IPv6 NAT
IPv6 NATは、ネットワークデバイスのIPv4アドレスをIPv6アドレスに変換するのに役立ちます。IPv6 NATは、IPv6ホスト間のアドレス変換にも役立ちます。IPv6 NATは、送信元NAT、宛先NAT、および静的NATをサポートします。
NAT64変換を実行する際、IPv6フラグメント化ヘッダーの問題を回避するには、 set security nat natv6v4 no-v6-frag-header コマンドを使用します。
IPv6 NATの概要
IPv6は、使い果たされそうなIPv4アドレス空間よりもはるかに大きなアドレス空間を持っています。IPv4は、単一のパブリックアドレスでさまざまなプライベートアドレスを表現できるNAT(ネットワークアドレス変換)や、一時的なアドレス割り当てなどの技術を使用して拡張されてきました。従来のIPv4ホストがインターネットへの接続を維持するための移行メカニズムを提供するための技術は数多くあります。IPv6 NATは、IPv4およびIPv6アドレス付きネットワークデバイス間のアドレス変換を提供します。また、IPv6ホスト間のアドレス変換も提供します。IPv6ホスト間のNATは、IPv4 NATと同様の方法と目的で行われます。
Junos OSのIPv6 NATには、以下のNATタイプがあります。
ソースNAT
宛先 NAT
静的 NAT
IPv6 NAT でサポートされているソース NAT 変換
送信元 NAT は、ジュニパーネットワークス デバイスから送信されるパケットの送信元 IP アドレスの変換です。送信元NATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
Junos OSのIPv6 NATは、以下のソースNAT変換をサポートしています。
ポートアドレス変換なしで、あるIPv6サブネットを別のIPv6サブネットに変換
IPv4アドレスからIPv6プレフィックス+IPv4アドレスへの変換
ポートアドレス変換の有無にかかわらず、IPv6ホストからIPv6ホストへの変換
ポートアドレス変換の有無にかかわらず、IPv6ホストからIPv4ホストへの変換
ポートアドレス変換の有無にかかわらず、IPv4ホストからIPv6ホストへの変換
IPv6 NATでサポートされている宛先NATマッピングNAT
宛先 NAT は、ジュニパーネットワークスのデバイスに入るパケットの宛先 IP アドレスの変換です。宛先 NAT は、仮想ホスト(元の宛先 IP アドレスで識別)宛てのトラフィックを実際のホスト(変換された宛先 IP アドレスで識別)にリダイレクトするために使用されます。
Junos OSのIPv6 NATは、以下の宛先NAT変換をサポートしています。
IPv4 と IPv6 プレフィックス間のプレフィックス変換
あるIPv6サブネットから別のIPv6サブネットへのマッピング
1つのIPv6サブネットからIPv6ホストへのマッピング
1つのIPv6サブネットから1つのIPv4サブネットへのマッピング
1つのIPv4サブネットから1つのIPv6サブネットへのマッピング
1つのIPv6ホスト(およびオプションのポート番号)への特別なIPv6ホスト(およびオプションのポート番号)のマッピング
1つのIPv6ホスト(およびオプションのポート番号)への特別なIPv4ホスト(およびオプションのポート番号)のマッピング
1つのIPv4ホスト(およびオプションのポート番号)への特別なIPv6ホスト(およびオプションのポート番号)のマッピング
IPv6 NATでサポートされている静的NATマッピング
静的NATは、あるIPサブネットから別のIPサブネットへの1対1のマッピングを定義します。マッピングには、一方向への宛先IPアドレス変換と逆方向への送信元IPアドレス変換が含まれます。NATデバイスから見ると、元の宛先アドレスは仮想ホストのIPアドレスで、マップされたアドレスは実際のホストのIPアドレスになります。
Junos OSのIPv6 NATは、以下の静的NAT変換をサポートしています。
あるIPv6サブネットから別のIPv6サブネットへの変換
あるIPv6ホストから別のIPv6ホストへの変換
1つのIPv4アドレスa.b.c.dからIPv6アドレスプレフィックス::a.b.c.dへの変換
IPv4ホストからIPv6ホストへの変換
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用してIPv6ノードへのIPv4開始接続を構成するを参照してください。
IPv6ホストからIPv4ホストへの変換
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用してIPv4ノードへのIPv6開始接続を構成するを参照してください。
1つのIPv6プレフィックスから1つのIPv4プレフィックスへのマッピング
1つのIPv4プレフィックスから1つのIPv6プレフィックスへのマッピング
例:静的な宛先アドレスのワンツーワンマッピングを使用してIPv6ノードにIPv4が開始された接続を構成するを参照してください。
IPv6 NAT PTの概要
IPv6ネットワークアドレス変換プロトコル変換(NAT-PT)は、IPv4およびIPv6アドレス付きネットワークデバイス間のアドレス割り当てとプロトコル変換を提供します。変換プロセスは、ステートレスIP/ICMP変換(SIIT)方式に基づいています。ただし、各通信の状態とコンテキストは、セッションの存続期間中保持されます。IPv6 NAT-PTは、ICMP(Internet Control Message Protocol)、TCP、UDPパケットをサポートします。
IPv6 NAT-PTは、以下のタイプのNAT-PTをサポートします。
従来の NAT-PT—従来の NAT-PT では、セッションは単方向であり、IPv6 ネットワークからのアウトバウンドです。従来のNAT-PTでは、IPv6ネットワーク内のホストがIPv4ネットワーク内のホストにアクセスできます。従来の NAT-PT には、基本的な NAT-PT と NAPT-PT の 2 つのバリエーションがあります。
基本的な NAT-PT では、IPv4 インターフェイスの IPv4 アドレスのブロックは、IPv4 ホストへのセッションを開始するときに、アドレスを IPv6 ホストとして変換するために確保されます。基本 NAT-PT は、IPv6 ドメインから送信されるパケットの送信元 IP アドレスと IP、TCP、UDP、ICMP ヘッダー チェックサムなどの関連フィールドを変換します。インバウンドパケットの場合は、宛先IPアドレスとチェックサムを変換します。
ネットワークアドレスポート変換プロトコル変換(NAPT-PT)を基本的なNAT-PTと組み合わせることで、外部アドレスのプールをポート変換と組み合わせて使用することができます。NAPT-PTでは、IPv6ホストのセットが単一のIPv4アドレスを共有できます。NAPT-PTは、IPv6ネットワークから送信されるパケットの送信元IPアドレス、送信元トランスポート識別子、およびIP、TCP、UDP、ICMPヘッダーチェックサムなどの関連フィールドを変換します。トランスポート識別子は、TCP/UDPポートまたはICMPクエリIDです。インバウンドパケットの場合は、宛先IPアドレス、宛先トランスポート識別子、IPとトランスポートヘッダーのチェックサムを変換します。
双方向NAT-PT—双方向NAT-PTでは、IPv4ネットワークとIPv6ネットワークのホストからセッションを開始できます。IPv6ネットワークアドレスは、いずれの方向へ接続が確立されると、静的または動的にIPv4アドレスにバインドされます。静的構成は、静的 NAT 変換と似ています。IPv4レルムのホストは、アドレス解決にDNSを使用してIPv6レルムのホストにアクセスします。DNS ALGは、名前とアドレスのマッピングを容易にするために、双方向NAT-PTと組み合わせて採用する必要があります。具体的には、DNS ALGは、DNSパケットがIPv6とIPv4レルムの間を通過する際に、DNSクエリーと応答内のIPv6アドレスをIPv4アドレスバインディングに変換したり、その逆に変換したりできる必要があります。
デバイスは、双方向NAT-PT仕様を部分的にサポートしています。IPv6アドレスと動的に割り当てられたIPv4アドレス間のマッピングを伝達する他の方法があると仮定して、双方向トラフィックのフローをサポートします。例えば、アドレスを識別するために、IPv4ノードにマッピングされたエントリーを使用してローカルDNSを構成できます。
NAT-PT動作—デバイスは従来のNAT-PTをサポートしており、ユーザーがIPv4からIPv6に通信するための静的マッピングを可能にします。ユーザーは、ホスト名のIPv4アドレスでDNSサーバーを静的に設定し、IPv6専用ノードがDNSに基づいてIPv4専用ノードからIPv6専用ノードに通信できるように、デバイス上に静的NATを作成する必要があります。
関連項目
IPv6 NAT-PT通信の概要
NAT-PT communication with static mapping— ネットワークアドレス変換プロトコル変換(NAT-PT)は、IPv6 から IPv4 へ、またはその逆の 2 方向で実行できます。各方向に対して、静的 NAT を使用して宛先ホストをローカル アドレスにマッピングし、送信元アドレス NAT を使用して送信元アドレスを変換します。静的 NAT マッピングと送信元 NAT マッピングには、1 対 1 マッピングとプレフィックスベースのマッピングの 2 種類があります。
NAT- PT communication with DNS ALG—DNSベースのメカニズムにより、IPv6アドレスをIPv4専用サーバーに動的にマッピングします。NAT-PTは、DNS ALGを使用して透過的に変換を行います。例えば、内部 IPv6 ネットワークを使用している企業は、IPv6 アドレスをまだ持たない外部 IPv4 サーバーと通信できる必要があります。
動的アドレスバインディングをサポートするには、名前解決にDNSを使用する必要があります。IPv4ホストは、ローカルで設定されたIPv4 DNSサーバーでIPv6ノードの名前を検索し、NAT-PTを使用してデバイスを介してIPv6 DNSサーバーにクエリーを渡します。
NATデバイス内のDNS ALG:
IPv6アドレス解決をIPv4アドレス解決に変換し直します。
マッピングにIPv6アドレスを割り当てます。
IPv6アドレス解決で返されたIPv6アドレスへの割り当てられたIPv4アドレスのマッピングを保存し、任意のIPv4ホストからIPv6ホストにセッションを確立できるようにします。
関連項目
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用したIPv6ノードへのIPv4開始接続の設定
この例では、デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv6ノードへのIPv4開始接続を設定する方法を示しています。
要件
開始する前に、インターフェイスを設定し、セキュリティゾーンに割り当てます。
概要
次の例では、インターフェイスに静的マッピング 126 ベースの IPv6 アドレスが定義され、デバイス上に静的マッピング /126 が設定されている IPv6 ノードに対して、IPv4 開始接続を構成する方法について説明します。この例では、IPv4アドレスにマッピングされるIPv6アドレスが、IPv4アドレスをIPv6アドレス空間の一部にすることを前提としています。
IPv4 開始の IPv6 ノードへの接続の設定は、IPv4 ネットワーク上のデバイスを IPv6 ネットワーク上のデバイスに相互接続する必要がある場合や、IPv4 ネットワークから IPv6 ネットワークへの移行中に便利です。このマッピングは、IPv6ネットワークから開始されたトラフィックに対して、IPv6アドレスからIPv4アドレスをリバースルックアップするDNS ALGに使用できます。このプロセスは、IPv4ノードから開始されたセッションと、NAT/PTデバイスの反対側にあるIPv6ノードとの接続も提供します。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。
静的な宛先アドレスの1対1マッピングを使用してIPv6ノードへのIPv4開始接続を構成するには:
-
インターフェイスの静的 NAT ルール セットを構成します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
宛先アドレスのプレフィックスに一致するルールを定義します。
一致ルールの宛先アドレス番号は、static-natプレフィックス範囲に等しい番号である必要があります。
一致ルールの送信元アドレス番号に制限はありません。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
デバイスの静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
送信元NATプールにIPv6アドレスプレフィックスを設定します。
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
インターフェイスの送信元NATルールセットを設定します。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
IPv6 の送信元 NAT 送信元アドレスを設定します。
一致ルールの送信元アドレス番号は、送信元プール範囲と等しいアドレス番号である必要があります。たとえば、^2(32 – 30) = 2^(128 – 126) =>です。
一致ルールの宛先アドレス番号に制限はありません。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
IPv6送信元NATの宛先アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
ルールで設定された送信元NAT IPv6プールを定義します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
結果
設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
静的 NAT が設定されていることの確認
目的
静的 NAT がインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 show security nat static コマンドを入力します。
例:静的な宛先アドレスの1対1マッピングを使用したIPv6ノードへのIPv4開始接続の設定
この例では、静的な宛先アドレスの 1 対 1 のマッピングを使用して、IPv4 開始の IPv6 ノードへの接続を設定する方法を示します。
要件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティゾーンに割り当てます。
概要
次の例では、デバイス上で1対1の静的NATを使用してIPv6ノードと通信するようにIPv4ノードを設定する方法について説明します。
IPv4 ノードと IPv6 ノードの通信は、IPv4 ホストが IPv6 サーバーにアクセスする場合、IPv6 のみをサポートする新しいサーバーで IPv6 ネットワークに接続する必要がある場合、およびほとんどのマシンがすでに IPv6 に移行しているときに古いホストを新しいサーバーに移行する場合に役立ちます。たとえば、この機能を使用して、IPv4 専用ノードを IPv6 専用プリンターに接続できます。このマッピングは、IPv6ネットワークから開始されたトラフィックのIPv6アドレスからIPv4アドレスをリバースルックアップするDNS ALGにも使用できます。
この例では、プレフィックス10.10.10.1/30に一致する送信元IPv4アドレスにIPv6プレフィックス2001:db8::/96を追加して変換された送信元IPv6アドレスを形成し、宛先IPv4アドレス10.1.1.25/32はIPv6アドレス2001:db8::25/128に変換されます。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
静的な宛先アドレスの1対1マッピングを使用してIPv6ノードへのIPv4開始接続を構成するには:
インターフェイスの静的 NAT ルール セットを構成します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
ルールと宛先アドレスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
IPv6プレフィックスアドレスで送信元NATプールを設定します。
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
送信元 NAT ルール セットを構成します。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
送信元NAT送信元アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
送信元 NAT の宛先アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
ルールで設定された送信元 NAT IPv6 プールを定義します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
結果
設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
静的 NAT が設定されていることの確認
目的
静的 NAT がインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 show security nat static コマンドを入力します。
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用したIPv4ノードへのIPv6開始接続の設定
この例では、デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv6開始のIPv4ノードへの接続を設定する方法を示しています。この例では、逆方向の NAT 変換を設定する方法を示しません。
要件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティゾーンに割り当てます。
概要
次の例では、デバイス上でプレフィックスベースの静的NATが定義されているIPv4ノードとIPv6ノードとの通信について説明します。静的 NAT は、IPv4 ネットワークが特別な IPv6 ネットワーク(つまり、IPv4 にマッピングされた IPv6 ネットワーク)であると仮定し、IPv6 プレフィックスの背後に IPv4 ネットワーク全体を隠します。
IPv6ノードとIPv4ノードの通信は、IPv6がネットワークで使用されていて、IPv4ネットワークに接続する必要がある場合、またはIPv4とIPv6の両方がネットワークで使用されていて、移行中に2つのネットワークを相互接続するメカニズムが必要な場合に役立ちます。また、IPv6ノードから開始されたセッションと、NAT/PTデバイスの反対側にあるIPv4ノードとの接続も提供されます。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
デフォルトの宛先アドレスプレフィックス静的マッピングを使用してIPv4ノードへのIPv6開始接続を設定するには:
インターフェイスの静的 NAT を設定します。
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
デバイスで定義された静的NAT変換のプレフィックスで、ルールと宛先アドレスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
静的 NAT を inet として定義して、IPv4 アドレスに変換します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
IPv4送信元NATプールアドレスを設定します。
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
送信元 NAT ルール セットを構成します。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
IPv4送信元NAT宛先アドレスを設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
デバイスで定義された送信元NATのプレフィックスで送信元アドレスを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
ルールで設定された送信元NAT IPv4プールを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
結果
設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
静的 NAT が設定されていることの確認
目的
静的 NAT がインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 show security nat static rule コマンドを入力します。
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
送信元NATが設定されていることの確認
目的
ソース NAT が設定されているかどうかを確認します。
アクション
動作モードから、 show security nat source rule コマンドを入力します。
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
動作モードから、 show security nat source pool コマンドを入力します。
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
例:静的な宛先アドレスの1対1マッピングを使用したIPv4ノードへのIPv6開始接続の設定
この例では、静的な宛先アドレスの 1 対 1 のマッピングを使用して、IPv6 から開始された IPv4 ノードへの接続を設定する方法を示します。
要件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティゾーンに割り当てます。
概要
次の例では、デバイス上に1対1の静的NATアドレスが定義されているIPv4ノードとIPv6ノードとの通信について説明します。IPv6ノードとIPv4ノードの通信により、どちらのデバイスもデュアルスタックがなく、通信するにはNAT/PTデバイスに依存しなければならない場合に、IPv6ホストがIPv4サーバーにアクセスできます。これにより、一部のIPv4レガシーサーバーアプリケーションは、ネットワークがIPv6に移行した後でも動作できます。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
静的な宛先アドレスの1対1マッピングを使用してIPv4ノードへのIPv6開始接続を構成するには:
インターフェイスの静的 NAT ルール セットを構成します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
宛先アドレスに一致するルールを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
ルールに静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
IPv4アドレスで送信元NATプールを設定します。
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
インターフェイスのIPv4アドレスを設定します。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
送信元アドレスをIPv4送信元NATアドレスに設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
IPv4送信元NATアドレスへの宛先アドレスを設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
ルールで設定された送信元NAT IPv4プールを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
結果
設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
静的 NAT が設定されていることの確認
目的
静的 NAT がインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 show security nat static コマンドを入力します。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。