT プール。
| NAT タイプ |
構成済みポートブロック制限前を超えない |
構成済みポートブロック制限を超えない |
|---|---|---|
| PBA タイプのバースト プールによる決定論的 NAT 送信元NAT プール |
プライマリDetNATプールのポートブロックが使用されます。 |
PBA で設定されたバースト プールからのポート ブロック。 |
| 動的ネットワーク アドレス ポート変換(NAPT)タイプ バースト プールによる決定論的 NAT ソース NAT プール |
プライマリDetNATプールのポートブロックが使用されます。 |
ダイナミック NAPT で設定されたバースト プールからのポート ブロック。 |
| PBA タイプ バースト プールを備えた通常の PBA ソース NAT プール |
プライマリ PBA プールのポート ブロックが使用されます。 |
PBA で設定されたバースト プールからのポート ブロック。 |
| 動的 NAPT タイプ バースト プールを備えた標準 PBA ソース NAT プール |
プライマリ PBA プールのポート ブロックが使用されます。 |
ダイナミック NAPT で設定されたバースト プールからのポート ブロック。 |
PBA バースト タイプ方式:PBA は APP および非 APP 動作モードをサポートします。
-
APPモード:ポートはプライマリプールから割り当てられます。その後、加入者制限がプライマリ プールから超えると、バースト プールから同じ IP アドレスに使用可能なポートがあれば、新しいセッションが作成されます。
-
非 APP モード:ポートはプライマリ プールから割り当てられます。プライマリ プールからの加入者制限を超えると、使用可能な IP アドレスとポートを使用して、バースト プールから新しいセッションが作成されます。
DetNAT バースト タイプ方式:ポートはプライマリ プールから割り当てられます。バースト プールの同じ IP アドレス、または使用可能なすべてのポートが同じ IP アドレスから使用できない場合は、別の IP アドレスを使用して新しいセッションが作成されます。バースト プールが 1 次プールとは異なる IP で構成されている場合は、バースト プールの別の IP を使用します。
送信元NATパフォーマンスの最適化
ソースNATは、機能とパフォーマンスのニーズに基づいて最適化できます。
ポートランダム化モード(デフォルト)
プールベースの送信元NATおよびインターフェイスNATでは、ポートランダム化モードが有効になっており、デフォルトで使用されます。
このモードでは、デバイスはラウンドロビン方式でIPアドレスを選択し、ポートの選択はランダムに行われます。つまり、デバイスがNAT変換を実行するときに、まずラウンドロビンでIPアドレスを選択し、次にランダム化でそのIPアドレスに使用するポートを選択します。
ランダムなポート番号の割り当ては、DNS ポイズン攻撃などのセキュリティ上の脅威から保護できますが、関連する計算と NAT テーブル リソースにより、パフォーマンスとメモリ使用量に影響を与える可能性もあります。
ラウンドロビンモード
リソース消費の少ないNAT変換方法では、ラウンドロビン割り当て方法のみを使用します。ランダム化では割り当てられたポートごとに計算作業が必要ですが、ラウンドロビン方式ではポートを順番に選択するだけです。
このモードでは、デバイスはラウンドロビン方式でIPアドレスとポートの両方を選択します。つまり、デバイスが NAT 変換を実行するときに、まずラウンドロビンで IP アドレスを選択し、次にその IP アドレスに使用するポートをラウンドロビンで選択します。
たとえば、ソース プールに IP アドレスが 1 つしか含まれていない場合は、次のようになります。
フローの最初のパケットが到着すると(セッションが作成されると)、IP1、ポートNに変換されます。そのフロー内の後続のパケットは、同じIP/ポートに割り当てられます。
新しいフローの最初のパケットが到着すると、IP1、ポート N+1 などに変換されます。
ソース プールに 2 つの IP アドレスが含まれている場合:
フローの最初のパケットが到着する(セッションを作成する)と、IP1、ポートXに変換されます。そのフロー内の後続のパケットは、同じIP/ポートに割り当てられます。
2 番目のフローの最初のパケットが到着すると、IP2、ポート X に変換されます。
3 番目のフローの最初のパケットが到着すると、IP1、ポート X+1 に変換されます。
4 番目のフローの最初のパケットが到着すると、IP2、ポート X+1 などに変換されます。
構成
ラウンドロビンモードはデフォルトで有効になっていますが、ポートランダム化モード(これも有効)の方が優先度が高くなります。ラウンドロビンモードを使用するには、次のようにして、優先度の高いポートランダム化モードを無効にします。
user@host# set security nat source port-randomization disable
ラウンドロビンモードを無効にする(そしてポートのランダム化を再び有効にする)には、次のように設定ステートメントを削除します。
user@host# delete security nat source port-randomization disable
セッションアフィニティモード
Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降では、「セッション アフィニティ」モードを使用して、SRX5000シリーズ デバイスでの NAT パフォーマンスとスループットをさらに向上させることができます。
上記のモードでは、特定のセッションは、5 タプル (送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコル) ハッシュに基づいて受信 SPU によって処理されます。NAT が関係する場合、5 タプル ハッシュは、セッションの送信部分とセッションのリターン部分で異なります。そのため、アウトバウンド NAT セッション情報は 1 つの SPU に配置され、リターン(リバース)NAT セッション情報は別の SPU にある可能性があります。セッション アフィニティ モードの目的は、送信トラフィックとリターン トラフィックの両方の転送セッション情報を同じ SPU で維持することです。
このモードでは、デバイスはIPとポートの選択に「リバースNAT拡張」変換アルゴリズムを使用して、NATセッションとスループットのパフォーマンスを向上させます。NAT モジュールは、ハッシュ アルゴリズムで使用できる IP アドレスとポートの選択を試みて、アウトバウンドとリターンのフロー要素に選択された SPU が同一であることを確認します。
構成
セッションアフィニティモードはデフォルトで有効になっていますが、ポートランダム化モードとラウンドロビンモード(これも有効)の両方が優先されます。セッションアフィニティモードを使用するには、次のようにポートランダム化モードとラウンドロビンモードの両方を無効にします。
user@host# set security nat source port-randomization disable user@host# set security nat source port-round-robin disable
セッションアフィニティモードを無効にし、ラウンドロビンモードまたはポートランダム化モードのいずれかを再度有効にするには、次のように設定ステートメントの一方または両方を削除します。
user@host# delete security nat source port-round-robin disable user@host# delete security nat source port-randomization disable
使用上の注意
セッション アフィニティ モードに関する注意事項とガイドラインは次のとおりです。
可能な限り、大きなNATポートプールを使用します(後述のセキュリティ上の考慮事項を参照)
アルゴリズムは、設定されたポート範囲内からポートを選択します。使用可能なポートがない場合、NATポートはランダム選択に基づいて割り当てられます。
静的 NAT と宛先 NAT では、アフィニティ モードを使用できません。
セキュリティに関する考慮事項
セッションアフィニティは、転送セッションを統合することでパフォーマンスを向上させますが、アルゴリズムが純粋なランダム化ではなく、特定のパラメーターを持つ事前定義されたアルゴリズムに基づいてIPアドレスとポートを選択するため、セキュリティがある程度低下します。とはいえ、通常、アルゴリズムが選択できる適格なポートが複数あるため、ある程度のランダム化がまだあります。
セキュリティ リスクを軽減する最善の方法は、使用する送信元ポート番号が予測しにくくなるようにすることです。つまり、エフェメラル ポートが選択される NAT プール リソース範囲が広いほど、攻撃者が選択したポート番号を推測する可能性は低くなります。このため、可能な限り大きなNATポートプールを設定することが推奨されます。
送信元NAT情報の監視
目的
送信元ネットワークアドレス変換(NAT)ルール、プール、永続的 NAT、ペア アドレスに関する設定済み情報を表示します。
アクション
J-Web ユーザ インターフェイスで [Monitor>NAT>Source NAT ] を選択するか、次の CLI コマンドを入力します。
show security natソースの概要
show security nat ソース プール pool-name
show security nat source persistent-nat-table
show security nat source paired-address
表 2 に、送信元 NAT の監視に使用できるオプションを示します。
畑 |
形容 |
アクション |
|---|---|---|
| 準則 | ||
ルールセット名 |
ルール・セットの名前。 |
リストから、表示するすべてのルールセットまたは特定のルールセットを選択します。 |
トータルルール |
構成されたルールの数。 |
– |
身分証明書 |
ルール ID 番号。 |
– |
名前 |
ルールの名前。 |
– |
差出人 |
パケットの送信元のルーティング インスタンス/ゾーン/インターフェイスの名前。 |
– |
宛先 |
パケットが流れるルーティング インスタンス/ゾーン/インターフェイスの名前。 |
– |
送信元アドレス範囲 |
ソース プール内の元 IP アドレス範囲。 |
– |
宛先アドレス範囲 |
ソース プール内の宛先 IP アドレス範囲。 |
– |
送信元ポート |
送信元ポート番号。 |
– |
IPプロトコル |
IPプロトコル。 |
– |
アクション |
ルールに一致するパケットに対して実行されたアクション。 |
– |
永続的 NAT タイプ |
永続的な NAT タイプ。 |
– |
アクティブ タイム |
永続的な NAT バインディングのアクティブ タイム間隔。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
|
最大セッション番号 |
セッションの最大数。 |
– |
セッション(succ/failed/current) |
成功したセッション、失敗したセッション、現在のセッション。
|
– |
翻訳ヒット |
変換テーブル内の変換が送信元 NAT ルールに使用された回数。 |
– |
| プール | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
合計プール数 |
追加されたプールの合計数。 |
– |
身分証明書 |
プールの ID。 |
– |
名前 |
ソース プールの名前。 |
– |
アドレス範囲 |
ソース プール内の IP アドレス範囲。 |
– |
シングル/ツインポート |
割り当てられたシングル ポートとツイン ポートの数。 |
– |
港 |
プール内の送信元ポート番号。 |
– |
アドレス割り当て |
アドレス割り当てのタイプを表示します。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
– |
ポート過負荷係数 |
ポートの過負荷容量。 |
– |
ルーティング インスタンス |
ルーティング インスタンスの名前。 |
– |
総アドレス数 |
合計 IP アドレス、IP アドレス セット、またはアドレス ブック エントリー。 |
– |
ホストアドレスベース |
元の送信元 IP アドレス範囲のホスト ベース アドレス。 |
– |
翻訳ヒット数 |
変換テーブル内の変換が送信元 NAT に使用された回数。 |
– |
| 翻訳ヒットトップ10 | ||
グラフ |
上位 10 件の翻訳ヒットのグラフを表示します。 |
– |
| 永続的NAT | ||
| 永続的な NAT テーブル統計 | ||
バインディング合計 |
FPCの永続的なNATバインディングの総数を表示します。 |
– |
使用中のバインディング |
FPC に使用されている永続的な NAT バインディングの数。 |
– |
eノード合計 |
FPC の永続的 NAT enode の総数。 |
– |
使用中の enode |
FPC に使用されている永続的 NAT enode の数。 |
– |
| 永続的 NAT テーブル | ||
ソースNAT プール |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
内部 IP |
内部 IP アドレス。 |
リストから、表示するすべての IP アドレスまたは特定の IP アドレスを選択します。 |
内部ポート |
システムで設定されている内部ポートを表示します。 |
表示するポートをリストから選択します。 |
内部プロトコル |
内部プロトコル 。 |
リストから表示するすべてのプロトコルまたは特定のプロトコルを選択します。 |
内部 IP |
内部から外部への発信セッションの内部トランスポート IP アドレス。 |
– |
内部ポート |
内部から外部への発信セッションの内部トランスポート ポート番号。 |
– |
内部プロトコル |
内部から外部への発信セッションの内部プロトコル。 |
– |
リフレクティブIP |
送信元 IP アドレスの変換された IP アドレス。 |
– |
反射ポート |
ポートの変換された番号を表示します。 |
– |
リフレクティブ プロトコル |
変換されたプロトコル。 |
– |
ソースNAT プール |
永続的 NAT が使用される送信元 NAT プールの名前。 |
– |
種類 |
永続的な NAT タイプ。 |
– |
左時間/設定時間 |
残っているアクティブ タイム期間と設定されたタイムアウト値。 |
– |
現在のセッション番号/最大セッション番号 |
永続的な NAT バインディングに関連付けられている現在のセッションの数と最大セッション数。 |
– |
ソース NAT ルール |
この永続的な NAT バインディングが適用される送信元 NAT ルールの名前。 |
– |
| 外部ノード テーブル | ||
内部 IP |
内部から外部への発信セッションの内部トランスポート IP アドレス。 |
– |
内部ポート |
内部から外部への発信セッションの内部ポート番号。 |
– |
外部 IP |
内部から外部への発信セッションの外部IPアドレス。 |
– |
外部ポート |
内部から外部への発信セッションの外部ポート。 |
– |
ゾーン |
内部から外部への発信セッションの外部ゾーン。 |
– |
| ペアのアドレス | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
指定されたアドレス |
IP アドレス。 |
すべてのアドレスを選択するか、表示する内部 IP アドレスまたは外部IPアドレスを選択して、IP アドレスを入力します。 |
プール名 |
選択したプールを表示します。 |
– |
内部アドレス |
内部 IP アドレスを表示します。 |
– |
外部アドレス |
外部IPアドレスを表示します。 |
– |
| リソースの使用状況 | ||
| すべてのソース・プールの使用率 | ||
プール名 |
プールの名前。 |
ポート アドレス変換 (PAT) プールの追加の使用情報を表示するには、プール名を選択します。情報が [Detail Port Utilization for Specified Pool] の下に表示されます。 |
プールの種類 |
プールの種類:PAT または非 PAT。 |
– |
ポート過負荷係数 |
PAT プールのポート過負荷容量。 |
– |
住所 |
プール内のアドレス。 |
– |
中古 |
プール内の使用済みリソースの数。 非 PAT プールの場合は、使用されている IP アドレスの数が表示されます。 PAT プールの場合、使用済みポートの数が表示されます。 |
– |
利用できる |
プール内の使用可能なリソースの数。 非 PAT プールの場合は、使用可能な IP アドレスの数が表示されます。 PAT プールの場合、使用可能なポートの数が表示されます。 |
– |
トータル |
プール内の使用済みリソースと使用可能なリソースの数。 非 PAT プールの場合、使用済みおよび使用可能な IP アドレスの合計数が表示されます。 PAT プールの場合、使用済みポートと使用可能なポートの合計数が表示されます。 |
– |
使い |
使用されたリソースの割合。 非 PAT プールの場合、使用されている IP アドレスの割合が表示されます。 PAT プールの場合、シングル ポートとツイン ポートを含むポートの割合が表示されます。 |
– |
ピーク使用量 |
ピーク日時に使用されたリソースの割合。 |
– |
| 指定されたプールのポート使用率の詳細 | ||
アドレス名 |
PAT プール内の IP アドレス。 |
詳細な使用情報を表示する IP アドレスを選択します。 |
ファクターインデックス |
インデックス番号。 |
– |
ポート範囲 |
一度に割り当てられているポートの数を表示します。 |
– |
中古 |
使用済みポートの数を表示します。 |
– |
利用できる |
使用可能なポートの数を表示します。 |
– |
トータル |
使用済みポート数と使用可能なポート数が表示されます。 |
– |
使い |
ピーク日時に使用されたポートの割合を表示します。 |
– |
送信元NAT設定の概要
送信元 NAT の主な設定タスクは、以下の通りです。
例:エグレス インターフェイス変換のためのソース NAT の設定
この例では、プライベートアドレスのソースNATマッピングをエグレスインターフェイスのパブリックアドレスに設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 1 では、trust ゾーン内にプライベート アドレスを持つデバイスが、エグレス インターフェイス ge-0/0/0 を介してパブリック ネットワークにアクセスします。untrustゾーンに宛先アドレスがあり、trustゾーンからJuniper Networksセキュリティデバイスに入るパケットの場合、送信元IPアドレスはegressインターフェイスのIPアドレスに変換されます。
エグレスインターフェイスを使用したソースNATには、ソースNAT プールは必要ありません。エグレス インターフェイスにプロキシ ARP を設定する必要はありません。
この例では、次の設定について説明します。
送信元NAT ルール
rs1にルールr1を設定して、trustゾーンからuntrustゾーンへの任意のパケットを一致させます。一致するパケットの場合、送信元アドレスはエグレスインターフェイスのIPアドレスに変換されます。trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat interface set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
エグレスインターフェイスへのソースNAT変換を設定するには:
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをエグレスインターフェイスのアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat interface
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:単一アドレス変換用の送信元 NAT の設定
この例では、単一のプライベートアドレスからパブリックアドレスへの送信元NATマッピングを設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 2 では、trust ゾーンにプライベート アドレス 192.168.1.200 を持つデバイスがパブリック ネットワークにアクセスしています。デバイスから untrust ゾーンの宛先アドレスに送信されたパケットの場合、ジュニパーネットワークス セキュリティ デバイスは送信元 IP アドレスをパブリック IP アドレス 203.0.113.200/32 に変換します。
この例では、次の設定について説明します。
IPアドレス203.0.113.200/32を含む送信元NAT プール
src-nat-pool-1。送信元NAT ルールルール
r1でrs1を設定して、送信元IPアドレス192.168.1.200/32のtrustゾーンからuntrustゾーンへのパケットを照合します。一致するパケットの場合、送信元アドレスはプール内のIPアドレスに変換されsrc-nat-pool-1。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.200 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したそのアドレスの ARP 要求に応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.200/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.200/32 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
単一 IP アドレスの送信元 NAT 変換を設定するには、次の手順に従います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.200/32
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.200/32 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.200/32;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:SRXシリーズファイアウォールでMAP-Eを設定する
この設定例を使用して、SRXシリーズファイアウォールでカプセル化によるアドレスとポートのマッピング(MAP-E)機能を設定します。
| 読書の時間 |
1時間未満 |
| 設定時間 |
1時間未満 |
- 前提条件の例
- 始める前に
- 機能の概要
- トポロジーの概要
- トポロジー図
- SRXシリーズファイアウォールをMAP-E CEデバイスとして設定する手順
- BRデバイスとしてのMXシリーズデバイスのステップバイステップ設定
- 検証
- 付録1:すべてのデバイスでコマンドを設定する
- 付録 2:すべてのデバイスでの設定出力の表示
前提条件の例
| ハードウェア要件 |
ジュニパーネットワークス® SRX1500ファイアウォールまたはそれ以下の番号のデバイスモデルまたはジュニパーネットワークス®vSRX仮想ファイアウォール(vSRX3.0) |
| ソフトウェア要件 |
Junos OS リリース 19.4R1 以降 |
始める前に
| 利点 |
|
| もっと知る |
カプセル化によるアドレスとポートのマッピングの理解(MAP-E) |
| ハンズオン体験 |
vLabサンドボックス:NAT - ソースと宛先 |
| 詳細情報 |
NFXシリーズ デバイスでの MAP-E の設定カプセル化を使用したアドレスとポートのマッピング(MAP-E)について次世代サービス向けカプセル化によるアドレスとポートのマッピング(MAP-E) |
機能の概要
MAP-E は、IPv6 ネットワーク上で IPv4 パケットを転送します。MAP-E ネットワークには、次の 2 種類のデバイスが含まれます。
-
MAP-E カスタマー エッジ(CE): これらのデュアル スタック CE デバイスは、IPv4 と IPv6 の両方をサポートします。また、ネットワーク アドレス ポート変換(NAPT)を実行することもできます。
-
MAP-E 境界リレー(BR):CE デバイスは、IPv6 のみのネットワーク ドメインを介してプライベート IPv4 ホストと BR デバイスを接続します。
表 6 は、この例で展開される構成コンポーネントの簡単な概要を示しています。
| 使用技術 |
|
| 主な検証タスク |
SRXシリーズファイアウォールでMAP-E設定が完了したら、MAP-E設定のステータスを確認できます。 |
トポロジーの概要
このトポロジーは、SRXシリーズファイアウォールデバイス上のMAP-E CE機能の設定プロセスを示しています。また、MAP-E CE デバイスから発信される IPv4 パケットのカプセル化と伝送についても説明します。この設定では、これらのパケットがIPv4-over-IPv6トンネルを介してMAP-E、PEおよびBRデバイスに移動します。その後、パケットはIPv6ルーティング トポロジーでデトンネリングされ、さらに処理されます。パブリックIPv4ネットワークとIPv6 MAP-Eネットワークの両方に接続されたデュアルスタックMXシリーズデバイスは、MAP-E BRデバイスとして機能します。
| ホスト名 |
役割 |
機能 |
|---|---|---|
| LANエンドポイント |
エンドユーザーネットワークデバイス。 |
IPv4 ネットワークに接続します。 |
| SRXシリーズファイアウォール |
BRルーターとエンドユーザーネットワークデバイスを接続します。 |
ISP IPv6 アクセス ネットワークを介した多数の IPv4 加入者への接続をサポートします。 |
| BRルーター |
IPv4ネットワークとSRXシリーズファイアウォールデバイスを接続します。 |
BRデバイスには、少なくともIPv6対応インターフェイスとネイティブIPv4ネットワークに接続されたIPv4インターフェイスがあります。 |
トポロジー図
への MAP-E の導入
SRXシリーズファイアウォールをMAP-E CEデバイスとして設定する手順
BRデバイスとしてのMXシリーズデバイスのステップバイステップ設定
MXシリーズデバイスをBRデバイスとして設定するには:
検証
このセクションでは、この例の機能を確認するために使用できる表示コマンドの一覧を示します。
CLI 出力を生成するには、エンドデバイスで SSH セッションを確立する必要があります。
| 命令 |
検証タスク |
|---|---|
show security flow session |
|
show security softwires map-e domain mapce1 |
MAP-E ドメインの検証 |
show security nat source rule all |
|
show security nat source pool all |
|
show security nat source summary |
|
show security nat source persistent-nat-table all
|
|
show services inline softwire statistics mape |
- フロー セッションの確認
- MAP-E ドメインの検証
- NAT送信元ルールの確認
- NATソースプールの検証
- NAT 送信元サマリーの確認
- 永続的 NAT テーブルの検証
- MXシリーズデバイスでのソフトワイヤ統計の確認
フロー セッションの確認
目的
パケットフロー セッションを確認します。
アクション
動作モードから、 show security flow session コマンドを入力してパケットフローを表示します。
user@srx> show security flow session Session ID: 134218806, Policy name: my_ce/4, Timeout: 1800, Valid In: 10.10.10.2/57630 --> 203.0.113.2/22;tcp, Conn Tag: 0x0, If: ge-1/0/1.0, Pkts: 50, Bytes: 5797, Out: 203.0.113.2/22 --> 192.0.2.18/20691;tcp, Conn Tag: 0x0, If: lt-1/0/0.1, Pkts: 33, Bytes: 5697, Session ID: 134218807, Policy name: my_ce/4, Timeout: 1800, Valid In: 2001:db8:12:3400:c0:2:1200:3400/1 --> 2001:db8::a/1;ipip, Conn Tag: 0x0, If: lt-1/0/0.2, Pkts: 50, Bytes: 7797, Out: 2001:db8::a/1 --> 2001:db8:12:3400:c0:2:1200:3400/1;ipip, Conn Tag: 0x0, If: ge-1/0/2.0, Pkts: 33, Bytes: 7017, Total sessions: 2
意味
サンプル出力では、パケットフロー セッションが稼働していることを確認しています。
MAP-E ドメインの検証
目的
IPv4 アドレスと IPv6 アドレスが正しく設定されているかどうかを確認します。
アクション
動作モードから、 show security softwires map-e domain mapce1 コマンドを入力して IPv4 および IPv6 アドレスを表示します。
user@srx> show security softwires map-e domain mapce1
Role : CE
Version : 3
Domain Name : mapce1
BR Address : 2001:db8::a/128
End User Ipv6 prefix : 2001:db8:12:3400::/56
BMR Mapping Rule :
Rule Name : bmr
Rule Ipv4 Prefix : 192.0.2.0/24
Rule Ipv6 Prefix : 2001:db8::/40
PSID offset : 6
PSID length : 8
EA bit length : 16
Port SetID : 0x34
MAP-E Ipv4 address : 192.0.2.18/32
MAP-E Ipv6 address : 2001:db8:12:3400:c0:2:1200:3400
意味
サンプル出力には、設定された IPv4 アドレスと IPv6 アドレスが表示されています。
NAT送信元ルールの確認
目的
NAT 送信元ルールの詳細を表示します。
アクション
動作モードから、 show security nat source rule all コマンドを入力して NAT 送信元ルールを表示します。
user@srx> show security nat source rule all
Total rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 5/0
source NAT rule: r1
Rule-set : mape
Rule-Id : 1
Rule position : 1
From zone : v4zone
To interface : lt-1/0/0.1
: ge-1/0/1.0
Match
Source addresses : 10.10.10.0 - 10.10.10.255
Destination addresses : 10.10.10.0 - 10.10.10.255
198.51.100.0 - 198.51.100.255
203.0.113.0 - 203.0.113.255
192.0.2.0 - 192.0.2.255
Action : my_mape
Persistent NAT type : any-remote-host
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 300
Max session number : 30
Translation hits : 1
Successful sessions : 1
Failed sessions : 0
Number of sessions : 1
意味
サンプル出力は、設定された NAT ソースルールを表示します。
NATソースプールの検証
目的
NAT 送信元プールの詳細を表示します。
アクション
動作モードから、 show security nat source pool all コマンドを入力して NAT ソース プールを表示します。
user@srx> show security nat source pool all
Total pools: 1
Pool name : my_mape
Pool id : 4
Routing instance : default
Host address base : 0.0.0.0
Map-e domain name : mapce1
Map-e rule name : bmr
PSID offset : 6
PSID length : 8
PSID : 0x34
Port overloading : 1
Address assignment : no-paired
Total addresses : 1
Translation hits : 1
Address range Single Ports Twin Ports
192.0.2.18 - 192.0.2.18 1 0
Total used ports : 1 0
意味
サンプル出力では、構成された NAT ソース プールが表示されています。
NAT 送信元サマリーの確認
目的
NAT 送信元の概要を表示します。
アクション
動作モードから、 show security nat source summary コマンドを入力して NAT 送信元の詳細を表示します。
user@srx> show security nat source summary
show security nat source summary
Total port number usage for port translation pool: 252
Maximum port number for port translation pool: 134217728
Total pools: 1
Pool Address Routing PAT Total
Name Range Instance Address
my_mape 192.0.2.18-192.0.2.18 default yes 1
Total rules: 1
Rule name : r1
Rule set : mape
Action : my_mape
From : v4zone To : lt-0/0/0.1
Rule name : r1
To : ge-0/0/7.0
意味
サンプル出力は、設定されたNATソースの詳細を表示します。
永続的 NAT テーブルの検証
目的
永続的NATテーブルを表示します。
アクション
動作モードから、 show security nat source persistent-nat-table all コマンドを入力して永続 NAT テーブルを表示します。
user@srx> show security nat source persistent-nat-table all Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule 10.10.10.2 57630 tcp 192.0.2.18 20691 tcp my_mape any-remote-host -/300 1/30 r1
意味
サンプル出力は、永続 NAT テーブルを表示します。
MXシリーズデバイスでのソフトワイヤ統計の確認
目的
MXシリーズ デバイスでソフトワイヤの統計情報を表示します。
アクション
動作モードから、 show services inline softwire statistics mape コマンドを入力して、MXシリーズ デバイスのソフトワイヤ統計情報を表示します。
user@host> show services inline softwire statistics mape
Service PIC Name si-1/0/0
Control Plane Statistics
MAPE ICMPv6 echo requests to softwire concentrator 0
MAPE ICMPv6 echo responses from softwire concentrator 0
MAPE Dropped ICMPv6 packets to softwire concentrator 0
Data Plane Statistics (v6-to-v4) Packets Bytes
MAPE decaps 15034 1388760
MAPE ICMP decap errors 0 0
MAPE decap spoof errors 0 0
MAPE v6 reassembled 0 0
MAPE dropped v6 fragments 0 0
MAPE v6 unsupp protocol drops 0 0
Data Plane Statistics (v4-to-v6) Packets Bytes
MAPE encaps 149544 223527457
MAPE ICMP encap errors 0 0
MAPE v6 mtu errors 0 0
MAPE v4 reassembled 0 0
MAPE dropped v4 fragments 0 0
意味
サンプル出力には、MXシリーズデバイス上のソフトワイヤ統計情報が表示されます。
付録1:すべてのデバイスでコマンドを設定する
すべてのデバイスでコマンド出力を設定します。
MAP-E CE デバイスでのコマンドの設定
set security policies global policy my_ce match source-address any set security policies global policy my_ce match destination-address any set security policies global policy my_ce match application any set security policies global policy my_ce then permit set security policies default-policy permit-all set security zones security-zone v4zone host-inbound-traffic system-services all set security zones security-zone v4zone host-inbound-traffic protocols all set security zones security-zone v4zone interfaces ge-1/0/1.0 set security zones security-zone v4zone interfaces lt-1/0/0.1 set security zones security-zone v6zone host-inbound-traffic system-services all set security zones security-zone v6zone host-inbound-traffic protocols all set security zones security-zone v6zone interfaces ge-1/0/2.0 set security zones security-zone v6zone interfaces lt-1/0/0.2 set interfaces ge-1/0/1 unit 0 family inet address 10.10.10.1/24 set interfaces ge-1/0/2 mtu 9192 set interfaces ge-1/0/2 unit 0 family inet6 address 2001:db8:ffff::1/64 set interfaces lt-1/0/0 mtu 9192 set interfaces lt-1/0/0 unit 1 encapsulation ethernet set interfaces lt-1/0/0 unit 1 peer-unit 2 set interfaces lt-1/0/0 unit 1 family inet address 172.16.100.1/24 set interfaces lt-1/0/0 unit 1 family inet6 address 2001:db8:fffe::1/64 set interfaces lt-1/0/0 unit 2 encapsulation ethernet set interfaces lt-1/0/0 unit 2 peer-unit 1 set interfaces lt-1/0/0 unit 2 family inet address 172.16.100.2/24 set interfaces lt-1/0/0 unit 2 family inet6 address 2001:db8:fffe::2/64 set routing-instances v4_leg routing-options rib v4_leg.inet.0 static route 198.51.100.0/24 next-hop 172.16.100.2 set routing-instances v4_leg routing-options rib v4_leg.inet.0 static route 203.0.113.0/24 next-hop 172.16.100.2 set routing-instances v4_leg routing-options rib v4_leg.inet.0 static route 192.0.2.0/24 next-hop 172.16.100.2 set routing-instances v4_leg instance-type virtual-router set routing-instances v4_leg interface lt-1/0/0.1 set routing-instances v4_leg interface ge-1/0/1.0 set routing-instances v6_leg routing-options rib v6_leg.inet.0 static route 10.10.10.0/24 next-hop 172.16.100.1 set routing-instances v6_leg routing-options rib v6_leg.inet6.0 static route 2001:db8::a/128 next-hop 2001:db8:ffff::9 set routing-instances v6_leg routing-options rib v6_leg.inet6.0 static route 2001:db8:0012:3500::/56 next-hop 2001:db8:ffff::2 set routing-instances v6_leg routing-options rib v6_leg.inet6.0 static route 2001:db8:0012:3400::/56 next-hop 2001:db8:fffe::1 set routing-instances v6_leg instance-type virtual-router set routing-instances v6_leg interface lt-1/0/0.2 set routing-instances v6_leg interface ge-1/0/2.0 set security softwires map-e mapce1 br-address 2001:db8::a/128 set security softwires map-e mapce1 end-user-prefix 2001:db8:0012:3400::/56 set security softwires map-e mapce1 rule bmr rule-type BMR set security softwires map-e mapce1 rule bmr ipv4-prefix 192.0.2.0/24 set security softwires map-e mapce1 rule bmr ipv6-prefix 2001:db8::/40 set security softwires map-e mapce1 rule bmr ea-bits-length 16 set security softwires map-e mapce1 rule bmr psid-offset 6 set security softwires map-e mapce1 role CE set security softwires map-e mapce1 version 3 set security nat source pool my_mape allocation-domain mapce1 set security nat source pool my_mape allocation-domain allocation-rule bmr set security nat source rule-set mape from zone v4zone set security nat source rule-set mape to interface lt-1/0/0.1 set security nat source rule-set mape to interface ge-1/0/1.0 set security nat source rule-set mape rule r1 match source-address 10.10.10.0/24 set security nat source rule-set mape rule r1 match destination-address 10.10.10.0/24 set security nat source rule-set mape rule r1 match destination-address 198.51.100.0/24 set security nat source rule-set mape rule r1 match destination-address 203.0.113.0/24 set security nat source rule-set mape rule r1 match destination-address 192.0.2.0/24 set security nat source rule-set mape rule r1 then source-nat pool my_mape set security nat source rule-set mape rule r1 then source-nat pool persistent-nat permit any-remote-host
BRデバイスでのコマンドの設定
set services service-set ss1 softwire-rules sw-rule1 set services service-set ss1 next-hop-service inside-service-interface si-1/0/0.1 set services service-set ss1 next-hop-service outside-service-interface si-1/0/0.2 set services softwire softwire-concentrator map-e mape-domain-1 softwire-address 2001:db8::a set services softwire softwire-concentrator map-e mape-domain-1 ipv4-prefix 192.0.2.0/24 set services softwire softwire-concentrator map-e mape-domain-1 mape-prefix 2001:db8::/40 set services softwire softwire-concentrator map-e mape-domain-1 ea-bits-len 16 set services softwire softwire-concentrator map-e mape-domain-1 psid-offset 6 set services softwire softwire-concentrator map-e mape-domain-1 psid-length 8 set services softwire softwire-concentrator map-e mape-domain-1 mtu-v6 9192 set services softwire softwire-concentrator map-e mape-domain-1 version-03 set services softwire softwire-concentrator map-e mape-domain-1 v4-reassembly set services softwire softwire-concentrator map-e mape-domain-1 v6-reassembly set services softwire softwire-concentrator map-e mape-domain-1 disable-auto-route set services softwire rule sw-rule1 match-direction input set services softwire rule sw-rule1 term t1 then map-e mape-domain-1 set interfaces si-1/0/0 unit 1 family inet6 set interfaces si-1/0/0 unit 1 service-domain inside set interfaces si-1/0/0 unit 2 family inet set interfaces si-1/0/0 unit 2 service-domain outside set interfaces ge-1/1/2 mtu 9192 set interfaces ge-1/1/2 unit 0 family inet6 address 2001:db8:ffff::9/64 set interfaces ge-1/1/3 unit 0 family inet address 203.0.113.1/24 set routing-options rib inet6.0 static route 2001:db8::/40 next-hop si-1/0/0.1 set routing-options rib inet6.0 static route 2001:db8:0012:3400::/56 next-hop 2001:db8:ffff::1 set routing-options rib inet6.0 static route 2001:db8:0012:3500::/56 next-hop 2001:db8:ffff::2 set routing-options static route 192.0.2.0/24 next-hop si-1/0/0.2 set routing-options static route 198.51.100.0/24 next-hop si-1/0/0.2 set routing-options static route 203.0.113.0/24 next-hop si-1/0/0.2
付録 2:すべてのデバイスでの設定出力の表示
すべてのデバイスでコマンド出力を表示します。
MAP-E CEデバイスでのshowコマンド
設定モードから、 show security policies、 show security zones、 show interfaces、 show routing-instances、 show security softwires、 show security nat source コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@srx# show security policies
global {
policy my_ce {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@srx# show security zones
security-zone v4zone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
lt-1/0/0.1;
}
}
security-zone v6zone {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/2.0;
lt-1/0/0.2;
}
}
user@srx# show interfaces
lt-1/0/0 {
mtu 9192;
unit 1 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 172.16.100.1/24;
}
family inet6 {
address 2001:db8:fffe::1/64;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 1;
family inet {
address 172.16.100.2/24;
}
family inet6 {
address 2001:db8:fffe::2/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 10.10.10.1/24;
}
}
}
ge-1/0/2 {
mtu 9192;
unit 0 {
family inet6 {
address 2001:db8:ffff::1/64;
}
}
}
user@srx# show routing-instances
v4_leg {
instance-type virtual-router;
routing-options {
rib v4_leg.inet.0 {
static {
route 192.0.2.0/24 next-hop 172.16.100.2;
route 198.51.100.0/24 next-hop 172.16.100.2;
route 203.0.113.0/24 next-hop 172.16.100.2;
}
}
}
interface lt-1/0/0.1;
interface ge-1/0/1.0;
}
v6_leg {
instance-type virtual-router;
routing-options {
rib v6_leg.inet.0 {
static {
route 10.10.10.0/24 next-hop 172.16.100.1;
}
}
rib v6_leg.inet6.0 {
static {
route 2001:db8::a/128 next-hop 2001:db8:ffff::9;
route 2001:db8:0012:3400::/56 next-hop 2001:db8:fffe::1;
route 2001:db8:0012:3500::/56 next-hop 2001:db8:ffff::2;
}
}
}
interface lt-1/0/0.2;
interface ge-1/0/2.0;
}
user@srx# show security softwires
map-e mapce1 {
br-address "$9$AodDuIEhSrlvWB1Yg4aiH.P5T/CEcyeWLz3EcyrvMaZGU.P"; ## SECRET-DATA
end-user-prefix {
2001:db8:0012:3400::/56;
}
rule bmr {
rule-type BMR;
ipv4-prefix "$9$WVnL-VJGDH.PY2P5z6CAvW8xdbwYgDikY2QF"; ## SECRET-DATA
ipv6-prefix "$9$O4LbISrlKMWX7hcaZGDmPTz3np0rev87-hcs2g4ZG"; ## SECRET-DATA
ea-bits-length 16; ## SECRET-DATA
psid-offset "$9$y8NeLx"; ## SECRET-DATA
}
role CE;
version 3;
}
user@srx# show security nat source
pool my_mape {
allocation-domain mapce1 allocation-rule bmr;
}
rule-set mape {
from zone v4zone;
to interface [ lt-1/0/0.1 ge-1/0/1.0 ];
rule r1 {
match {
source-address 10.10.10.0/24;
destination-address [ 10.10.10.0/24 198.51.100.0/24 203.0.113.0/24 192.0.2.0/24 ];
}
then {
source-nat {
pool {
my_mape;
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
BRデバイスでのshowコマンド
設定モードから、 show services、 show interfaces、および show routing-options コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@router# show services
service-set ss1 {
softwire-rules sw-rule1;
next-hop-service {
inside-service-interface si-1/0/0.1;
outside-service-interface si-1/0/0.2;
}
}
softwire {
softwire-concentrator {
map-e mape-domain-1 {
softwire-address 2001:db8::a;
ipv4-prefix 192.0.2.0/24;
mape-prefix 2001:db8::/40;
ea-bits-len 16;
psid-offset 6;
psid-length 8;
mtu-v6 9192;
version-03;
v4-reassembly;
v6-reassembly;
disable-auto-route;
}
}
rule sw-rule1 {
match-direction input;
term t1 {
then {
map-e mape-domain-1;
}
}
}
}
user@router# show interfaces
lt-0/0/10 {
unit 0 {
encapsulation vlan-bridge;
vlan-id 10;
peer-unit 1;
}
}
si-1/0/0 {
unit 1 {
family inet6;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
ge-1/1/2 {
mtu 9192;
unit 0 {
family inet6 {
address 2001:db8:ffff::9/64;
}
}
}
ge-1/1/3 {
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
ge-1/3/11 {
unit 0 {
family inet {
address 10.0.1.2/30;
}
family mpls;
}
}
irb {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
lo0 {
apply-groups-except global;
unit 0 {
family inet {
address 10.255.0.2/32;
}
}
}
user@router# show routing-options
rib inet6.0 {
static {
route 2001:db8::/40 next-hop si-1/0/0.1;
route 2001:db8:0012:3400::/56 next-hop 2001:db8:ffff::1;
route 2001:db8:0012:3500::/56 next-hop 2001:db8:ffff::2;
}
}
router-id 10.255.0.2;
autonomous-system 100;
static {
route 0.0.0.0/0 next-hop [ 10.102.70.254 10.10.0.0 ];
route 192.0.2.0/24 next-hop si-1/0/0.2;
route 198.51.100.0/24 next-hop si-1/0/0.2;
route 203.0.113.0/24 next-hop si-1/0/0.2;
}
forwarding-table {
chained-composite-next-hop {
ingress {
evpn;
}
}
}
例:送信元と宛先の NAT 変換の設定
この例では、送信元と宛先の両方の NAT マッピングを設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図4では、Juniper Networksのセキュリティデバイスで次の変換が実行されています。
trustゾーンのプライベートアドレス192.168.1.200を持つデバイスがuntrustゾーンの任意のアドレスに送信したパケット内の送信元IPアドレスは、203.0.113.10から203.0.113.14の範囲のパブリックアドレスに変換されます。
trustゾーンからuntrustゾーンに送信されたパケットのIP アドレス203.0.113.100/32は、アドレス10.1.1.200/32に変換されます。
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.10 から 203.0.113.14 を含む送信元NAT プール
src-nat-pool-1。送信元NAT ルール
rs1をルールr1で設定して、trustゾーンからuntrustゾーンへのパケットを照合します。一致するパケットの場合、送信元アドレスはsrc-nat-pool-1プール内のIPアドレスに変換されます。IP アドレス 10.1.1.200/32 を含む宛先NAT プール
dst-nat-pool-1。宛先NAT ルール、trustゾーンからのパケットをIP アドレス203.0.113.100と一致させるルール
r1でrs1に設定されます。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のIPアドレスに変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.10 から 203.0.113.14 および 203.0.113.100/32 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
untrustゾーンからtrustゾーン内の変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.10/32 to 203.0.113.14/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat destination pool dst-nat-pool-1 address 10.1.1.200/32 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.100/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.10/32 to 203.0.113.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.100/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security address-book global address dst-nat-pool-1 10.1.1.200/32 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match destination-address dst-nat-pool-1 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
送信元と宛先のNAT変換を設定するには:
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.10 to 203.0.113.14
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスを送信元NAT プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 10.1.1.200/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
パケットを照合し、宛先アドレスを宛先 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.100/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.10 to 203.0.113.14 user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.100
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address dst-nat-pool-1 10.1.1.200/32
untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-1-access match source-address any destination-address dst-nat-pool-1 application any user@host# set policy dst-nat-pool-1-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.10/32 to 203.0.113.14/32;
}
}
rule-set rs1 {
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
destination {
pool dst-nat-pool-1 {
address 10.1.1.200/32;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.100/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.10/32 to 203.0.113.14/32;
203.0.113.100/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
}
policy internet-access {
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-1-access {
match {
source-address any;
destination-address dst-nat-pool-1;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
宛先 NAT プールの使用状況の確認
目的
宛先NAT プールからの IP アドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
送信元NATルールについて
送信元 NAT ルールでは、2 層の照合条件が指定されています。
トラフィック方向—
from interface、from zone、またはfrom routing-instanceと、to interface、to zone、またはto routing-instanceの組み合わせを指定できます。異なるルールセットに同じfromおよびtoコンテキストを設定することはできません。パケット情報—送信元および宛先の IP アドレスまたはサブネット、送信元ポート番号またはポート範囲、宛先ポート番号またはポート範囲、プロトコル、またはアプリケーションを使用できます。
FTP を除くすべての ALG トラフィックでは、 source-port ルール オプションを使用しないことをお勧めします。このオプションを使用すると、IP アドレスと送信元ポート値 (ランダムな値) がルールと一致しない可能性があるため、データ セッションの作成が失敗する可能性があります。
また、ALG トラフィックの一致条件として destination-port オプションや application オプションを使用しないことをお勧めします。これらのオプションを使用すると、アプリケーション ペイロードのポート値が IP アドレスのポート値と一致しない可能性があるため、変換が失敗する可能性があります。
一致条件で複数の送信元NATルールが重複する場合、最も具体的なルールが選択されます。例えば、ルールAとBで同じ送信元IPアドレスと宛先IPアドレスが指定されているが、ルールAがゾーン1からゾーン2へのトラフィックを指定し、ルールBがゾーン1からインターフェイスge-0/0/0へのトラフィックを指定している場合、ルールBを使用して送信元NATが実行されます。インターフェイスの一致は、ゾーンの一致よりも特定的であると見なされ、ゾーンの一致はルーティング インスタンスの一致よりもより特定的です。
送信元 NAT ルールに指定できるアクションは次のとおりです。
消灯 - 送信元 NAT を実行しません。
pool—指定されたユーザー定義のアドレスプールを使用して、送信元NATを実行します。
interface—エグレスインターフェイスのIPアドレスを使用して、ソースNATを実行します。
送信元 NAT ルールは、フローまたは ALG のファスト パスで処理される最初のパケットのトラフィックに適用されます。 送信元 NAT ルールは、静的 NAT ルール、宛先 NAT ルール、静的 NAT ルールのリバース マッピングの後、ルートとセキュリティ ポリシーのルックアップの後に処理されます。
ゾーンが rule-set で設定されておらず、アクティブな送信元 NAT が必須ステートメント「from」なしで設定されている場合、コミットの実行時に 「Missing mandatory statement: 'from' error: configuration check-out failed」 というメッセージが表示され、設定のチェックアウトに失敗します。
例:複数のルールを使用した送信元 NAT の設定
この例では、複数のルールを使用して送信元 NAT マッピングを設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図5では、trustゾーンからuntrustゾーンへのトラフィックのソースNATマッピングについて、Juniper Networksセキュリティデバイスで次の変換が実行されています。
10.1.1.0/24 および 10.1.2.0/24 サブネットによって untrust ゾーンの任意のアドレスに送信されたパケット内の送信元 IP アドレスは、ポート変換により 192.0.2.1 から 192.0.2.24 の範囲のパブリック アドレスに変換されます。
192.168.1.0/24サブネットによってuntrustゾーンの任意のアドレスに送信されたパケット内の送信元IPアドレスは、ポート変換なしで192.0.2.100から192.0.2.249の範囲のパブリックアドレスに変換されます。
192.168.1.250/32ホストデバイスから送信されたパケットの送信元IPアドレスは変換されません。
この例では、次の設定について説明します。
IP アドレス範囲 192.0.2.1 から 192.0.2.24 を含む送信元NAT プール
src-nat-pool-1。IP アドレス範囲 192.0.2.100 から 192.0.2.249 を含み、ポート アドレス変換が無効な送信元NAT プール
src-nat-pool-2。手記:ポート アドレス変換が無効になっている場合、
address-sharedオプションが有効になっていない限り、送信元NAT プールが同時にサポートできる変換の数は、プール内のアドレス数に制限されます。送信元 NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。オプションで、元の送信元 NAT プールに使用可能なアドレスがない場合に、IP アドレスとポート番号が割り当てられるオーバーフロー プールを指定できます。送信元NAT ルール
rs1を設定して、trustゾーンからuntrustゾーンへのパケットを照合します。ルール セットrs1には複数のルールが含まれています。ルール
r1、10.1.1.0/24 または 10.1.2.0/24 サブネットのいずれかの送信元 IP アドレスを持つパケットを照合します。一致するパケットの場合、送信元アドレスはsrc-nat-pool-1プール内のIPアドレスに変換されます。送信元 IP アドレスが 192.168.1.250/32 のパケットを照合するルール
r2。一致するパケットの場合、NAT 変換は実行されません。パケットを 192.168.1.0/24 サブネット内の送信元 IP アドレスと照合するルール
r3。一致するパケットの場合、送信元アドレスはsrc-nat-pool-2プール内のIPアドレスに変換されます。手記:トラフィックに一致するルールセット内の最初のルールが使用されるため、ルールセット内のルールの順序は重要です。したがって、特定の IP アドレスに一致するルール
r2は、デバイスが配置されているサブネットに一致するルールr3の前に配置する必要があります。
インターフェイス ge-0/0/0.0 上のアドレス 192.0.2.1 から 192.0.2.24 および 192.0.2.100 から 192.0.2.249 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
SRX4600デバイスで、ルール名またはプール名をインターフェイスまたはサービスセットとしてソースNAT ルールまたはプールを設定すると、次のエラーメッセージが表示されます: syntax error, expecting <data>。
interfaceという名前のソースNAT ルールがある場合、show security nat source rule interfaceコマンドを使用してルールを表示することはできません。service-setという名前のソースNAT ルールがある場合、show security nat source rule service-setコマンドを使用してルールを表示することはできません。interfaceという名前のソースNAT プールがある場合、show security nat source pool interfaceコマンドを使用してプールを表示することはできません。service-setという名前のソースNAT プールがある場合、show security nat source pool service-setコマンドを使用してプールを表示することはできません。interfaceという名前の送信元NAT プールがある場合、show security nat source paired-address pool-name interfaceコマンドを使用してペアアドレスを表示することはできません。service-setという名前の送信元NAT プールがある場合、show security nat source paired-address pool-name service-setコマンドを使用してペアアドレスを表示することはできません。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 192.0.2.1/32 to 192.0.2.24/32 set security nat source pool src-nat-pool-2 address 192.0.2.100/32 to 192.0.2.249/32 set security nat source pool src-nat-pool-2 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat source rule-set rs1 rule r2 match source-address 192.168.1.250/32 set security nat source rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r2 then source-nat off set security nat source rule-set rs1 rule r3 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.1/32 to 192.0.2.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.100/32 to 192.0.2.249/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
ルールセットで複数の送信元NATルールを設定するには、次の手順に従います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 192.0.2.1 to 192.0.2.24
ポート変換なしで送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-2 address 192.0.2.100 to 192.0.2.249 user@host# set pool src-nat-pool-2 port no-translation
手記:エグレスインターフェイスを使用して
src-nat-pool-2のオーバーフロープールを設定するには:[edit security nat source] user@host# set pool src-nat-pool-2 overflow-pool interface
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
送信元アドレスが変換されていないパケットを照合するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r2 match source-address 192.168.1.250/32 user@host# set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r2 then source-nat off
パケットを照合し、ポート変換なしで送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r3 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.1 to 192.0.2.24 user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.100 to 192.0.2.249
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
192.0.2.1/32 to 192.0.2.24/32;
}
}
pool src-nat-pool-2 {
address {
192.0.2.100/32 to 192.0.2.249/32;
}
port no-translation;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [ 10.1.1.0/24 10.1.2.0/24 ];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
rule r2 {
match {
source-address 192.168.1.250/32;
destination-address 0.0.0.0/0;
}
then {
source-nat {
off;
}
}
}
rule r3 {
match {
source-address 192.168.1.0/24;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-2;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
192.0.2.1/32 to 192.0.2.24/32;
192.0.2.100/32 to 192.0.2.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
送信元NATプールについて
NAT プールは、変換に使用されるユーザー定義の IP アドレスのセットです。一方向の IP アドレス変換と逆方向の送信元 IP アドレス変換を含む 1 対 1 のマッピングがある静的 NAT とは異なり、送信元 NAT では、元の送信元 IP アドレスをアドレス プール内の IP アドレスに変換します。
NAT(送信元ネットワークアドレス変換)アドレスプールの場合、以下を指定します。
送信元 NAT アドレス プールの名前。
最大 64 のアドレス範囲。
手記:1 つのルーティング インスタンス内で送信元 NAT、宛先 NAT、静的 NAT の NAT アドレスを重複させないでください。
ルーティングインスタンス—プールが属するルーティングインスタンス(デフォルトはメインの inet.0 ルーティング インスタンスです)。
Port :送信元プールのポート アドレス変換(PAT)。デフォルトでは、PAT は送信元 NAT で実行されます。 変換なし オプションを指定した場合、送信元 NAT プールがサポートできるホストの数は、プール内のアドレス数に制限されます。
block-allocationを指定すると、個々のポートが割り当てられるのではなく、ポートのブロックが変換に割り当てられます。deterministicを指定した場合、受信(送信元)IPアドレスとポートは、事前定義された決定論的NATアルゴリズムに基づいて、常に特定の宛先アドレスとポートブロックにマップされます。port-overloadingを指定すると、送信元NATでポート過負荷容量を設定できます。rangeを指定する場合は、プール内の各アドレスにアタッチされているポート番号の範囲と、送信元 NAT プールのツイン ポート範囲を指定できます。オーバーフロープール(オプション):指定された送信元NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。 ポートの非変換 オプションが設定されている場合にこのようなことが起こらないようにするには、オーバーフロー プールを指定します。元の送信元 NAT プールのアドレスが枯渇すると、IP アドレスとポート番号がオーバーフロー プールから割り当てられます。ユーザー定義のソースNAT プールまたはエグレスインターフェイスをオーバーフロープールとして使用できます。(オーバーフロー プールが使用される場合は、プール ID がアドレスと共に返されます。
IPアドレスシフト(オプション):IPアドレスをシフトすることで、元の送信元IPアドレスの範囲を別のIPアドレス範囲または単一のIPアドレスにマッピングできます。 host-address-base オプションには、元の送信元 IP アドレス範囲のベース アドレスを指定します。
アドレス共有(オプション)- 複数の内部 IP アドレスを同じ外部IPアドレスにマッピングできます。このオプションは、送信元 NAT プールがポート変換なしで設定されている場合にのみ使用できます。ソースNAT プールに使用可能な外部IPアドレスが少ない場合、または外部IPアドレスが1つしかない場合は、
address-sharedオプションを指定します。多対1マッピングでは、このオプションを使用するとNATリソースが増加し、トラフィックが増加します。アドレス プーリング(オプション):アドレス プーリングは、ペアまたはペアなしとして設定できます。1つの内部IPアドレスに関連付けられたすべてのセッションを、セッションの間、同じ外部IPアドレスにマッピングする必要があるアプリケーションの
address-pooling pairedを指定します。これは、毎回同じ内部アドレスを同じ外部アドレスに変換するpersistent-addressオプションとは異なります。ラウンドロビン方式でIPアドレスを割り当てることができるアプリケーションのaddress-pooling no-pairedを指定します。PAT のある送信元NAT プールにaddress-pooling pairedまたはaddress-pooling no-pairedが設定されている場合、永続アドレス オプションは無効になります。PAT のない送信元NAT プールでaddress-sharedが設定されている場合、persistent-addressオプションが有効になります。PAT を使用しなくても、address-sharedとaddress-pooling pairedの両方を同じ送信元NAT プールに設定できます。プール使用率アラーム(オプション):送信元 NAT に raise-threshold オプションが設定されている場合、送信元 NAT プールの使用率がこのしきい値を超えると SNMP トラップがトリガーされます。オプションの clear-threshold オプションが設定されている場合、送信元NAT プールの使用率がこのしきい値を下回ると、SNMPトラップがトリガーされます。 clear-threshold が設定されていない場合、デフォルトでは raise-threshold 値の80%に設定されます。
コマンドを show security nat resource usage source pool 使用して、PAT を使用しない送信元 NAT プールでのアドレス使用を表示し、PAT を使用した送信元 NAT プールでのポート使用を表示できます。
送信元NATプール容量について
SRX300、SRX320、SRX340、SRX345、SRX650デバイスのソースプールとIPアドレスの最大容量は次のとおりです。
プール/PAT 最大アドレス容量 |
SRX300SRX320 |
SRX340SRX345 |
SRX650 |
|---|---|---|---|
送信元NATプール |
1024 |
2048 |
1024 |
ポート変換をサポートするIPアドレス |
1024 |
2048 |
1024 |
PAT ポート番号 |
64百万 |
64百万 |
64百万 |
SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX5400、SRX5600、およびSRX5800デバイス上のソースプールとIPアドレスの最大容量は次のとおりです。
プール/PAT 最大アドレス容量 |
SRX1400SRX1500 |
SRX3400SRX3600 |
SRX4100SRX4200 |
SRX5400SRX5600SRX5800 |
|---|---|---|---|---|
送信元NATプール |
8192 |
10,240 |
10,240 |
12,288 |
ポート変換をサポートするIPアドレス |
8192 |
12,288 |
12,288 |
1M |
PAT ポート番号 |
256メートル |
3億84百万 |
3億84百万 |
3億84百万 |
リリース 12.3X48-D40、およびリリース 15.1X49-D60 以降のリリースでは、サポートされている [edit security nat source] 階層レベルで port-scaling-enlargement ステートメントを使用して、次世代サービス処理カード(SPC)を搭載した SRX5400、SRX5600、および SRX5800 デバイスで送信元 NAT ポート容量を 2.4G に増やすことができます。
プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。
設定内のプール数を増やすか、プールあたりの容量や IP アドレス数を増やすことによって、送信元 NAT に使用される IP アドレスの総数を増やすと、ポートの割り当てに必要なメモリが消費されます。送信元 NAT プールと IP アドレスの制限に達した場合は、ポート範囲を再割り当てする必要があります。つまり、IPアドレスと送信元NATプールの数が増える場合は、各IPアドレスのポート数を減らす必要があります。これにより、NAT がメモリを過剰に消費することがなくなります。
たとえば、SRX5000 デバイスの送信元NAT プールで、ポート変換をサポートする IP アドレスの数が制限の 1M に達すると、PAT ポートの総数は 64G になり、384M の制限を超えます。これは、各 IP アドレスがデフォルトで 64,512 ポートをサポートするためです。PAT ポート番号が容量内に収められるようにするには、各 IP のポート範囲を設定して、PAT ポートの総数を減らす必要があります。
[edit security nat source pool port]階層レベルで range オプションと range twin-port オプションを使用して、特定のプールに新しいポート範囲またはツイン ポート範囲を割り当てます。[edit security nat source] 階層レベルで pool-default-port-range および pool-default-twin-port-range オプションを使用して、すべての送信元 NAT プールのグローバルなデフォルト ポート範囲またはツイン ポート範囲を指定します。
送信元NATプールが増加した場合、ポート過負荷の設定も慎重に行う必要があります。
PAT の範囲(63,488 〜 65,535)の送信元プールの場合、SIP、H.323、RTSP などの RTP/RTCP アプリケーション用に一度に 2 つのポートが割り当てられます。これらのシナリオでは、各IPアドレスはPATをサポートし、ALGモジュールで使用するために2048ポート(63,488〜65,535)を占有します。
送信元 NAT プールの永続アドレスについて
デフォルトでは、ポートアドレス変換は送信元NATで実行されます。ただし、同じホストから発信された別のトラフィックに対して、元の送信元アドレスを同じIPアドレスに変換することはできません。送信元NAT address-persistent オプションを使用すると、複数の同時セッションに対して、送信元NAT プールから特定のホストに同じIPアドレスが割り当てられます。
このオプションは、内部アドレスが先着順でプール内の外部アドレスにマッピングされ、セッションごとに異なる外部アドレスにマッピングされる可能性があるアドレスプールペアオプションとは異なります。
例:PAT を使用した送信元 NAT プールの容量の設定
この例では、デフォルトのポート範囲が設定されていない場合、またはデフォルト ポート範囲をオーバーライドする場合に、ポート アドレス変換(PAT)を使用して送信元 NAT プールの容量を設定する方法について説明します。変換はIPアドレスごとに設定されます。ソース プールが増加したときに、現在のポート番号が制限を超える場合は、ポートを再割り当てする必要があります。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、IP アドレスごとに 32,000 個のポートを持つ 2048 個の IP アドレスの PAT プールを設定する方法を示します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
[edit security nat source] set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32 set pool-default-port-range 2001 set pool-default-port-range to 32720
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用して送信元 NAT プールの容量を設定するには、次の手順に従います。
PAT と IP アドレス範囲を使用して、送信元 NAT プールを指定します。
[edit security nat source] user@host# set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 user@host#set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32
ソース プールの既定のポート範囲を指定します。
[edit security nat source] user@host# set pool-default-port-range 2001 user@host# set pool-default-port-range to 32720
業績
設定モードから、 show security nat-source-summary コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host> run show security nat source summary Total port number usage for port translation pool: 16515072 Maximum port number for port translation pool: 134217728 Total pools: 1 Pool Address Routing PAT Total Name Range Instance Address pool2 203.0.113.1 - 203.0.113.3 default yes 2048 Name Range Instance Address pool1 198.51.100.0 - 198.51.100.255 default yes 256 Total rules: 1 Rule name Rule set From To Action rule 1 ruleset1 ge-2/2/2.0 ge-2/2/3.0 pool1 rule 1 ge-2/2/4.0 ge-2/2/5.0
デバイスの設定が完了したら、設定モードから commit を入力します。
アドレス プーリングによる送信元 NAT プールについて
ホストが NAT を必要とするポリシーに一致する複数のセッションを開始し、ポート アドレス変換が有効になっている送信元プールから IP アドレスが割り当てられると、セッションごとに異なる送信元 IP アドレスが使用されます。
アプリケーションによっては、セッションごとに同じ送信元 IP アドレスを必要とするものがあるため、 address-pooling paired 機能を使用して、1 つの内部 IP アドレスに関連付けられているすべてのセッションを、セッション期間中同じ外部IPアドレスにマッピングできます。セッションが終了すると、内部 IP アドレスと外部IPアドレス間のマッピングは停止します。次回ホストがセッションを開始すると、プールの別のIPアドレスが割り当てられる場合があります。
これは、マッピングを静的に保つソースNAT address-persistent 機能とは異なり、毎回同じ内部IPアドレスが同じ外部IPアドレスにマッピングされます。また、 address-persistent 機能とは異なり、 address-pooling paired は特定のプールに対して構成されます。 address-persistent 機能は、すべてのソース・プールに適用されるグローバル構成です。
アドレスシフトによる送信元NATプールの理解
送信元 NAT ルール セットの一致条件では、アドレス範囲を指定することはできません。ルールで指定できるのは、アドレス プレフィックスのみです。送信元NAT プールを設定する場合、 host-base-address オプションを指定できます。このオプションは、元の送信元 IP アドレス範囲が始まる IP アドレスを指定します。
変換される元の送信元IPアドレスの範囲は、送信元NAT プール内のアドレス数によって決まります。たとえば、送信元 NAT プールに 10 個の IP アドレスの範囲が含まれている場合、指定されたベース アドレスから始めて、最大 10 個の元の送信元 IP アドレスを変換できます。このタイプの変換は、1 対 1、静的で、ポート アドレス変換なしです。
送信元 NAT ルールの一致条件で定義されるアドレス範囲は、送信元 NAT プールで指定されているアドレス範囲よりも広い場合があります。たとえば、一致条件で 256 個のアドレスを含むアドレス プレフィックスが指定されていても、送信元 NAT プールには数個の IP アドレスのみ、または 1 つの IP アドレスのみが含まれる場合があります。パケットの送信元 IP アドレスは送信元 NAT ルールに一致できますが、送信元 IP アドレスが送信元 NAT プールで指定されたアドレス範囲内にない場合、送信元 IP アドレスは変換されません。
例:アドレス シフトを使用した送信元 NAT プールの設定
この例では、オプションのアドレスシフトを使用して、プライベートアドレス範囲からパブリックアドレスへのソースNATマッピングを構成する方法を説明します。このマッピングは、元の送信元 IP アドレスと変換された IP アドレスの間で 1 対 1 で行われます。
送信元 NAT ルール セットの一致条件では、アドレス範囲を指定することはできません。ルールで指定できるのは、アドレス プレフィックスのみです。送信元NAT プールを設定する場合、 host-base-address オプションを指定できます。このオプションは、元の送信元IPアドレス範囲が始まるIPアドレスを指定し、ポート変換を無効にします。
変換される元の送信元IPアドレスの範囲は、送信元NAT プール内のアドレス数によって決まります。たとえば、送信元 NAT プールに 10 個の IP アドレスの範囲が含まれている場合、指定されたベース アドレスから始めて、最大 10 個の元の送信元 IP アドレスを変換できます。
送信元 NAT ルールの一致条件で定義されるアドレス範囲は、送信元 NAT プールで指定されているアドレス範囲よりも広い場合があります。たとえば、一致条件で 256 個のアドレスを含むアドレス プレフィックスが指定されていても、送信元 NAT プールには 10 個の IP アドレスのみが含まれる範囲が含まれている場合があります。パケットの送信元 IP アドレスは送信元 NAT ルールに一致できますが、送信元 IP アドレスが送信元 NAT プールで指定されたアドレス範囲内にない場合、送信元 IP アドレスは変換されません。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 6 では、trust ゾーンのプライベート アドレスの範囲が、untrust ゾーンのパブリック アドレスの範囲にマップされています。trustゾーンからuntrustゾーンに送信されたパケットの場合、192.168.1.10/32〜192.168.1.20/32の範囲の送信元IPアドレスは、203.0.113.30/32〜203.0.113.40/32の範囲のパブリックアドレスに変換されます。
を使用したソース NAT
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.30/32 から 203.0.113.40/32 を含む送信元NAT プール
src-nat-pool-1。このプールでは、元の送信元 IP アドレス範囲の先頭は 192.168.1.10/32 で、host-address-baseオプションで指定されます。送信元NAT ルールルール
r1で設定されたrs1で、trustゾーンからuntrustゾーンへのパケットを、192.168.1.0/24サブネット内の送信元IPアドレスと照合します。src-nat-pool-1設定で指定された送信元IPアドレス範囲内にある一致するパケットの場合、送信元アドレスはプール内のIPアドレスに変換されsrc-nat-pool-1。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.30/32 から 203.0.113.40/32 までのプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したそのアドレスの ARP 要求に応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32 set security nat source pool src-nat-pool-1 host-address-base 192.168.1.10/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
アドレスシフトを使用して送信元NATマッピングを設定するには、次の手順に従います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32
元の送信元 IP アドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-pool-1 host-address-base 192.168.1.10/32
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.30/32 to 203.0.113.40/32;
}
host-address-base 192.168.1.10/32;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 192.168.1.0/24;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.30/32 to 203.0.113.40/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
PAT を使用した送信元 NAT プールについて
Junos OS は、ポート アドレス変換(PAT)を備えた送信元プールを使用して、送信元 IP アドレスとパケットのポート番号の両方を変換します。PAT を使用すると、複数のホストが同じ IP アドレスを共有できます。
Junos OSは、どのセッションがどのホストに属しているかを区別するために、割り当てられたポート番号のリストを保持します。PAT を有効にすると、最大 63,488 台のホストが 1 つの IP アドレスを共有できます。各ソース プールには、複数の IP アドレス、複数の IP アドレス範囲、またはその両方を含めることができます。PAT を使用するソース プールの場合、ソース プールまたは Junos OS で永続アドレス機能またはペア アドレス プーリング機能が有効になっていない限り、Junos OS は同時セッションごとに 1 つのホストに異なるアドレスを割り当てることができます。
インターフェイス ソース プールと PAT を使用したソース プールの場合、IP アドレスごとのポート番号マッピングに範囲(1024、65535)を使用できます。範囲内(1024, 63487)では、一度に 1 つのポートが割り当てられ、合計で 62,464 ポートになります。範囲(63488、65535)では、SIP、H.323、RTSPなどのRTP/RTCPアプリケーションに一度に2つのポートが割り当てられ、合計2,048ポートになります。
ネットワーク アドレス変換を必要とするポリシーに一致する複数のセッションをホストが開始し、PAT が有効になっている送信元プールからアドレスが割り当てられると、デバイスはセッションごとに異なる送信元 IP アドレスを割り当てます。このようなランダムなアドレス割り当ては、各セッションに同じ送信元 IP アドレスを必要とする複数のセッションを作成するサービスでは問題が発生する可能性があります。たとえば、AOL インスタント メッセージ (AIM) クライアントを使用する場合は、複数のセッションで同じ IP アドレスを使用することが重要です。
ルーターが複数の同時セッションに対してソースプールからホストに同じIPアドレスを割り当てるようにするには、ルーターごとに永続的IPアドレスを有効にします。1 つのセッションの間、デバイスがソース プールからホストに同じ IP アドレスを割り当てるようにするには、ペア アドレス プーリングを有効にします。
例:PAT を使用した複数アドレスの送信元 NAT の設定
この例では、ポートアドレス変換を使用して、プライベートアドレスブロックの小さなパブリックアドレスブロックへのソースNATマッピングを設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図7では、trustゾーンからuntrustゾーンに送信されたパケット内の送信元IPアドレスは、203.0.113.1/32から203.0.113.24/32の範囲のパブリックアドレスの小さなブロックにマッピングされています。送信元 NAT アドレス プールのサイズは、変換が必要となる可能性のある潜在的なアドレスの数よりも小さいため、ポート アドレス変換が使用されます。
ポート アドレス変換には、送信元 IP アドレス マッピングを含む送信元ポート番号が含まれます。これにより、プライベート ネットワーク上の複数のアドレスを少数のパブリック IP アドレスにマップできます。ポート アドレス変換は、送信元 NAT プールに対してデフォルトで有効になっています。
を使用した送信元 NAT 複数アドレス
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.1/32 から 203.0.113.24/32 を含む送信元NAT プール
src-nat-pool-1。送信元NAT ルール
rs1が、trustゾーンからuntrustゾーンへのすべてのパケットに一致するように設定されています。一致するパケットの場合、送信元IPアドレスはsrc-nat-pool-1プール内のIPアドレスに変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.1/32 から 203.0.113.24/32 までのプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用して、プライベート アドレス ブロックからより小さいパブリック アドレス ブロックへの送信元 NAT マッピングを構成するには、次の手順に従います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
PAT を使用しない送信元 NAT プールについて
ソース プールを定義すると、Junos OS はデフォルトで PAT を有効にします。PAT を無効にするには、ソース プールを定義するときにポート変換を指定しないようにする必要があります。
PAT なしでソース プールを使用する場合、Junos OS は送信元ポート番号に対して PAT を実行せずに、IP アドレスのソース ネットワークアドレス変換を実行します。特定の送信元ポート番号を固定しておく必要があるアプリケーションの場合は、PAT を使用しないソース プールを使用する必要があります。
ソース プールには、複数の IP アドレス、複数の IP アドレス範囲、またはその両方を含めることができます。PAT なしのソース プールでは、address-pooling no-paired オプションが有効になっていない限り、Junos OS はすべての同時セッションに対して 1 つの変換された送信元アドレスを同じホストに割り当てます。
PAT を使用しない送信元 NAT プールがサポートできるホストの数は、プール内のアドレス数に制限されます。1 つの IP アドレスを持つプールがある場合、サポートできるホストは 1 つだけであり、使用可能なリソースがないため、他のホストからのトラフィックはブロックされます。シャーシ クラスタでNATリソース割り当てがアクティブバックアップ モードでないときに、PATなしでソースNAT プールに単一のIPアドレスを設定すると、ノード1を経由するトラフィックがブロックされます。
PAT を使用しない各ソース プールのプール使用率が計算されます。アラームしきい値を設定することで、プール使用率アラームをオンにできます。SNMP トラップは、プールの使用率がしきい値を超えてしきい値を下回るたびにトリガーされます。
静的 NAT ルールが 1 対 1 の IP 変換用である場合、アドレス共有なしの送信元 no-pat プールを使用する場合は、ルールを宛先ルールと送信元ルールに分割しないでください。ルールを分割することを選択した場合は、1 つの IP を持つソース pat-pool または複数の IP を持つソース no-pat プールを使用する必要があります。
例:PAT を使用しない送信元 NAT プールでの単一 IP アドレスの設定
この例では、ポート アドレス変換を使用せずに、送信元 NAT プール内の単一のパブリック アドレスにプライベート アドレス ブロックを構成する方法を説明します。
PAT は、送信元 NAT プールに対してデフォルトで有効になっています。PAT が無効になっている場合、送信元 NAT プールが同時にサポートできる変換の数は、プール内のアドレス数に制限されます。送信元 NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。ただし、 address-shared オプションを使用すると、トラフィックが異なるソース・ポートからのものであるかぎり、複数のプライベートIPアドレスを1つのパブリックIPアドレスにマップできます。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。trustゾーンからuntrustゾーンに送信されたパケットの送信元IPアドレスは、単一のパブリックアドレスにマッピングされます。
この例では、次の設定について説明します。
IP アドレス 203.0.113.1/30 を含む送信元NAT プール
src-nat-pool-1。プールにport no-translationオプションとaddress sharedオプションが指定されている。送信元NAT ルール
rs1が、trustゾーンからuntrustゾーンへのすべてのパケットを照合するように設定されています。一致するパケットの場合、送信元IPアドレスはsrc-nat-pool-1プール内のIPアドレスに変換されます。trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/30 set security nat source pool src-nat-pool-1 port no-translation set security nat source pool-src-nat-pool-1 address-shared set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule1 match source address 192.0.2.0/24 set security nat source rule-set rs1 rule r1 then source src-nat-pool-1
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用せずに、プライベート アドレス ブロックから 1 つのパブリック アドレスへの送信元 NAT マッピングを構成するには、次の手順に従います。
共有アドレス用に 1 つの IP アドレスを持つ送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1/30
port no-translationオプションを指定します。[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
address-sharedオプションを指定します。[edit security nat source] user@host# set pool pool-src-nat-pool-1 address-shared
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.0.2.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat source pool コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/30
}
port no-translation;
}
address-shared;
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [192.0.2.0/24]
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
共有アドレスの検証
目的
送信元ポートの異なる 2 つの内部 IP アドレスが 1 つの外部IPアドレスを共有していることを確認します。
アクション
動作モードから、 show security nat source pool コマンドを入力します。[ アドレスの割り当て ] フィールドを表示して、共有されていることを確認します。
例:PAT を使用しない送信元 NAT プール内の複数アドレスの設定
この例では、ポートアドレス変換を行わずに、プライベートアドレスブロックの小さなパブリックアドレスブロックへのソースNATマッピングを設定する方法を説明します。
ポート アドレス変換は、送信元 NAT プールに対してデフォルトで有効になっています。ポート アドレス変換が無効になっている場合、送信元 NAT プールが同時にサポートできる変換の数は、プール内のアドレス数に制限されます。送信元 NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。オプションで、元の送信元 NAT プールに使用可能なアドレスがない場合に、IP アドレスとポート番号が割り当てられるオーバーフロー プールを指定できます。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図8では、trustゾーンからuntrustゾーンに送信されたパケットの送信元IPアドレスは、203.0.113.1/32から203.0.113.24/32の範囲のパブリックアドレスの小さなブロックにマッピングされています。
を使用しない送信元 NAT 複数アドレス
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.1/32 から 203.0.113.24/32 を含む送信元NAT プール
src-nat-pool-1。プールにport no-translationオプションが指定されています。送信元NAT ルールは、trustゾーンからuntrustゾーンへのすべてのパケットを照合するように
rs1に設定されています。一致するパケットの場合、送信元IPアドレスはsrc-nat-pool-1プール内のIPアドレスに変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.1/32 から 203.0.113.24/32 までのプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source pool src-nat-pool-1 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用しないプライベート アドレス ブロックからより小さいパブリック アドレス ブロックへの送信元 NAT マッピングを設定するには、次の手順に従います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
port no-translationオプションを指定します。[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
port no-translation;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
NAT セッションの永続性について
ネットワークアドレス変換(NAT)セッション永続性は、NAT設定に変更があった場合に、既存のセッションをクリアするのではなく、保持する手段を提供します。セッション永続性が有効になっている場合、保持されたセッションは、影響を受けるセッションを再構築するために時間とリソースが最適に使用される間、引き続きパケットの処理と転送を行います。そのため、一部またはすべてのセッションでNAT設定が変更されても、パケット転送は停止しません。
Junos OS リリース 18.3R1 以降では、NAT セッション永続性のサポートにより、パケット転送エンジンはセッションをスキャンし、セッションを保持するか、セッションをクリアするかを決定します。Junos OS リリース 18.3R1 より前のリリースでは、NAT 設定に変更があった場合、NAT セッションはクリアされます。
パケット転送エンジンは、次の2種類のスキャンを実行して、セッションを保持するかドロップするかを決定します。
Source NAT pool session persistence scan—パケット転送エンジンは、既存のセッションIPアドレスと送信元プールのアドレス範囲を比較します。既存のセッション IP アドレスが指定された送信元プールのアドレス範囲内にある場合、セッションは維持され、それ以外の場合はセッションがクリアされます。
Source NAT rule session persistence scan—パケット転送エンジンはルールIDを使用して、古い設定と新しい設定間で送信元IPアドレス、送信元ポート、IP アドレス、および宛先ポートを比較します。新しい設定と古い設定が同じ場合、セッションは維持され、そうでない場合はセッションがクリアされます。
NAT セッションの永続性は、静的 NAT および宛先 NAT ではサポートされていません。
PAT プールが Address Persistent、Address Pooling Paired、Source Address-Persistent、Port Block Allocation、Port Deterministic、Persistent NAT、Port Overloading Factor フィールドで設定されている場合、NAT セッションの永続性はサポートされません。
NAT セッションの永続性は、以下のシナリオの送信元 NAT でのみサポートされます。
送信元プール—ポート アドレス変換(PAT)プール内のアドレス範囲の変更。
送信元ルール—アドレス帳、アプリケーション、IP アドレス、宛先ポート、送信元IPアドレス、宛先ポート情報の一致条件の変更。
NAT セッション永続性スキャンを有効にするには、[edit security nat source] 階層レベルで session-persistence-scan ステートメントを含めます。
また、 set security nat source session-drop-hold-down CLI コマンドを使用して、指定した期間セッションを保持するようにタイムアウト値を設定することもできます。 session-drop-hold-down オプションの値の範囲は、30 秒から 28,800 秒 (8 時間) です。セッションは、設定されたタイムアウト期間が経過すると期限切れになります。
NAT セッション永続性の制限
NAT ソース プール内の IP アドレスが変更されると、新しく設定された IP アドレスが NAT ソース プールに追加されます。NAT ソース プールを再構築した後、新しい IP アドレスは既存の IP アドレスと同じではありません。NAT ソース プール内の IP アドレスの違いは、NAT ソース プールから IP アドレスを選択するラウンドロビン モードに影響します。
スキャン・タイプがタイムアウトしないセッション (つまり、
session-drop-hold-down値が構成されていないか、8 時間として構成されているセッション) を識別する場合、パケット転送エンジンはそれらのセッションを無視し、セッションは保持されます。
ポートブロック割り当てサイズの設定
開始する前に、以下を実行します。
ポートブロック割り当ての設定に関するガイドラインを理解します。 セキュアなポートブロック割り当ての設定に関するガイドラインをお読みください。
NAT加入者にポートのブロックを割り当てる、セキュアポートブロック割り当てを設定できます。ポートブロックの割り当てでは、加入者に割り当てられたポートのセットごとに 1 つの syslog ログが生成されます。ポートブロック割り当てサイズを設定するには、この手順を使用します。
NAT セッション保留タイムアウトと NAT セッション永続性スキャンの設定
この設定では、NAT セッションの保留タイムアウトと NAT セッションの持続性を設定する方法を示します。
Configuring NAT Session Hold Timeout
以下の設定は、NAT セッションの保留タイムアウトを設定する方法を示しています。
NAT セッション保留タイムアウト期間を設定するには、次の手順に従います。
[edit security nat source] user@host#
set session-drop-hold-down time;時間変数の値の範囲は 30 秒から 28,800 秒 (8 時間) です。セッションは、設定されたタイムアウト期間が経過すると期限切れになります。
Results
設定モードから、 show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
nat {
source {
session-drop-hold-down 28800;
}
}
Configuring NAT Session Persistence Scan
次の構成は、NAT セッション永続性スキャンを構成する方法を示しています。
NAT セッション永続性スキャンを有効にするには、次のようにします。
[edit security nat source] user@host#
set session-persistence-scan
Results
設定モードから、 show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
nat {
source {
session-persistence-scan;
}
}
NAT設定の理解 再ルート後のエグレスインターフェイスのチェック
ネットワークアドレス変換(NAT)の設定は、より多くのユーザーに対応するため、またトラフィック転送の最短ルートを強化するために頻繁に変更されます。トラフィックの再ルーティングによりエグレス インターフェイスが変更された場合、 set security flow enable-reroute-uniform-link-check nat コマンドを使用して既存の NAT 設定とルールを保持できます。
enable-reroute-uniform-link-check nat コマンドが有効な場合:
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンにあり、一致したNAT ルールに変更がない場合、または再ルーティングの前後にルールが適用されていない場合、セッションは既存のNAT ルールで保持されます。
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンにあり、一致したNAT ルールが変更された場合、セッションは期限切れになります。
enable-reroute-uniform-link-check nat コマンドが無効になっている場合:
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンにある場合、トラフィックは新しいエグレスインターフェイスに転送されます。
Configuration
再ルーティングによりエグレスインターフェイスが変更された場合に、既存のセッションでNAT設定を有効にするには、次のコマンドを使用します。
[edit] user@host# set security flow enable-reroute-uniform-link-check nat設定変更をコミットすると、新しい設定が適用されます。
enable-reroute-uniform-link-check nat commandはデフォルトで無効になっています。
Limitations
set security flow enable-reroute-uniform-link-check nat コマンドを使用して NAT 設定を保持する場合、以下の制限があります。
TCP同期では、新しいセッションはトラフィックを転送できません。新しいセッションでのトラフィックの転送を許可するには、TCP同期を無効にする必要があります。
通信を初期化するためのスリーウェイ ハンドシェイクの後に再ルートが開始されると、パケット情報が失われる可能性があります。新しいセッションでのトラフィックの転送を許可するには、アプリケーション層ゲートウェイ(ALG)などのJunos OSサービスフレームワーク(JSF)を無効にする必要があります。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
edit security nat source] 階層レベルで
port-scaling-enlargement ステートメントを使用して、送信元 NAT ポート容量を 2.4G に増やすことができます