このページの目次
ソースNAT
ソースNATは、プライベートIPアドレスをパブリックルーティング可能なアドレスに変換してホストと通信するために最も一般的に使用されます。送信元NATは、ルーターを通過するパケットの送信元アドレスを変更します。NAT プールは、クライアント IP アドレスの代わりとして設計されたアドレスのセットです。詳細については、次のトピックを参照してください。
ソースNATについて
送信元NATは、ジュニパーネットワークスのデバイスから送信されるパケットの送信元IPアドレスの変換です。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
送信元 NAT では、プライベート ネットワークからインターネットなど、発信ネットワーク接続に対してのみ接続を開始できます。ソースNATは、通常、次の変換を実行するために使用されます。
1 つの IP アドレスを別のアドレスに変換します (たとえば、プライベート ネットワーク内の 1 つのデバイスにインターネットへのアクセスを提供する場合など)。
連続したアドレス ブロックを、同じサイズの別のアドレス ブロックに変換します。
連続したアドレス ブロックを、小さいサイズの別のアドレス ブロックに変換します。
ポート変換を使用して、連続したアドレス ブロックを単一の IP アドレスまたはより小さなアドレス ブロックに変換します。
連続したアドレスブロックをエグレスインターフェイスのアドレスに変換します。
エグレスインターフェイスのアドレスへの変換には、アドレスプールは必要ありません。その他のすべての送信元NAT変換では、アドレスプールの設定が必要です。同じサイズのアドレス ブロックの 1 対 1 および多対多の変換では、変換されるすべてのアドレスに対して使用可能なアドレスがプール内にあるため、ポート変換は必要ありません。
アドレス プールのサイズが変換されるアドレスの数よりも小さい場合、変換できる同時アドレスの総数がアドレス プールのサイズによって制限されるか、ポート変換を使用する必要があります。例えば、253 個のアドレスのブロックが 10 個のアドレスのアドレス プールに変換される場合、ポート変換を使用しない限り、最大 10 個のデバイスを同時に接続できます。
以下のタイプの送信元NATがサポートされています。
元の送信元IPアドレスをエグレスインターフェイスのIPアドレスに変換する(インターフェイスNATとも呼ばれる)。ポート アドレス変換は常に実行されます。
元の送信元 IP アドレスをユーザー定義のアドレス プールから IP アドレスに変換し、ポート アドレス変換を行わない。元の送信元 IP アドレスと変換された送信元 IP アドレスの間の関連付けは動的です。ただし、アソシエーションが存在すると、同じNATルールに一致する新しいトラフィックに対して、同じ元の送信元IPアドレスに同じアソシエーションが使用されます。
元の送信元 IP アドレスからユーザー定義のアドレス プールから IP アドレスへの変換と、ポート アドレス変換を使用する。元の送信元 IP アドレスと変換された送信元 IP アドレスの間の関連付けは動的です。アソシエーションが存在する場合でも、同じNATルールに一致する新しいトラフィックに対して、同じ元の送信元IPアドレスが別のアドレスに変換されることがあります。
IP アドレスをシフトすることによって、元の送信元 IP アドレスをユーザー定義アドレス プールから IP アドレスに変換する。このタイプの変換は 1 対 1 で静的で、ポート アドレス変換は含まれません。元の送信元 IP アドレス範囲がユーザー定義プールの IP アドレス範囲より大きい場合、未変換のパケットは破棄されます。
NAT のセントラル ポイント アーキテクチャの機能強化について
システム セッションの容量とセッション ランプアップ レートは、中央ポイントのメモリ容量と CPU 容量によって制限されます。Junos OSリリース15.1X49-D30およびJunos OSリリース17.3R1以降、NATの中央ポイントアーキテクチャが強化され、SRX5000回線のシステムセッション容量とセッションランプアップレートが向上しました。したがって、中央点のワークロードを削減して、セッション容量を増やし、より多くのセッションをサポートして、より高い接続数/秒(CPS)を実現します。Junos OS リリース 17.4R1 以降、SPC 数が 4 を超える場合、セントラル ポイント アーキテクチャで処理されるソース NAT リソースが SPU にオフロードされ、リソース割り当てがより効率的になりました。次の一覧では、パフォーマンスを向上させるための NAT の機能強化について説明します。
中心点アーキテクチャは、中心点セッションをサポートしなくなりました。そのため、NAT では、IP アドレスまたはポートの割り当てと使用状況を追跡するために、NAT トラッカーを維持する必要があります。NAT トラッカーは、NAT リソースの管理に使用される SPU セッション ID から NAT IP またはポート マッピングへのグローバル配列です。
デフォルトでは、NAT ルール アラームとトラップ統計カウンターの更新メッセージは、中央ポイント システムの各セッション トリガーに基づいて統計を更新する代わりに、サービス処理ユニット(SPU)から 1 秒間隔で中央ポイントに送信されます。
NAT 後の 5 タプル ハッシュが NAT 前の元の 5 タプル ハッシュと同じになるように割り当てられた特定の NAT IP アドレスまたはポートをサポートするには、特定の計算によって元のハッシュと同じハッシュになる NAT ポートを選択します。そのため、転送セッションは減少します。NAT を使用すると、リバース ウィングは別の SPU にハッシュされます。リバーストラフィックをセッション SPU に転送するには、転送セッションをインストールする必要があります。NAT は、ハッシュ アルゴリズムで使用できるポートを選択して、リバース ウィングを最初のウィングと同じ SPU にハッシュしようとします。そのため、このアプローチではNATのパフォーマンスとスループットの両方が向上します。
NAT のパフォーマンスを向上させるために、IP シフト プール(非 PAT プール)の管理は中央ポイントから SPU に移動し、NAT 要求を中央ポイントに送信するのではなく、そのプールのすべてのローカル NAT リソースがローカルで管理されるようになります。そのため、IPアドレスをシフトするNATプール接続数/秒やスループットが向上します。
ポートオーバーフローバーストモード
ポートオーバーフローバーストモードでは、割り当てられたポートブロックを超えてポートを使用できます。IP アドレスのポート範囲を持つバースト プールを、バースト用に予約するように設定できます。
プライマリ プールとバースト プールのタイプがあり、加入者がプライマリ プールで設定された制限に達すると、デバイスはバースト プールを使用します。
ブラストモードは以下でサポートされています。
PBA タイプのバースト プールを使用した決定論的 NAT 送信元 NAT プール。
動的ネットワーク アドレス ポート変換(NAPT)タイプのバースト プールを使用した決定論的 NAT 送信元 NAT プール。
PBA タイプのバースト プールを使用した通常の PBA ソース NAT プール。
動的 NAPT タイプのバースト プールを使用した通常の PBA ソース NAT プール。
| NAT タイプ |
構成されたポート ブロック制限を超えない前に |
構成されたポート ブロック制限を超えた後は、次の条件を満たしません。 |
|---|---|---|
| PBAタイプのバーストプールを使用した決定論的NAT送信元NATプール |
プライマリ DetNAT プールのポート ブロックが使用されます。 |
PBA で設定されたバースト プールからのポート ブロック。 |
| 動的ネットワーク アドレス ポート変換(NAPT)タイプのバースト プールを使用した決定論的 NAT 送信元 NAT プール |
プライマリ DetNAT プールのポート ブロックが使用されます。 |
動的 NAPT で設定されたバースト プールからのポート ブロック。 |
| 通常の PBA ソース NAT プールと PBA タイプのバースト プール |
プライマリ PBA プールのポート ブロックが使用されます。 |
PBA で設定されたバースト プールからのポート ブロック。 |
| 動的 NAPT タイプのバースト プールを使用した通常の PBA ソース NAT プール |
プライマリ PBA プールのポート ブロックが使用されます。 |
動的 NAPT で設定されたバースト プールからのポート ブロック。 |
PBAバーストタイプ方式:PBAはAPPおよび非APPモードの動作をサポートします。
-
APPモード:ポートはプライマリプールから割り当てられます。その後、加入者の上限がプライマリ プールから超過した場合、バースト プールの同じ IP アドレスに対して使用可能なポートがあれば、新しいセッションが作成されます。
-
非APPモード:ポートはプライマリプールから割り当てられます。加入者の上限がプライマリ プールから超過すると、使用可能な IP アドレスとポートを持つ新しいセッションがバースト プールから作成されます。
DetNAT バースト タイプ方式:ポートはプライマリ プールから割り当てられます。バースト プールの同じ IP アドレスまたは使用可能なすべてのポートが同じ IP アドレスから使用できない場合、新しいセッションは別の IP アドレスで作成されます。バースト プールがプライマリ プールとは異なる IP で構成されている場合、 はバースト プールの別の IP を使用します。
ソースNATパフォーマンスの最適化
ソースNATは、機能とパフォーマンスのニーズに基づいて最適化できます。
ポートランダム化モード(デフォルト)
プールベースのソースNATおよびインターフェイスNATの場合、ポートランダム化モードが有効になっており、デフォルトで使用されます。
このモードでは、デバイスはラウンドロビン方式で IP アドレスを選択し、ポートの選択はランダムです。つまり、デバイスがNAT変換を実行するとき、最初にラウンドロビンによってIPアドレスを選択し、次にランダム化によってそのIPアドレスに使用されるポートを選択します。
ランダムなポート番号の割り当ては、DNS 有害攻撃などのセキュリティ上の脅威からの保護を提供できますが、関連する計算と NAT テーブル リソースのために、パフォーマンスとメモリ使用量にも影響を与える可能性があります。
ラウンドロビンモード
リソースをあまり消費しないNAT変換方法では、ラウンドロビン割り当て方法のみを使用します。ランダム化では割り当てられたポートごとに計算作業が必要ですが、ラウンドロビン方式ではポートを順番に選択するだけです。
このモードでは、デバイスはラウンドロビン方式でIPアドレスとポートの両方を選択します。つまり、デバイスがNAT変換を実行するとき、まずラウンドロビンでIPアドレスを選択し、次にラウンドロビンでそのIPアドレスに使用するポートを選択します。
たとえば、ソース プールに IP アドレスが 1 つしか含まれていない場合:
フローの最初のパケットが到着すると(セッションを作成)、IP1、ポート N に変換されます。そのフローの後続のパケットは同じ IP/ポートに割り当てられます。
新しいフローの最初のパケットが到着すると、IP1、ポート N+1 などに変換されます。
ソース プールに 2 つの IP アドレスが含まれている場合:
フローの最初のパケットが到着すると(セッションを作成)、IP1、ポート X に変換されます。そのフローの後続のパケットは同じ IP/ポートに割り当てられます。
2 番目のフローの最初のパケットが到着すると、IP2、ポート X に変換されます。
3 番目のフローの最初のパケットが到着すると、IP1、ポート X+1 に変換されます。
4 番目のフローの最初のパケットが到着すると、IP2、ポート X+1 などに変換されます。
構成
ラウンドロビンモードはデフォルトで有効になっていますが、ポートランダム化モード(これも有効)の方が優先されます。ラウンドロビンモードを使用するには、次のように、優先度の高いポートランダム化モードを無効にします。
user@host# set security nat source port-randomization disable
ラウンドロビンモードを無効にする(そしてポートのランダム化を再度有効にする)には、次のように設定ステートメントを削除します。
user@host# delete security nat source port-randomization disable
セッションアフィニティモード
Junos OSリリース15.1X49-D30およびJunos OSリリース17.3R1以降、「セッションアフィニティ」モードを使用して、SRX5000回線デバイスでのNATパフォーマンスとスループットをさらに向上させることができます。
上記のモードでは、特定のセッションが 5 タプル(送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコル)ハッシュに基づいてインバウンド SPU によって処理されます。NAT が関係している場合、5 タプル ハッシュは、セッションの送信部分とセッションの戻り部分で異なります。そのため、アウトバウンド NAT セッション情報が 1 つの SPU に配置され、リターン(リバース)NAT セッション情報が別の SPU に存在する可能性があります。セッション アフィニティ モードの目的は、同じ SPU 上のアウトバウンド トラフィックとリターン トラフィックの両方の転送セッション情報を維持することです。
このモードでは、デバイスはIPとポートの選択に「リバースNAT拡張」変換アルゴリズムを使用して、NATセッションのパフォーマンスとスループットを向上させます。NAT モジュールは、ハッシュ アルゴリズムで使用できる IP アドレスとポートを選択して、アウトバウンド フロー要素とリターン フロー要素用に選択された SPU が同一になるように試みます。
構成
セッションアフィニティモードはデフォルトで有効になっていますが、ポートランダム化モードとラウンドロビンモード(これも有効)の両方が優先されます。セッション アフィニティ モードを使用するには、次のようにポートのランダム化モードとラウンドロビン モードの両方を無効にします。
user@host# set security nat source port-randomization disable user@host# set security nat source port-round-robin disable
セッションアフィニティモードを無効にし、ラウンドロビンモードまたはポートランダム化モードのいずれかを再度有効にするには、次のように、設定ステートメントの一方または両方を削除します。
user@host# delete security nat source port-round-robin disable user@host# delete security nat source port-randomization disable
使用上の注意
セッションアフィニティモードに関する注意事項とガイドラインは次のとおりです。
可能な限り大きなNATポートプールを使用します(後述の「セキュリティに関する考慮事項」を参照)。
アルゴリズムは、設定されたポート範囲内からポートを選択します。使用可能なポートがない場合、NAT ポートはランダム選択に基づいて割り当てられます。
静的 NAT と宛先 NAT はアフィニティ モードを使用できません。
セキュリティに関する考慮事項
セッション アフィニティは転送セッションを統合することでパフォーマンスを向上させますが、アルゴリズムは純粋なランダム化ではなく、特定のパラメーターで事前定義されたアルゴリズムに基づいて IP アドレスとポートを選択するため、セキュリティがある程度低下します。とは言うものの、アルゴリズムが選択できる適格ポートが通常複数あるという事実は、ある程度のランダム化がまだあります。
セキュリティ リスクを軽減する最善の方法は、使用する送信元ポート番号を予測しにくくすることです。つまり、エフェメラルポートが選択されるNATプールリソース範囲が大きいほど、攻撃者が選択したポート番号を推測する可能性は低くなります。このため、可能な限り大きなNATポートプールを設定することをお勧めします。
送信元NAT情報の監視
目的
送信元ネットワーク アドレス変換(NAT)ルール、プール、永続的 NAT、およびペア アドレスに関する設定情報を表示します。
アクション
J-Web ユーザー インターフェイスで 監視>NAT>ソース NAT を選択するか、次の CLI コマンドを入力します。
show security nat source summary:
show security nat source pool pool-name
show security nat source persistent-nat-table
show security nat source paired-address(英語)
表 2 に、送信元 NAT の監視に使用できるオプションを示します。
畑 |
形容 |
アクション |
|---|---|---|
| 準則 | ||
ルール セット名 |
ルール セットの名前。 |
表示するすべてのルール セットまたは特定のルール セットを一覧から選択します。 |
合計ルール数 |
構成されたルールの数。 |
– |
身分証明書 |
ルール ID 番号。 |
– |
名前 |
ルールの名前 。 |
– |
差出人 |
パケットが流れるルーティングインスタンス/ゾーン/インターフェイスの名前。 |
– |
宛先 |
パケットが流れるルーティングインスタンス/ゾーン/インターフェイスの名前。 |
– |
送信元アドレスの範囲 |
送信元プール内の送信元 IP アドレス範囲。 |
– |
宛先アドレス範囲 |
送信元プール内の宛先 IP アドレス範囲。 |
– |
送信元ポート |
送信元ポート番号。 |
– |
IP プロトコル |
IP プロトコルを使用します。 |
– |
アクション |
ルールに一致するパケットに対して実行されたアクション。 |
– |
永続的NATタイプ |
永続的 NAT タイプ。 |
– |
非アクティブ タイムアウト |
永続的 NAT バインディングの非アクティブ タイムアウト間隔。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
|
最大セッション数 |
セッションの最大数。 |
– |
セッション(成功/失敗/現在) |
成功、失敗、および現在のセッション。
|
– |
翻訳ヒット数 |
変換テーブル内の変換が送信元 NAT ルールに使用される回数。 |
– |
| プール | ||
プール名 |
プールの名前。 |
表示するすべてのプールまたは特定のプールをリストから選択します。 |
合計プール数 |
追加されたプールの合計。 |
– |
身分証明書 |
プールの ID。 |
– |
名前 |
ソース プールの名前。 |
– |
アドレス範囲 |
送信元プール内の IP アドレス範囲。 |
– |
シングル/ツインポート |
割り当てられたシングルポートとツインポートの数。 |
– |
港 |
プール内の送信元ポート番号。 |
– |
アドレス割り当て |
アドレス割り当てのタイプが表示されます。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
– |
ポート過負荷係数 |
ポート過負荷容量。 |
– |
ルーティングインスタンス |
ルーティングインスタンスの名前。 |
– |
合計アドレス数 |
合計 IP アドレス、IP アドレス セット、またはアドレス帳エントリ。 |
– |
ホストアドレスベース |
元の送信元 IP アドレス範囲のホスト ベース アドレス。 |
– |
翻訳ヒット数 |
変換テーブル内の変換が送信元 NAT に使用される回数。 |
– |
| 翻訳ヒット数トップ10 | ||
グラフ |
上位 10 件の翻訳ヒットのグラフを表示します。 |
– |
| 永続的NAT | ||
| 永続的 NAT テーブルの統計情報 | ||
バインドの合計 |
FPCの永続的NATバインディングの総数を表示します。 |
– |
使用中のバインディング |
FPC に使用中の永続的 NAT バインディングの数。 |
– |
enode 合計 |
FPC の永続的 NAT enode の総数。 |
– |
使用中のenode |
FPC に使用中の永続的 NAT enode の数。 |
– |
| 永続的NATテーブル | ||
送信元 NAT プール |
プールの名前。 |
表示するすべてのプールまたは特定のプールをリストから選択します。 |
内部 IP |
内部 IP アドレス。 |
表示するすべての IP アドレスまたは特定の IP アドレスをリストから選択します。 |
内部ポート |
システムに設定されている内部ポートを表示します。 |
表示するポートをリストから選択します。 |
内部プロトコル |
内部プロトコル 。 |
表示するすべてのプロトコルまたは特定のプロトコルをリストから選択します。 |
内部 IP |
内部から外部への送信セッションの内部トランスポート IP アドレス。 |
– |
内部ポート |
内部から外部への送信セッションの内部トランスポート ポート番号。 |
– |
内部プロトコル |
内部から外部への送信セッションの内部プロトコル。 |
– |
リフレクティブIP |
送信元 IP アドレスの変換された IP アドレス。 |
– |
反射ポート |
ポートの変換番号を表示します。 |
– |
リフレクティブプロトコル |
変換されたプロトコル。 |
– |
送信元 NAT プール |
永続的NATが使用されるソースNATプールの名前。 |
– |
種類 |
永続的 NAT タイプ。 |
– |
残り時間/会議時間 |
残りの非アクティブタイムアウト期間と構成されたタイムアウト値。 |
– |
現在のセッション数/最大セッション数 |
永続的 NAT バインディングに関連付けられている現在のセッションの数とセッションの最大数。 |
– |
送信元 NAT ルール |
この永続的NATバインディングが適用されるソースNATルールの名前。 |
– |
| 外部ノードテーブル | ||
内部 IP |
内部から外部への送信セッションの内部トランスポート IP アドレス。 |
– |
内部ポート |
内部から外部への送信セッションの内部ポート番号。 |
– |
外部IP |
内部から外部への送信セッションの外部 IP アドレス。 |
– |
外部ポート |
内部から外部への送信セッションの外部ポート。 |
– |
ゾーン |
内部から外部への送信セッションの外部ゾーン。 |
– |
| ペアのアドレス | ||
プール名 |
プールの名前。 |
表示するすべてのプールまたは特定のプールをリストから選択します。 |
指定されたアドレス |
IPアドレス。 |
すべてのアドレスを選択するか、表示する内部または外部 IP アドレスを選択して、IP アドレスを入力します。 |
プール名 |
選択したプールを表示します。 |
– |
内部アドレス |
内部 IP アドレスを表示します。 |
– |
外部アドレス |
外部 IP アドレスを表示します。 |
– |
| リソース使用状況 | ||
| すべてのソース・プールの使用率 | ||
プール名 |
プールの名前。 |
ポート アドレス変換 (PAT) プールの追加の使用状況情報を表示するには、プール名を選択します。[指定したプールの詳細なポート使用率] の下に情報が表示されます。 |
プールの種類 |
プール タイプ: PAT または非 PAT |
– |
ポート過負荷係数 |
PAT プールのポート 過負荷容量。 |
– |
住所 |
プール内のアドレス。 |
– |
中古 |
プール内の使用済みリソースの数。 非 PAT プールの場合は、使用されている IP アドレスの数が表示されます。 PAT プールの場合は、使用されているポートの数が表示されます。 |
– |
利用できる |
プール内の使用可能なリソースの数。 非 PAT プールの場合は、使用可能な IP アドレスの数が表示されます。 PAT プールの場合は、使用可能なポートの数が表示されます。 |
– |
トータル |
プール内の使用済みリソースと使用可能なリソースの数。 非 PAT プールの場合は、使用済み IP アドレスと使用可能な IP アドレスの合計数が表示されます。 PAT プールの場合、使用済みポートと使用可能なポートの合計数が表示されます。 |
– |
使い |
使用されているリソースの割合。 非 PAT プールの場合は、使用されている IP アドレスの割合が表示されます。 PAT プールの場合、シングル ポートとツイン ポートを含むポートの割合が表示されます。 |
– |
ピーク使用量 |
ピーク日時に使用されたリソースの割合。 |
– |
| 指定したプールのポート使用率の詳細 | ||
アドレス名 |
PAT プール内の IP アドレス。 |
詳細な使用状況情報を表示する IP アドレスを選択します。 |
ファクターインデックス |
インデックス番号。 |
– |
ポート範囲 |
一度に割り当てられたポートの数を表示します。 |
– |
中古 |
使用されているポートの数を表示します。 |
– |
利用できる |
使用可能なポートの数を表示します。 |
– |
トータル |
使用済みポートと使用可能なポートの数を表示します。 |
– |
使い |
ピーク日時に使用されたポートの割合を表示します。 |
– |
送信元NAT設定の概要
送信元NATの主な設定タスクは次のとおりです。
例:エグレスインターフェイス変換のためのソースNATの設定
この例では、プライベートアドレスのエグレスインターフェイスのパブリックアドレスへのソースNATマッピングを設定する方法を説明します。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図1では、trustゾーンのプライベートアドレスを持つデバイスが、egressインターフェイスge-0/0/0を介してパブリックネットワークにアクセスしています。untrust ゾーンに宛先アドレスがある trust ゾーンから Juniper Networks セキュリティ デバイスに入るパケットの場合、送信元 IP アドレスはエグレス インターフェイスの IP アドレスに変換されます。
エグレス インターフェイスを使用するソース NAT にソース NAT プールは必要ありません。プロキシ ARP をエグレス インターフェイスに設定する必要はありません。
この例では、次の設定について説明します。
送信元NATルールセット
rs1trustゾーンからuntrustゾーンへのパケットを照合するルールr1が付いています。一致するパケットの場合、送信元アドレスはエグレスインターフェイスのIPアドレスに変換されます。trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat interface set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
エグレスインターフェイスへのソースNAT変換を設定するには:
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをエグレスインターフェイスのアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat interface
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:単一アドレス変換用の送信元 NAT の設定
この例では、単一のプライベートアドレスからパブリックアドレスへの送信元NATマッピングを設定する方法を説明します。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 2 では、trust ゾーンのプライベート アドレス 192.168.1.200 を持つデバイスがパブリック ネットワークにアクセスします。デバイスからuntrust ゾーンの宛先アドレスに送信されたパケットの場合、ジュニパーネットワークス セキュリティ デバイスは送信元 IP アドレスをパブリック IP アドレス 203.0.113.200/32 に変換します。
この例では、次の設定について説明します。
IP アドレス 203.0.113.200/32 を含む送信元 NAT プール
src-nat-pool-1。送信元NATルールセット
rs1ルールr1を使用して、送信元IPアドレス192.168.1.200/32を持つtrustゾーンからuntrustゾーンへのパケットを照合します。一致するパケットの場合、送信元アドレスはプール内の IP アドレスに変換src-nat-pool-1。インターフェイスge-0/0/0.0上のアドレス203.0.113.200のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、そのアドレスのインターフェイスで受信したARP要求に応答することができます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.200/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.200/32 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
単一 IP アドレスの送信元 NAT 変換を設定するには、次の手順を実行します。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.200/32
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.200/32 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.200/32;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプール使用の確認
目的
送信元 NAT プールの IP アドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:送信元および宛先 NAT 変換の設定
この例では、送信元と宛先の両方の NAT マッピングを設定する方法について説明します。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図3では、ジュニパーネットワークスのセキュリティデバイスに対して次の変換が実行されています。
trustゾーンのプライベートアドレス192.168.1.200のデバイスからuntrustゾーンの任意のアドレスに送信されたパケットの送信元IPアドレスは、203.0.113.10から203.0.113.14の範囲のパブリックアドレスに変換されます。
trustゾーンからuntrustゾーンに送信されたパケットの宛先IPアドレス203.0.113.100/32は、アドレス10.1.1.200/32に変換されます。
この例では、次の設定について説明します。
IP アドレス範囲
src-nat-pool-1203.0.113.10 から 203.0.113.14 までの IP アドレス範囲を含む送信元 NAT プール。送信元NATルールセット
rs1ルールr1を使用して、trustゾーンからuntrustゾーンへのパケットを照合します。一致するパケットの場合、送信元アドレスはsrc-nat-pool-1プール内のIPアドレスに変換されます。IP アドレス 10.1.1.200/32 を含む宛先 NAT プール
dst-nat-pool-1。宛先NATルールセット
rs1ルールr1を使用して、trustゾーンからのパケットを宛先IPアドレス203.0.113.100と照合します。一致するパケットの場合、宛先アドレスはdst-nat-pool-1プール内のIPアドレスに変換されます。インターフェイスge-0/0/0.0上のアドレス203.0.113.10〜203.0.113.14および203.0.113.100/32のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、これらのアドレスのインターフェイスで受信したARP要求に応答することができます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
untrust ゾーンから trust ゾーン内の変換された宛先 IP アドレスへのトラフィックを許可するセキュリティ ポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.10/32 to 203.0.113.14/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat destination pool dst-nat-pool-1 address 10.1.1.200/32 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.100/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.10/32 to 203.0.113.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.100/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security address-book global address dst-nat-pool-1 10.1.1.200/32 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match destination-address dst-nat-pool-1 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
送信元と宛先のNAT変換を設定するには:
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.10 to 203.0.113.14
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスを送信元 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 10.1.1.200/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
パケットを照合し、宛先アドレスを宛先 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.100/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.10 to 203.0.113.14 user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.100
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
グローバル アドレス帳でアドレスを構成します。
[edit security address-book global] user@host# set address dst-nat-pool-1 10.1.1.200/32
untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを構成します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-1-access match source-address any destination-address dst-nat-pool-1 application any user@host# set policy dst-nat-pool-1-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.10/32 to 203.0.113.14/32;
}
}
rule-set rs1 {
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
destination {
pool dst-nat-pool-1 {
address 10.1.1.200/32;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.100/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.10/32 to 203.0.113.14/32;
203.0.113.100/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
}
policy internet-access {
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-1-access {
match {
source-address any;
destination-address dst-nat-pool-1;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプール使用の確認
目的
送信元 NAT プールの IP アドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
宛先 NAT プールの使用の確認
目的
宛先NATプールからのIPアドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
宛先NATルール使用の確認
目的
宛先NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
送信元NATルールについて
送信元NATルールは、2層の一致条件を指定します。
トラフィック方向 -
from interface、from zone、またはfrom routing-instanceと、to interface、to zone、またはto routing-instanceの組み合わせを指定できます。異なるルールセットに同じfromコンテキストとtoコンテキストを設定することはできません。パケット情報:送信元および宛先IPアドレスまたはサブネット、送信元ポート番号またはポート範囲、宛先ポート番号またはポート範囲、プロトコル、またはアプリケーションを指定できます。
FTP を除くすべての ALG トラフィックでは、 source-port ルール オプションを使用しないことをお勧めします。このオプションを使用すると、IP アドレスと送信元ポート値 (ランダムな値) がルールに一致しない可能性があるため、データ セッションの作成が失敗する可能性があります。
また、ALG トラフィックの一致条件として destination-port オプションや application オプションを使用しないことをお勧めします。これらのオプションを使用すると、アプリケーションペイロードのポート値がIPアドレスのポート値と一致しない可能性があるため、変換が失敗する可能性があります。
複数の送信元NATルールが一致条件で重複する場合は、最も具体的なルールが選択されます。例えば、ルールAとルールBで同じ送信元IPアドレスと宛先IPアドレスを指定し、ルールAでゾーン1からゾーン2へのトラフィックを指定し、ルールBでゾーン1からインターフェイスge-0/0/0へのトラフィックを指定している場合、ルールBを使用してソースNATが実行されます。インターフェイスの一致は、ゾーンの一致よりも具体的であると見なされ、ゾーンの一致はルーティング インスタンスの一致よりも具体的です。
送信元NATルールに指定できるアクションは次のとおりです。
off:ソースNATを実行しません。
pool—指定されたユーザー定義のアドレスプールを使用して、ソースNATを実行します。
インターフェイス—エグレスインターフェイスのIPアドレスを使用して、ソースNATを実行します。
送信元NATルールは、フローに対して処理された最初のパケットのトラフィック、またはALGの高速パスのトラフィックに適用されます。 送信元NATルールは、静的NATルール、宛先NATルール、静的NATルールのリバースマッピングの後、ルートとセキュリティポリシーの検索の後に処理されます。
ルール セットでゾーンが設定されておらず、アクティブ ソース NAT に必須ステートメント「from」が欠落して設定されている場合、コミットを実行すると "必須ステートメントがありません: 'from' エラー: 構成チェックアウトに失敗しました" というメッセージが表示され、構成のチェックアウトに失敗します。
例:複数のルールを使用した送信元 NAT の設定
この例では、複数のルールを使用して送信元NATマッピングを設定する方法について説明します。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図4では、trustゾーンからuntrustゾーンへのトラフィックのソースNATマッピングに対して、Juniper Networksのセキュリティデバイス上で次の変換が実行されています。
10.1.1.0/24および10.1.2.0/24サブネットからuntrustゾーンの任意のアドレスに送信されたパケットの送信元IPアドレスは、ポート変換を使用して192.0.2.1から192.0.2.24の範囲のパブリックアドレスに変換されます。
192.168.1.0/24 サブネットから untrust ゾーンの任意のアドレスに送信されたパケットの送信元 IP アドレスは、ポート変換なしで 192.0.2.100 から 192.0.2.249 の範囲のパブリック アドレスに変換されます。
192.168.1.250/32ホストデバイスから送信されたパケットの送信元IPアドレスは変換されません。
この例では、次の設定について説明します。
IP アドレス範囲 192.0.2.1 から 192.0.2.24 を含む送信元 NAT プール
src-nat-pool-1。IP アドレス範囲 192.0.2.100 から 192.0.2.249 を含み、ポート アドレス変換を無効にした送信元 NAT プール
src-nat-pool-2。手記:ポート アドレス変換が無効になっている場合、送信元 NAT プールが同時にサポートできる変換の数は、
address-sharedオプションが有効になっていない限り、プール内のアドレス数に制限されます。送信元 NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。オプションで、元の送信元 NAT プールに使用可能なアドレスがない場合に、IP アドレスとポート番号を割り当てるオーバーフロー プールを指定できます。送信元NATルールセット
rs1、trustゾーンからuntrustゾーンへのパケットを照合します。ルール セットrs1に複数のルールが含まれています。10.1.1.0/24 または 10.1.2.0/24 サブネット内の送信元 IP アドレスを持つパケットを照合するルール
r1。一致するパケットの場合、送信元アドレスはsrc-nat-pool-1プール内の IP アドレスに変換されます。送信元IPアドレスが192.168.1.250/32のパケットを照合するルール
r2。一致するパケットに対して、NAT変換は実行されません。ルール
r3は、パケットを 192.168.1.0/24 サブネット内の送信元 IP アドレスと照合します。一致するパケットの場合、送信元アドレスはsrc-nat-pool-2プール内のIPアドレスに変換されます。手記:トラフィックに一致するルールセット内の最初のルールが使用されるため、ルールセット内のルールの順序は重要です。したがって、特定の IP アドレスに一致するルール
r2は、デバイスが配置されているサブネットに一致するルールr3の前に配置する必要があります。
インターフェイス ge-0/0/0.0 上のアドレス 192.0.2.1 から 192.0.2.24 および 192.0.2.100 から 192.0.2.249 までのプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、これらのアドレスのインターフェイスで受信したARP要求に応答することができます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
SRX4600デバイスで、インターフェイスまたはサービスセットとしてルール名またはプール名を使用してソースNATルールまたはプールを設定すると、次のエラーメッセージが表示されます: 構文エラー、<data>が必要です。
interfaceという名前の送信元 NAT ルールがある場合、show security nat source rule interfaceコマンドを使用してルールを表示することはできません。service-setという名前の送信元 NAT ルールがある場合、show security nat source rule service-setコマンドを使用してルールを表示することはできません。interfaceという名前の送信元 NAT プールがある場合、show security nat source pool interfaceコマンドを使用してプールを表示することはできません。service-setという名前の送信元 NAT プールがある場合、show security nat source pool service-setコマンドを使用してプールを表示することはできません。interfaceという名前の送信元NATプールがある場合、show security nat source paired-address pool-name interfaceコマンドを使用してペアアドレスを表示することはできません。service-setという名前の送信元NATプールがある場合、show security nat source paired-address pool-name service-setコマンドを使用してペアアドレスを表示することはできません。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 192.0.2.1/32 to 192.0.2.24/32 set security nat source pool src-nat-pool-2 address 192.0.2.100/32 to 192.0.2.249/32 set security nat source pool src-nat-pool-2 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat source rule-set rs1 rule r2 match source-address 192.168.1.250/32 set security nat source rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r2 then source-nat off set security nat source rule-set rs1 rule r3 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.1/32 to 192.0.2.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.100/32 to 192.0.2.249/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
ルールセットに複数の送信元NATルールを設定するには、次の手順に従います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 192.0.2.1 to 192.0.2.24
ポート変換なしで送信元NATプールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-2 address 192.0.2.100 to 192.0.2.249 user@host# set pool src-nat-pool-2 port no-translation
手記:egressインターフェイスを使用して
src-nat-pool-2用のオーバーフロープールを設定するには:[edit security nat source] user@host# set pool src-nat-pool-2 overflow-pool interface
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
送信元アドレスが変換されないパケットに一致するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r2 match source-address 192.168.1.250/32 user@host# set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r2 then source-nat off
パケットを照合し、送信元アドレスをポート変換なしでプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r3 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.1 to 192.0.2.24 user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.100 to 192.0.2.249
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
192.0.2.1/32 to 192.0.2.24/32;
}
}
pool src-nat-pool-2 {
address {
192.0.2.100/32 to 192.0.2.249/32;
}
port no-translation;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [ 10.1.1.0/24 10.1.2.0/24 ];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
rule r2 {
match {
source-address 192.168.1.250/32;
destination-address 0.0.0.0/0;
}
then {
source-nat {
off;
}
}
}
rule r3 {
match {
source-address 192.168.1.0/24;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-2;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
192.0.2.1/32 to 192.0.2.24/32;
192.0.2.100/32 to 192.0.2.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプール使用の確認
目的
送信元 NAT プールの IP アドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
送信元NATプールについて
NAT プールは、変換に使用される IP アドレスのユーザー定義のセットです。一方向の宛先IPアドレス変換と逆方向の送信元IPアドレス変換を含む1対1のマッピングがある静的NATとは異なり、送信元NATでは、元の送信元IPアドレスをアドレスプール内のIPアドレスに変換します。
送信元ネットワークアドレス変換(NAT)アドレスプールの場合は、以下を指定します。
送信元NATアドレスプールの名前。
最大 64 のアドレス範囲。
手記:1つのルーティングインスタンス内で、送信元NAT、宛先NAT、静的NATのNATアドレスを重複させないでください。
ルーティングインスタンス—プールが属するルーティングインスタンス(デフォルトはメインの inet.0 ルーティングインスタンスです)。
ポート:送信元プールのポートアドレス変換(PAT)。デフォルトでは、PAT は送信元 NAT で実行されます。 no-translation オプションを指定した場合、送信元NATプールがサポートできるホストの数は、プール内のアドレス数に制限されます。
block-allocationを指定すると、個々のポートが割り当てられるのではなく、ポートのブロックが変換用に割り当てられます。deterministicを指定した場合、着信 IP アドレスとポートは、事前定義された決定論的 NAT アルゴリズムに基づいて、常に特定の宛先アドレスとポート ブロックにマップされます。port-overloadingを指定すると、送信元NATでポートの過負荷容量を設定できます。rangeを指定する場合は、プール内の各アドレスにアタッチされているポート番号の範囲と、送信元 NAT プールのツイン ポート範囲を指定できます。オーバーフロー プール(オプション)- 指定された送信元 NAT プールに使用可能なアドレスがない場合、パケットは廃棄されます。 ポートのno-translation オプションが設定されている場合にこれが発生しないようにするには、オーバーフロープールを指定します。元の送信元NATプールのアドレスが使い果たされると、IPアドレスとポート番号がオーバーフロープールから割り当てられます。ユーザー定義の送信元NATプールまたはエグレスインターフェイスをオーバーフロープールとして使用できます。(オーバーフロー・プールが使用されている場合、プール ID はアドレスとともに戻されます。
IP アドレス シフト(オプション):IP アドレスをシフトすることで、元の送信元 IP アドレスの範囲を別の IP アドレス範囲にマッピングしたり、単一の IP アドレスにマッピングしたりできます。元の送信元 IP アドレス範囲のベース アドレスで host-address-base オプションを指定します。
アドレス共有(オプション)- 複数の内部 IP アドレスを同じ外部 IP アドレスにマッピングできます。このオプションは、送信元NATプールがポート変換なしで設定されている場合にのみ使用できます。送信元 NAT プールで使用できる外部 IP アドレスがほとんどない場合、または外部 IP アドレスが 1 つしかない場合は、
address-sharedオプションを指定します。多対 1 マッピングでは、このオプションを使用すると NAT リソースが増加し、トラフィックが増加します。アドレス プーリング(オプション):アドレス プーリングは、ペアまたはペアなしとして設定できます。1 つの内部 IP アドレスに関連付けられたすべてのセッションを、セッション中に同じ外部 IP アドレスにマップする必要があるアプリケーションの
address-pooling pairedを指定します。これは、毎回同じ内部アドレスが同じ外部アドレスに変換されるpersistent-addressオプションとは異なります。ラウンドロビン方式でIPアドレスを割り当てることができるアプリケーションのaddress-pooling no-pairedを指定します。PAT を使用する送信元 NAT プールにaddress-pooling pairedまたはaddress-pooling no-pairedが設定されている場合、永続アドレス オプションは無効になります。送信元NATプールにPATなしでaddress-sharedが設定されている場合、persistent-addressオプションが有効になります。address-sharedとaddress-pooling pairedの両方を、PAT なしで同じ送信元 NAT プール上に設定できます。プール使用率アラーム(オプション)— 送信元NATに raise-threshold オプションが設定されている場合、送信元NATプール使用率がこのしきい値を超えるとSNMPトラップがトリガーされます。オプションの clear-threshold(閾値 クリア)オプションが設定されている場合、送信元NATプールの使用率がこの閾値を下回ると、SNMPトラップが起動します。 clear-threshold が設定されていない場合、デフォルトでは 引き上げ閾値の 80% に設定されます。
show security nat resource usage source pool コマンドを使用すると、PAT を使用しないソース NAT プールでのアドレス使用を表示したり、PAT を使用したソース NAT プールでのポート使用を表示したりできます。
送信元NATプールの容量について
SRX300、SRX320、SRX340、SRX345、SRX650デバイスのソースプールとIPアドレスの最大容量は次のとおりです。
プール/PAT の最大アドレス容量 |
SRX300SRX320 |
SRX340SRX345 |
SRX650 |
|---|---|---|---|
送信元 NAT プール |
1024 |
2048 |
1024 |
ポート変換をサポートするIPアドレス |
1024 |
2048 |
1024 |
PAT ポート番号 |
64M |
64M |
64M |
SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800デバイスのソースプールとIPアドレスの最大容量は次のとおりです。
プール/PAT の最大アドレス容量 |
SRX1400SRX1500 |
SRX3400SRX3600 |
SRX4100SRX4200 |
SRX5400SRX5600SRX5800 |
|---|---|---|---|---|
送信元 NAT プール |
8192 |
10,240 |
10,240 |
12,288 |
ポート変換をサポートするIPアドレス |
8192 |
12,288 |
12,288 |
1M |
PAT ポート番号 |
256M |
384M |
384M |
384M |
リリース 12.3X48-D40、およびリリース 15.1X49-D60 以降のリリースでは、サポートされる [edit security nat source] 階層レベルの port-scaling-enlargement ステートメントを使用して、次世代サービス処理カード(SPC)を搭載したSRX5400、SRX5600、および SRX5800 デバイスでソース NAT ポート容量を 2.4G に増やすことができます。
プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。
設定内のプール数を増やすか、プールあたりの容量またはIPアドレスを増やすことによって、送信元NATに使用されるIPアドレスの総数を増やすと、ポート割り当てに必要なメモリが消費されます。送信元 NAT プールと IP アドレスの制限に達したら、ポート範囲を再割り当てする必要があります。つまり、IP アドレスと送信元 NAT プールの数を増やす場合は、各 IP アドレスのポート数を減らす必要があります。これにより、NAT がメモリを過剰に消費しないようにします。
たとえば、SRX5000デバイスの送信元NATプールで、ポート変換をサポートするIPアドレスの数が1Mの制限に達すると、PATポートの総数は64Gになり、384Mの制限を超えます。これは、デフォルトでは、各 IP アドレスが 64,512 ポートをサポートしているためです。PAT ポート番号が容量内に収まるようにするには、各 IP のポート範囲を設定して、PAT ポートの総数を減らす必要があります。
[edit security nat source pool port]階層レベルで [range] オプションと [range twin-port] オプションを使用して、特定のプールに新しいポート範囲またはツイン ポート範囲を割り当てます。[edit security nat source]階層レベルで [pool-default-port-range] オプションと [pool-default-twin-port-range] オプションを使用して、すべての送信元 NAT プールのグローバルなデフォルト ポート範囲またはツイン ポート範囲を指定します。
送信元 NAT プールが増加した場合、ポート オーバーロードの設定も慎重に行う必要があります。
範囲(63,488〜65,535)のPATを持つソースプールの場合、SIP、H.323、RTSPなどのRTP/RTCPアプリケーション用に一度に2つのポートが割り当てられます。これらのシナリオでは、各 IP アドレスは PAT をサポートし、ALG モジュール用に 2048 ポート(63,488 〜 65,535)を占有します。
送信元 NAT プールの永続アドレスについて
デフォルトでは、ポートアドレス変換はソースNATで実行されます。ただし、元の送信元アドレスは、同じホストから発信される異なるトラフィックに対して同じIPアドレスに変換されない場合があります。送信元NAT address-persistent オプションは、複数の同時セッションに対して、送信元NATプールから特定のホストに同じIPアドレスを確実に割り当てます。
このオプションは、内部アドレスが先着順でプール内の外部アドレスにマップされ、セッションごとに異なる外部アドレスにマップされる可能性があるアドレス プーリング ペア オプションとは異なります。
例:PAT を使用した送信元 NAT プールの容量の設定
この例では、デフォルトのポート範囲が設定されていない場合、または上書きしたい場合に、ポートアドレス変換(PAT)を使用して送信元NATプールの容量を設定する方法を説明します。変換は IP アドレスごとに設定されます。ソース プールが増加したときに、現在のポート番号が制限を超えている場合は、ポートを再割り当てする必要があります。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、各 IP アドレスに対して 32,000 個のポートを持つ 2048 個の IP アドレスの PAT プールを設定する方法を示します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
[edit security nat source] set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32 set pool-default-port-range 2001 set pool-default-port-range to 32720
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用して送信元 NAT プールの容量を設定するには、次の手順に従います。
PATとIPアドレス範囲を含む送信元NATプールを指定します。
[edit security nat source] user@host# set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 user@host#set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32
ソース プールの既定のポート範囲を指定します。
[edit security nat source] user@host# set pool-default-port-range 2001 user@host# set pool-default-port-range to 32720
業績
設定モードから、 show security nat-source-summary コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host> run show security nat source summary Total port number usage for port translation pool: 16515072 Maximum port number for port translation pool: 134217728 Total pools: 1 Pool Address Routing PAT Total Name Range Instance Address pool2 203.0.113.1 - 203.0.113.3 default yes 2048 Name Range Instance Address pool1 198.51.100.0 - 198.51.100.255 default yes 256 Total rules: 1 Rule name Rule set From To Action rule 1 ruleset1 ge-2/2/2.0 ge-2/2/3.0 pool1 rule 1 ge-2/2/4.0 ge-2/2/5.0
デバイスの設定が完了したら、設定モードから commit を入力します。
アドレス プーリングを使用した送信元 NAT プールについて
ホストが NAT を必要とするポリシーに一致する複数のセッションを開始し、ポートアドレス変換が有効になっているソースプールから IP アドレスが割り当てられると、セッションごとに異なるソース IP アドレスが使用されます。
一部のアプリケーションではセッションごとに同じ送信元 IP アドレスが必要なため、 address-pooling paired 機能を使用して、1 つの内部 IP アドレスに関連付けられているすべてのセッションをセッション中に同じ外部 IP アドレスにマップできます。セッションが終了すると、内部 IP アドレスと外部 IP アドレス間のマッピングは停止します。次回ホストがセッションを開始するときに、プールとは異なる IP アドレスが割り当てられる可能性があります。
これは、マッピングを静的に保つソースNATaddress-persistent機能とは異なります。毎回同じ内部IPアドレスが同じ外部IPアドレスにマッピングされます。また、address-pooling pairedが特定のプール用に構成されているという点で、address-persistent機能とも異なります。address-persistent機能は、すべてのソース プールに適用されるグローバル構成です。
アドレス シフトを使用したソース NAT プールについて
送信元NATルールセットの一致条件では、アドレス範囲を指定することはできません。ルールで指定できるのはアドレス プレフィックスのみです。送信元NATプールを設定する場合、 host-base-address オプションを指定できます。このオプションは、元の送信元IPアドレス範囲が始まるIPアドレスを指定します。
変換される元の送信元 IP アドレスの範囲は、送信元 NAT プール内のアドレス数によって決まります。たとえば、送信元 NAT プールに 10 個の IP アドレスの範囲が含まれている場合、指定したベース アドレスから始めて、最大 10 個の元の送信元 IP アドレスを変換できます。このタイプの変換は 1 対 1 で静的で、ポート アドレス変換は含まれません。
送信元 NAT ルールの一致条件では、送信元 NAT プールで指定されたアドレス範囲よりも大きなアドレス範囲を定義できます。たとえば、一致条件では 256 個のアドレスを含むアドレスプレフィックスが指定されていても、送信元 NAT プールには少数の IP アドレスまたは 1 つの IP アドレスのみが含まれる場合があります。パケットの送信元 IP アドレスは送信元 NAT ルールと一致することができますが、送信元 IP アドレスが送信元 NAT プールで指定されたアドレス範囲内にない場合、送信元 IP アドレスは変換されません。
例:アドレス シフトによる送信元 NAT プールの設定
この例では、オプションのアドレスシフトを使用して、プライベートアドレス範囲からパブリックアドレスへのソースNATマッピングを構成する方法について説明します。このマッピングは、元の送信元 IP アドレスと変換された IP アドレスの間で 1 対 1 で行われます。
送信元NATルールセットの一致条件では、アドレス範囲を指定することはできません。ルールで指定できるのはアドレス プレフィックスのみです。送信元NATプールを設定する場合、 host-base-address オプションを指定できます。このオプションは、元の送信元IPアドレス範囲が始まるIPアドレスを指定し、ポート変換を無効にします。
変換される元の送信元 IP アドレスの範囲は、送信元 NAT プール内のアドレス数によって決まります。たとえば、送信元 NAT プールに 10 個の IP アドレスの範囲が含まれている場合、指定したベース アドレスから始めて、最大 10 個の元の送信元 IP アドレスを変換できます。
送信元 NAT ルールの一致条件では、送信元 NAT プールで指定されたアドレス範囲よりも大きなアドレス範囲を定義できます。たとえば、一致条件では 256 個のアドレスを含むアドレスプレフィックスが指定されていますが、送信元 NAT プールには 10 個の IP アドレスしか含まれていません。パケットの送信元 IP アドレスは送信元 NAT ルールと一致することができますが、送信元 IP アドレスが送信元 NAT プールで指定されたアドレス範囲内にない場合、送信元 IP アドレスは変換されません。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 5 では、trust ゾーン内のプライベート アドレスの範囲が、untrust ゾーン内のパブリック アドレスの範囲にマップされています。trustゾーンからuntrustゾーンに送信されたパケットの場合、192.168.1.10/32〜192.168.1.20/32の範囲の送信元IPアドレスは、203.0.113.30/32〜203.0.113.40/32の範囲のパブリックアドレスに変換されます。
を使用したソース NAT
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.30/32 から 203.0.113.40/32 までの送信元 NAT プール
src-nat-pool-1。このプールでは、元の送信元 IP アドレス範囲の先頭は 192.168.1.10/32 で、host-address-baseオプションで指定します。送信元NATルールセット
rs1ルールr1を使用して、192.168.1.0/24サブネット内の送信元IPアドレスを持つtrustゾーンからuntrustゾーンへのパケットを照合します。src-nat-pool-1構成で指定された送信元IPアドレス範囲内にある一致するパケットの場合、送信元アドレスはプール内のIPアドレスに変換src-nat-pool-1。インターフェイスge-0/0/0.0上のアドレス203.0.113.30/32〜203.0.113.40/32のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、そのアドレスのインターフェイスで受信したARP要求に応答することができます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32 set security nat source pool src-nat-pool-1 host-address-base 192.168.1.10/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
アドレスシフトを使用して送信元NATマッピングを設定するには、以下を行います。
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32
元の送信元 IP アドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-pool-1 host-address-base 192.168.1.10/32
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.30/32 to 203.0.113.40/32;
}
host-address-base 192.168.1.10/32;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 192.168.1.0/24;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.30/32 to 203.0.113.40/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプール使用の確認
目的
送信元 NAT プールの IP アドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
PAT を使用した送信元 NAT プールについて
ポートアドレス変換(PAT)が可能なソースプールを使用して、Junos OSはパケットのソースIPアドレスとポート番号の両方を変換します。PAT を使用すると、複数のホストが同じ IP アドレスを共有できます。
Junos OSは、どのセッションがどのホストに属しているかを区別するために、割り当てられたポート番号のリストを保持します。PAT を有効にすると、最大 63,488 台のホストが 1 つの IP アドレスを共有できます。各ソース プールには、複数の IP アドレス、複数の IP アドレス範囲、またはその両方を含めることができます。PAT を使用するソース プールの場合、ソース プールまたは Junos OS で永続アドレス機能またはペア アドレス プーリング機能が有効になっていない限り、Junos OS は、1 つのホストに異なるアドレスを異なる同時セッションに割り当てることがあります。
インターフェイスのソース プールと PAT を使用するソース プールの場合、IP アドレスごとのポート番号マッピングに範囲(1024, 65535)を使用できます。範囲 (1024、63487) 内では、一度に 1 つのポートが割り当てられ、合計で 62,464 ポートになります。範囲(63488、65535)では、SIP、H.323、RTSP などの RTP/RTCP アプリケーション用に一度に 2 つのポート、合計 2,048 ポートが割り当てられます。
ホストが、ネットワーク アドレス変換を必要とするポリシーに一致する複数のセッションを開始し、PAT が有効になっているソース プールからアドレスが割り当てられると、デバイスはセッションごとに異なる送信元 IP アドレスを割り当てます。このようなランダムなアドレスの割り当ては、セッションごとに同じ送信元 IP アドレスを必要とする複数のセッションを作成するサービスで問題になる可能性があります。たとえば、AOL インスタント メッセージ (AIM) クライアントを使用する場合は、複数のセッションで同じ IP アドレスを使用することが重要です。
ルーターが複数の同時セッションに対して送信元プールからホストに同じIPアドレスを割り当てるようにするには、ルーターごとに永続IPアドレスを有効にします。単一セッションの間、デバイスがソース プールからホストに同じ IP アドレスを割り当てるようにするには、ペア アドレス プーリングを有効にします。
例:PAT を使用した複数アドレスの送信元 NAT の設定
この例では、ポートアドレス変換を使用して、プライベートアドレスブロックからより小さいパブリックアドレスブロックへのソースNATマッピングを設定する方法を説明します。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 6 では、trust ゾーンから untrust ゾーンに送信されたパケットの送信元 IP アドレスが、203.0.113.1/32 から 203.0.113.24/32 の範囲のより小さなパブリック アドレス ブロックにマップされています。送信元 NAT アドレス プールのサイズは、変換が必要になる可能性のあるアドレスの数よりも小さいため、ポート アドレス変換が使用されます。
ポート・アドレス変換には、ソースIPアドレス・マッピングにソース・ポート番号が含まれます。これにより、プライベート ネットワーク上の複数のアドレスを、少数のパブリック IP アドレスにマップできます。ポートアドレス変換は、ソースNATプールに対してデフォルトで有効になっています。
を使用した送信元 NAT 複数アドレス
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.1/32 から 203.0.113.24/32 までの送信元 NAT プール
src-nat-pool-1。送信元NATルールセット
rs1、trustゾーンからuntrustゾーンへのすべてのパケットを照合します。一致するパケットの場合、送信元 IP アドレスはsrc-nat-pool-1プール内の IP アドレスに変換されます。インターフェイスge-0/0/0.0上のアドレス203.0.113.1/32〜203.0.113.24/32のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、これらのアドレスのインターフェイスで受信したARP要求に応答することができます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用して、プライベート アドレス ブロックから小規模なパブリック アドレス ブロックへのソース NAT マッピングを構成するには:
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプール使用の確認
目的
送信元 NAT プールの IP アドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
PAT を使用しない送信元 NAT プールについて
ソース プールを定義すると、Junos OS によって PAT がデフォルトで有効になります。PAT を無効にするには、ソース プールを定義するときにポート変換を指定しません。
PAT なしでソース プールを使用する場合、Junos OS は、ソース ポート番号に対して PAT を実行せずに、IP アドレスに対してソース ネットワーク アドレス変換を実行します。特定の送信元ポート番号を固定したままにする必要があるアプリケーションの場合は、PAT なしでソース プールを使用する必要があります。
ソース プールには、複数の IP アドレス、複数の IP アドレス範囲、またはその両方を含めることができます。PAT を使用しないソース プールの場合、アドレス プーリングのペアなしオプションが有効になっていない限り、Junos OS はすべての同時セッションに対して、変換された 1 つのソース アドレスを同じホストに割り当てます。
PAT のない送信元 NAT プールがサポートできるホストの数は、プール内のアドレス数に制限されます。1 つの IP アドレスを持つプールがある場合、サポートできるホストは 1 つだけで、使用可能なリソースがないため、他のホストからのトラフィックはブロックされます。シャーシ クラスタでNATリソース割り当てがアクティブ/バックアップ モードでないときに、PATのない送信元NATプールに単一のIPアドレスが設定されている場合、ノード1を通過するトラフィックはブロックされます。
PAT がない各ソース プールのプール使用率が計算されます。アラームしきい値を設定することで、プール使用率アラームをオンにすることができます。SNMP トラップは、プール使用率がしきい値を超えたり、しきい値を下回ったりするたびにトリガーされます。
静的NATルールが1対1のIP変換用である場合、アドレス共有のないソースノーパットプールが使用されるときに、ルールを宛先ルールとソースルールに分割しないでください。ルールを分割することを選択した場合は、単一のIPを持つソースパットプール、または複数のIPを持つソースノーパットプールを使用する必要があります。
例:PAT を使用しない送信元 NAT プールへの単一 IP アドレスの設定
この例では、ポート アドレス変換を使用せずに、送信元 NAT プール内の単一のパブリック アドレスにプライベート アドレス ブロックを設定する方法について説明します。
送信元 NAT プールでは、PAT がデフォルトで有効になっています。PAT が無効になっている場合、送信元 NAT プールが同時にサポートできる変換の数は、プール内のアドレス数に制限されます。送信元 NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。ただし、 address-shared オプションを使用すると、トラフィックが異なる送信元ポートからのものである限り、複数のプライベート IP アドレスを 1 つのパブリック IP アドレスにマップできます。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。trustゾーンからuntrustゾーンに送信されたパケットの送信元IPアドレスは、単一のパブリックアドレスにマッピングされます。
この例では、次の設定について説明します。
IP アドレス 203.0.113.1/30 を含む送信元 NAT プール
src-nat-pool-1。プールに対してport no-translationオプションとaddress sharedオプションが指定されています。送信元NATルールセット
rs1、trustゾーンからuntrustゾーンへのすべてのパケットを照合します。一致するパケットの場合、送信元 IP アドレスはsrc-nat-pool-1プール内の IP アドレスに変換されます。trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/30 set security nat source pool src-nat-pool-1 port no-translation set security nat source pool-src-nat-pool-1 address-shared set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule1 match source address 192.0.2.0/24 set security nat source rule-set rs1 rule r1 then source src-nat-pool-1
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
プライベート アドレス ブロックから PAT なしの単一パブリック アドレスへのソース NAT マッピングを設定するには、次の手順を実行します。
共有アドレス用に 1 つの IP アドレスを持つ送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1/30
port no-translationオプションを指定します。[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
address-sharedオプションを指定します。[edit security nat source] user@host# set pool pool-src-nat-pool-1 address-shared
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.0.2.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat source pool コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/30
}
port no-translation;
}
address-shared;
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [192.0.2.0/24]
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
共有アドレスの確認
目的
送信元ポートが異なる 2 つの内部 IP アドレスが 1 つの外部 IP アドレスを共有していることを確認します。
アクション
動作モードから、 show security nat source pool コマンドを入力します。 [アドレスの割り当て ] フィールドを表示して、共有されていることを確認します。
例:PAT を使用しない送信元 NAT プールへの複数アドレスの設定
この例では、ポートアドレス変換を行わずに、プライベートアドレスブロックからより小さいパブリックアドレスブロックへのソースNATマッピングを設定する方法を説明します。
ポートアドレス変換は、ソースNATプールに対してデフォルトで有効になっています。ポート アドレス変換が無効になっている場合、送信元 NAT プールが同時にサポートできる変換の数は、プール内のアドレス数に制限されます。送信元 NAT プールに使用可能なアドレスがない場合、パケットは破棄されます。オプションで、元の送信元 NAT プールに使用可能なアドレスがない場合に、IP アドレスとポート番号を割り当てるオーバーフロー プールを指定できます。
必要条件
始める前に:
デバイスのネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンについてを参照してください。
概要
この例では、プライベート アドレス スペースに trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 7 では、trust ゾーンから untrust ゾーンに送信されたパケットの送信元 IP アドレスが、203.0.113.1/32 から 203.0.113.24/32 の範囲の小さいパブリック アドレス ブロックにマップされています。
のない送信元 NAT 複数アドレス
この例では、次の設定について説明します。
IP アドレス範囲 203.0.113.1/32 から 203.0.113.24/32 までの送信元 NAT プール
src-nat-pool-1。プールに対してport no-translationオプションが指定されています。送信元NATルールセット
rs1trustゾーンからuntrustゾーンへのすべてのパケットを照合します。一致するパケットの場合、送信元 IP アドレスはsrc-nat-pool-1プール内の IP アドレスに変換されます。インターフェイスge-0/0/0.0上のアドレス203.0.113.1/32〜203.0.113.24/32のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、これらのアドレスのインターフェイスで受信したARP要求に応答することができます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source pool src-nat-pool-1 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
次の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
プライベート アドレス ブロックから PAT を使用しない小規模なパブリック アドレス ブロックへのソース NAT マッピングを構成するには:
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
port no-translationオプションを指定します。[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットを照合し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
port no-translation;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
送信元NATプール使用の確認
目的
送信元 NAT プールの IP アドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルール使用の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[変換ヒット(TRANSLATE HITS)] フィールドを表示して、ルールに一致するトラフィックを確認します。
NAT セッション永続性について
ネットワーク アドレス変換(NAT)セッションの永続性は、NAT 設定に変更があった場合に、既存のセッションをクリアするのではなく、保持する手段を提供します。セッションの持続性が有効になっている場合、影響を受けるセッションの再構築に時間とリソースが最適に使用されるため、保持されているセッションは引き続きパケットを処理し、転送します。そのため、一部またはすべてのセッションでNAT設定が変更されても、パケット転送は停止しません。
Junos OS Release 18.3R1以降では、NATセッション永続性をサポートすることで、パケット転送エンジンがセッションをスキャンし、セッションを保持するかクリアするかを決定します。Junos OS リリース 18.3R1 より前のリリースでは、NAT 設定に変更があると、NAT セッションはクリアされます。
パケット転送エンジンは、次の 2 種類のスキャンを実行して、セッションを保持するかドロップするかを決定します。
Source NAT pool session persistence scan- パケット転送エンジンは、既存のセッションIPアドレスと送信元プールのアドレス範囲を比較します。既存のセッション IP アドレスが、指定された送信元プールのアドレス範囲内にある場合、セッションは存続し、それ以外の場合、セッションはクリアされます。
Source NAT rule session persistence scan—パケット転送エンジンは、ルールIDを使用して、送信元IPアドレス、送信元ポート、宛先IPアドレス、および宛先ポートを古い設定と新しい設定で比較します。新しい設定と古い設定が同じ場合、セッションは維持され、それ以外の場合はセッションがクリアされます。
NAT セッションの持続性は、静的 NAT および宛先 NAT ではサポートされません。
PATプールがアドレスパーシステント、アドレスプーリングペア、送信元アドレスパーシステント、ポートブロック割り当て、ポート決定論的、永続的NAT、およびポートオーバーロードファクターの各フィールドに設定されている場合、NATセッションパーシステントはサポートされません。
NAT セッションの永続性は、以下のシナリオのソース NAT に対してのみサポートされます。
ソース プール - ポート アドレス変換(PAT)プール内のアドレス範囲の変更。
送信元ルール:アドレス帳、アプリケーション、宛先 IP アドレス、宛先ポート、送信元 IP アドレス、宛先ポート情報の一致条件の変更。
NATセッション持続性スキャンを有効にするには、[edit security nat source]階層レベルでsession-persistence-scanステートメントを含めます。
また、 set security nat source session-drop-hold-down CLI コマンドを使用して、指定した期間セッションを保持するためのタイムアウト値を設定することもできます。 session-drop-hold-down オプションの値は、30 秒から 28,800 秒 (8 時間) の範囲です。セッションは、設定されたタイムアウト期間が経過すると期限切れになります。
NAT セッション永続性の制限
NAT 送信元プール内の IP アドレスに変更があった場合、新しく設定された IP アドレスが NAT 送信元プールに追加されます。NAT 送信元プールが再構築された後、新しい IP アドレスは既存の IP アドレスと同じではありません。NAT 送信元プール内の IP アドレスの違いは、NAT 送信元プールから IP アドレスを選択するラウンドロビン モードに影響します。
スキャンタイプがタイムアウトしないセッション(つまり、
session-drop-hold-down値が構成されていないセッション、または8時間として構成されているセッション)を識別する場合、パケット転送エンジンはそれらのセッションを無視し、セッションは保持されます。
ポートブロック割り当てサイズの設定
始める前に:
ポートブロックの割り当てを設定するためのガイドラインを理解します。 セキュアポートブロック割り当ての設定ガイドラインをお読みください。
NAT サブスクライバにポートのブロックを割り当てるセキュア ポート ブロック割り当てを設定できます。ポートブロックの割り当てでは、加入者に割り当てられたポートのセットごとに1つのsyslogログを生成します。ポートブロックの割り当てサイズを設定するには、次の手順を使用します。
NAT セッション保留タイムアウトと NAT セッション持続性スキャンの設定
この設定は、NATセッション保留タイムアウトとNATセッション持続性を設定する方法を示しています。
Configuring NAT Session Hold Timeout
以下の設定は、NATセッションホールドタイムアウトを設定する方法を示しています。
NATセッション保留タイムアウト時間を設定するには:
[edit security nat source] user@host#
set session-drop-hold-down time;時間変数の値の範囲は 30 秒から 28,800 秒 (8 時間) です。セッションは、設定されたタイムアウト期間が経過すると期限切れになります。
Results
設定モードから、 show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
nat {
source {
session-drop-hold-down 28800;
}
}
Configuring NAT Session Persistence Scan
次の構成は、NAT セッション持続性スキャンを構成する方法を示しています。
NAT セッション持続性スキャンを有効にするには:
[edit security nat source] user@host#
set session-persistence-scan
Results
設定モードから、 show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
nat {
source {
session-persistence-scan;
}
}
再ルート後のエグレスインターフェイスでのNAT設定チェックについて
ネットワーク アドレス変換(NAT)の構成は、より多くのユーザーに対応し、トラフィックを転送するための最短ルートを強化するために変更されることがよくあります。トラフィックの再ルーティングによってエグレスインターフェイスに変更が発生した場合、 set security flow enable-reroute-uniform-link-check nat コマンドを使用して既存のNAT設定とルールを保持できます。
enable-reroute-uniform-link-check natコマンドが有効な場合:
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンにあり、一致したNATルールに変更がない場合、または再ルーティングの前後にルールが適用されない場合、セッションは既存のNATルールで保持されます。
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンにあり、一致したNATルールが変更された場合、セッションは期限切れになります。
enable-reroute-uniform-link-check nat コマンドが無効になっている場合:
新しいエグレス インターフェイスと以前のエグレス インターフェイスが同じセキュリティ ゾーンにある場合、トラフィックは新しいエグレス インターフェイスに転送されます。
Configuration
再ルーティングによりエグレスインターフェイスに変更があった場合に、既存セッションのNAT設定を有効にするには、次のコマンドを使用します。
[edit] user@host# set security flow enable-reroute-uniform-link-check nat設定変更をコミットすると、新しい設定が適用されます。
enable-reroute-uniform-link-check nat commandはデフォルトで無効になっています。
Limitations
set security flow enable-reroute-uniform-link-check nat コマンドを使用して NAT 設定を保持することには、以下の制限があります。
TCP 同期では、新しいセッションでのトラフィックの転送は許可されません。新しいセッションでトラフィックを転送できるようにするには、TCP 同期を無効にする必要があります。
通信を初期化するために 3 ウェイ ハンドシェイクの後に再ルートが開始されると、パケット情報が失われる可能性があります。新しいセッションでトラフィックを転送できるようにするには、アプリケーション層ゲートウェイ(ALG)などのJunos OSサービスフレームワーク(JSF)を無効にする必要があります。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
edit security nat source] 階層レベルの
port-scaling-enlargement ステートメントを使用して、送信元 NAT ポート容量を 2.4G に増やすことができます