Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

GTP용 NAT

네트워크 주소 변환(NAT) 프로토콜은 내부 GPRS 네트워크와 인터넷(외부 네트워크) 간의 GTP 트래픽을 검사하는 데 사용되며, 그 반대의 경우도 마찬가지입니다.

GTP용 NAT 이해

GPRS(General Packet Radio Service) 인터페이스는 동일한 라우팅 인스턴스에서 GPRS 터널링 프로토콜(GTP) 검사와 네트워크 주소 변환(NAT)를 동시에 지원합니다. 정적 NAT로 구성된 GTP 패킷이 네트워크에서 검사되면 IP 헤더 내의 주소만 변환됩니다. 페이로드 내의 주소는 번역되지 않습니다. 각 엔드포인트에 대해 관련 GTP 세션은 동일한 영역 및 가상 라우터 속해야 합니다. 즉, 페이로드의 헤더 소스 IP, C-터널 IP 및 U-터널 IP가 패킷에 대해 동일한 범위로 정의됩니다.

NAT를 활성화하면 외부 IP 패킷만 변환해야 합니다. 내장된 IP 주소는 번역되지 않습니다.

GTP 패킷 플로우 동안 소스 IP 주소와 대상 IP 주소는 동시에 NAT로 변환할 수 없습니다. 디바이스에서 NAT 규칙 구성을 삭제하거나 비활성화하면 NAT 규칙 관련 GSN 및 GTP 터널이 삭제됩니다. NAT 규칙과 관련된 GSN 번호와 터널 번호가 큰 경우 이 삭제 프로세스는 몇 분이 소요됩니다.

예: NAT에서 GTP 검사 구성

이 예는 프라이빗 IP(네트워크 내부에 있고 라우팅할 수 없는 IP)를 공용 IP(네트워크 외부에 있고 라우팅 가능한 IP)로 매핑하도록 NAT 규칙을 구성하는 방법을 보여줍니다. 또한 내부 및 외부 네트워크 간의 GTP 트래픽을 검사하는 방법도 보여줍니다.

요구 사항

시작하기 전에 GTP가 활성화된 후 디바이스를 다시 시작해야 합니다. 기본적으로 GTP는 디바이스에서 비활성화됩니다.

개요

이 예에서는 주소 10.0.0.254/8 및 123.0.0.254/8을 사용하여 인터페이스를 ge-0/0/0 및 ge-0/0/1로 구성합니다. 그런 다음 보안 영역과 정적 NAT를 구성합니다. 보안 정책에서 GTP 서비스를 활성화하여 두 네트워크 간의 양방향 트래픽을 허용하고 내부 및 외부 네트워크 간의 트래픽을 확인합니다.

구성

절차

CLI 빠른 구성

예의 이 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

NAT에서 GTP 검사를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 구성 및 보안 영역

  3. 주소록을 정의합니다.

  4. NAT 규칙을 정의합니다.

  5. GTP 프로필을 활성화합니다.

  6. GTP 트래픽을 확인합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

NAT에서 GTP 검사 확인

목적

내부 네트워크와 외부 네트워크 간의 GTP 트래픽을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security .

네트워크 주소 변환 프로토콜 변환 이해하기

NAT-PT(네트워크 주소 변환-Protocol Translation)는 IPv4 주소 형식에서 IPv6 주소 형식에 이르기까지 두 가지 방향으로 수행될 수 있는 프로토콜 변환 메커니즘입니다. NAT-PT는 IPv6 네트워크의 주소를 IPv4 네트워크의 주소와 바인딩하고 그 반대의 경우 주소 영역 간에 트래버스하는 데이터그램에 대한 투명 라우팅을 제공합니다.

각 방향에서 정적 NAT는 한 IP 서브넷에서 다른 IP 서브넷으로의 일대일 매핑을 정의합니다. 매핑에는 한 방향으로 대상 IP 주소 변환이 포함되고 반대 방향으로 소스 IP 주소 변환이 포함됩니다.

NAT-PT의 주요 장점은 최종 디바이스와 네트워크가 IPv4 주소 또는 IPv6 주소 중 하나를 실행할 수 있고 트래픽은 어느 쪽에서나 시작할 수 있다는 것입니다.

예: SCTP 멀티호밍을 사용하는 IPv4와 IPv6 엔드포인트 간에 NAT-PT를 구성하여 트래픽 엔지니어링 향상

이 예는 IPv4 엔드포인트와 IPv6 엔드포인트 간에 NAT-PT를 구성하여 트래픽 엔지니어링을 강화하는 방법을 보여줍니다. NAT-PT는 IPv4 및 IPv6 데이터그램의 프로토콜 독립 변환을 통해 IPv6 전용 노드와 IPv4 전용 노드 간의 통신을 허용하는 프로토콜 변환 메커니즘으로, 세션에 대한 상태 정보가 필요하지 않습니다. NAT-PT는 IPv6 네트워크의 주소를 IPv4 네트워크의 주소와 바인딩하고 그 반대의 경우 주소 영역 간에 트래버스하는 데이터그램에 대한 투명 라우팅을 제공합니다. NAT-PT의 주요 장점은 최종 디바이스와 네트워크가 IPv4 주소 또는 IPv6 주소 중 하나를 실행할 수 있고 트래픽은 어느 쪽에서나 시작할 수 있다는 것입니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • SRX5400 디바이스

  • 두 개의 IPv6 주소를 사용하여 SRX5400 디바이스에 연결된 엔드포인트 A

  • 두 개의 IPv4 주소를 사용하여 SRX5400 디바이스에 연결된 엔드포인트 B

개요

이 예에서는 IPv4 엔드포인트와 IPv6 엔드포인트 간에 NAT-PT를 구성합니다. 엔드포인트 A는 두 개의 IPv6 주소를 사용하여 SRX5400 디바이스에 연결되고 엔드포인트 B는 두 개의 IPv4 주소를 사용하여 SRX5400 디바이스에 연결됩니다.

IPv4 주소 형식과 IPv6 주소 형식 간에 IP 헤더 및 IP 주소 목록(INIT/INT-ACK 메시지에 위치)을 변환하도록 SRX5400 디바이스를 구성할 수 있습니다. 각 방향에서 정적 NAT는 한 IP 서브넷에서 다른 IP 서브넷으로의 일대일 매핑을 정의합니다. 매핑에는 한 방향으로 대상 IP 주소 변환이 포함되고 반대 방향으로 소스 IP 주소 변환이 포함됩니다.

그림 1 은 이 예에서 사용된 네트워크 토폴로지를 보여줍니다.

토폴로지

그림 1: IPv4 엔드포인트와 IPv6 엔드포인트 NAT-PT Between an IPv4 Endpoint and an IPv6 Endpoint 간 NAT-PT

IPv4와 IPv6 엔드포인트 간의 NAT-PT 세부 정보 구성은표 1을 참조하십시오.

표 1: IPv4와 IPv6 엔드포인트 간 NAT-PT 세부 정보 구성

끝점

주소 1

주소 2

A(IPv6)

2001:db8:2a:1:1:1/96

2001:db8:2c:3:3:3:3/96

B(IPv4)

10.2.2.2/24

10.4.4.4/34

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

절차

단계별 절차

IPv4 엔드포인트와 IPv6 엔드포인트 간에 NAT-PT를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 영역을 구성합니다.

  3. 첫 번째 정적 NAT 영역에 대한 규칙을 구성합니다.

  4. 영역 1에서 오는 트래픽에 대한 정적 NAT 규칙 일치 기준을 지정합니다.

  5. 두 번째 정적 NAT 영역에 대한 규칙을 구성합니다.

  6. 영역 2에서 오는 트래픽에 대한 정적 NAT 규칙 일치 기준을 지정합니다.

결과

구성 모드에서 , show security zonesshow security nat static 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성 확인

목적

IPv4 엔드포인트와 IPv6 엔드포인트 간의 NAT-PT 구성이 올바른지 확인합니다.

작업

운영 모드에서 및 show security nat static rule all 명령을 입력 show security zones 합니다.

의미

show security zones 명령은 구성된 모든 영역과 영역과 연결된 인터페이스를 표시합니다. show security nat static rule all 명령은 구성된 모든 정적 NAT 규칙을 표시합니다.

관련 문서