네트워크 주소 변환(NAT) 구성 개요

네트워크 주소 변환(NAT) 풀 구성

이 문을 사용하여 pool NAT(네트워크 주소 변환)에 사용되는 주소(또는 접두사), 주소 범위 및 포트를 정의할 수 있습니다. 정보를 구성하려면 계층 수준에서 [edit services nat] 문을 포함 pool 합니다.

Junos OS 릴리스 14.2부터 다음과 같이 네트워크 주소 변환(NAT) 풀을 구성합니다. Junos OS 릴리스 16.1부터 이 limit-ports-per-address 문이 지원됩니다.

Junos OS 릴리스 14.1 및 이전 버전에서는 다음과 같이 네트워크 주소 변환(NAT) 풀을 구성합니다.

기존 네트워크 주소 변환(NAT)에 대한 풀을 구성하려면 대상 풀 또는 소스 풀을 지정합니다.

정적 소스 NAT 및 동적 소스 NAT를 사용하여 여러 IPv4 주소(또는 접두사) 및 IPv4 주소 범위를 지정할 수 있습니다. 단일 풀 내에서 최대 32개의 접두사 또는 주소 범위(또는 조합)를 지원할 수 있습니다.

정적 대상 NAT를 사용하면 단일 용어에 여러 주소 접두사와 주소 범위를 지정할 수도 있습니다. 여러 대상 NAT 용어가 대상 NAT 풀을 공유할 수 있습니다. 그러나 주소의 from 넷마스크 또는 범위는 대상 풀 주소의 넷마스크 또는 범위보다 작거나 같아야 합니다. 풀을 필요 이상으로 정의하면 일부 주소가 사용되지 않습니다. 예를 들어, 풀 크기를 100개 주소로 정의하고 규칙이 80개 주소만 지정하는 경우 풀의 마지막 20개 주소는 사용되지 않습니다.

특정 변환 유형에 대한 제약은 네트워크 주소 변환 규칙 개요를 참조하십시오.

소스 정적 NAT를 사용하면 접두사와 주소 범위가 별도의 풀 간에 겹칠 수 없습니다.

주소 범위 low 에서 값은 값보다 작은 숫자여야 합니다. high 여러 주소 범위와 접두사가 구성된 경우, 접두사가 먼저 소모된 다음 주소 범위가 소모됩니다.

동적 소스 NAT를 위한 포트를 지정할 경우, 주소 범위는 총 (65,000 x 65,535) 또는 4,259,775,000개의 플로우에 대해 최대 65,000개의 주소로 제한됩니다. 주소 포트 변환이 없는 동적 네트워크 주소 변환(NAT) 풀은 최대 65,535개의 주소를 지원합니다. 정적 소스 NAT의 풀 크기에는 제한이 없습니다.

범위 보존 및 패리티 보존

아웃바운드 연결에 소스 포트를 할당할 때 패킷 소스 포트의 범위 또는 패리티를 유지하도록 CGN(carrier-grade NAT)을 구성할 수 있습니다. 계층 수준에서 [edit services nat pool poolname port] 및 preserve-parity 구성 문을 포함하여 preserve-range NAT 풀 정의에서 패리티 보존 및 범위 보존 옵션을 구성할 수 있습니다.

범위 보존 및 패리티 보존은 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 범위 보존 및 패리티 보존은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

• 범위 유지—RFC 4787, 유니캐스트 UDP에 대한 네트워크 주소 변환(NAT) 동작 요구 사항은 0에서 1023까지, 1024에서 65,535까지의 두 가지 범위를 정의합니다. 노브가 preserve-range 구성되고 수신 포트가 이러한 범위 중 하나에 속하면 CGN은 해당 범위의 포트만 할당합니다. 그러나 범위에 사용 가능한 포트가 없으면 포트 할당 요청이 실패하고 해당 세션이 생성되지 않습니다. 실패는 카운터 및 시스템 로깅에 반영되지만 ICMP(Internet Control Message Protocol) 메시지는 생성되지 않습니다. 이 노브가 구성되지 않은 경우, 할당은 수신 포트를 포함하는 포트 범위와 관계없이 구성된 포트 범위를 기반으로 합니다. 예외는 특수 영역이 있는 hello와 같은 일부 ALG(application-level gateways)입니다.

• 패리티 유지—노브가 구성되면 preserve-parity CGN은 수신 포트와 동일한 짝수 또는 홀수 패리티를 가진 포트를 할당합니다. 수신 포트 번호가 홀수 또는 짝수인 경우 발신 포트 번호는 그에 따라 홀수 또는 짝수여야 합니다. 원하는 패리티의 포트 번호를 사용할 수 없는 경우, 포트 할당 요청이 실패하고 세션이 생성되지 않으며 패킷이 삭제됩니다.

풀을 구성하지 않고 대상 및 원본 접두사 지정

풀을 구성하지 않고 네트워크 주소 변환(NAT)에 사용되는 대상 또는 소스 접두사를 직접 지정할 수 있습니다.

정보를 구성하려면 계층 수준에서 문을 포함 rule 합니다.[edit services nat]

NAT 규칙에 대한 일치 방향 구성

각 규칙에는 match-direction 일치가 적용되는 방향을 지정하는 문이 포함되어야 합니다. 일치가 적용되는 위치를 구성하려면 계층 수준에서 [edit services nat rule rule-name] 문을 포함 match-direction 합니다.

일치 방향은 멀티서비스 DPC 및 멀티서비스 PIC를 통한 트래픽 플로우와 관련하여 사용됩니다. 패킷이 PIC로 전송되면 방향 정보가 함께 전송됩니다. 패킷 방향은 다음 기준에 따라 결정됩니다.

• 인터페이스 서비스 세트에서 패킷 방향은 패킷이 서비스 세트가 적용된 인터페이스에 들어가는지 나가는지에 따라 결정됩니다.

• 다음 홉 서비스 세트를 사용하면 패킷 방향이 멀티서비스 DPC 또는 멀티서비스 PIC로 패킷을 라우팅하는 데 사용되는 인터페이스에 의해 결정됩니다. 패킷을 라우팅하는 데 내부 인터페이스가 사용되는 경우 패킷 방향이 입력됩니다. 외부 인터페이스를 사용하여 패킷을 PIC 또는 DPC로 전달하는 경우 패킷 방향이 출력됩니다. 내부 및 외부 인터페이스에 대한 자세한 내용은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.

• 멀티서비스 DPC 및 멀티서비스 PIC에서 플로우 조회가 수행됩니다. 플로우가 없으면 규칙 처리가 수행됩니다. 서비스 집합의 모든 규칙이 고려됩니다. 규칙 처리 중에 패킷 방향이 규칙 방향과 비교됩니다. 패킷 방향과 일치하는 방향 정보가 있는 규칙만 고려됩니다.

NAT 규칙의 일치 조건 구성

네트워크 주소 변환(NAT) 일치 조건을 구성하려면 계층 수준에서 문을 포함 from 합니다.[edit services nat rule rule-name term term-name]

기존 네트워크 주소 변환(NAT)을 구성하기 위해 방화벽 필터를 구성하는 것과 동일한 방식으로 대상 주소, 대상 주소 범위, 소스 주소 또는 소스 주소 범위를 일치 조건으로 사용할 수 있습니다. 자세한 정보는 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.

또는 계층 수준에서 문을 포함 prefix-list 시킨 다음 NAT 규칙에 OR source-prefix-list 문을 포함하여 destination-prefix-list 소스 또는 대상 접두사 목록을 지정할 수 [edit policy-options] 있습니다. 예를 들어 예: 스테이트풀 방화벽 규칙 구성을 참조하십시오.

NAT 규칙 문에서 then 문이 로 stateful-nat-64설정된 경우translation-type, 또는 문에서 from 지정된 destination-prefix-list 범위 destination-address-range 는 문에서 then 지정된 destination-prefix 범위 내에 있어야 합니다.

NAT 규칙 내에서 하나 이상의 NAT 용어가 APP(주소 풀링 페어링) 기능을 활성화한 경우(계층 수준에서 [edit services nat rule rule-name term term-name then translated] 문을 포함 address-pooling 하여, APP가 활성화된 용어의 주소 풀과 동일한 NAT 주소 풀을 사용하는 NAT 규칙의 다른 모든 용어는 APP를 활성화해야 함). 그렇지 않으면 APP가 활성화된 다른 용어가 포함된 규칙에 APP를 활성화하지 않고 NAT 규칙 용어를 추가하는 경우 NAT 규칙에서 APP가 활성화된 모든 용어는 NAT 규칙에서 지정된 기준과 일치하는 트래픽 흐름을 삭제합니다.

MS-MIC 및 MS-MPC가 포함된 MX 시리즈 라우터의 경우, APP(주소 풀링 페어링) 기능이 NAT 규칙 내에서 활성화되더라도(계층 수준에서 [edit services nat rule rule-name term term-name then translated] 문을 포함 address-pooling 하여) NAT 풀의 특성입니다. APP가 사용하도록 설정된 NAT 풀은 APP가 구성되지 않은 NAT 규칙과 공유할 수 없습니다.

네트워크 주소 변환(NAT)을 구성할 때 트래픽이 다음 주소로 향하고 네트워크 주소 변환(NAT) 흐름 또는 네트워크 주소 변환(NAT) 규칙과 일치하지 않으면 트래픽이 삭제됩니다.

• 대상 변환을 사용할 때 문에 from destination-address 지정된 주소

• 소스 변환을 사용할 때 소스 NAT 풀에 지정된 주소

NAT 규칙에서 작업 구성

네트워크 주소 변환(NAT) 작업을 구성하려면 계층 수준에서 [edit services nat rule rule-name term term-name] 문을 포함 then 합니다.

• no-translation 이 문을 사용하면 NAT에서 제외할 주소를 지정할 수 있습니다.

  이 no-translation 문은 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 이 no-translation 문은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

• system log 이 문을 사용하면 시스템 로깅 기능에 경고를 기록할 수 있습니다.

• , , 및 문은 계층 수준에서 [edit services nat] 문을 포함하여 pool 정의하는 주소 지정 정보를 지정합니다. 자세한 내용은 네트워크 주소 변환 개요를 위한 주소 및 포트 풀 구성을 참조하십시오.source-prefix source-pooldestination-prefixdestination-pool

• 명령문은 translation-type 소스 또는 대상 트래픽에 사용되는 NAT 유형을 지정합니다. 옵션은 basic-nat-pt, basic-nat44, dnat-44napt-44napt-66napt-ptdynamic-nat44basic-nat66stateful-nat64twice-basic-nat-44stateful-nat464 twice-dynamic-nat-44및 twice-napt-44입니다.

참고:

Junos OS 릴리스 13.2 및 이전 버전에서는 CLI에 의해 다음과 같은 제한이 적용되지 않았습니다. 네트워크 주소 변환(NAT) 규칙 문의 문이 then 로 설정된 경우translation-type, 문 destination-address-range 또는 문 destination-prefix-list 에서 from 지정된 범위는 문 내 then 문에 destination-prefix 의해 지정된 범위 stateful-nat-64내에 있어야 합니다. Junos OS 릴리스 13.3R1부터 이 제한이 적용됩니다.

변환 유형 구성

명령문의 9가지 옵션 translation-type 에 대한 구현 세부 사항은 다음과 같습니다.

• basic-nat44- 이 옵션은 포트 매핑 없이 소스 IP 주소의 정적 변환을 구현합니다. 규칙의 일치 조건에서 문을 구성 from source-address 해야 합니다. 문에 지정된 주소 범위의 크기는 소스 풀과 같거나 작아야 합니다. 소스 풀 또는 대상 접두사를 지정해야 합니다. 참조된 풀에는 여러 주소가 포함될 수 있지만 변환할 포트를 지정할 수는 없습니다.

  참고:

  인터페이스 서비스 집합에서 일치 조건에 지정된 소스 주소로 향하는 모든 패킷은 인터페이스와 연결된 서비스 집합이 없더라도 서비스 PIC로 자동 라우팅됩니다.

  참고:

  Junos OS 릴리스 11.4R3 이전에는 단일 서비스 집합에서 소스 NAT 풀만 사용할 수 있었습니다. Junos OS 릴리스 11.4R3 및 후속 릴리스부터는 여러 서비스 집합에서 소스 NAT 풀을 재사용할 수 있습니다.

• basic-nat66—이 옵션은 IPv6 네트워크에서 포트 매핑 없이 소스 IP 주소의 정적 변환을 구현합니다. 구성은 구현과 basic-nat44 유사하지만 IPv6 주소를 사용합니다.

  MS-MPC 또는 MS-MIC를 사용하는 경우에는 이 basic-nat66 옵션을 사용할 수 없습니다.

• basic-nat-pt—이 옵션은 IPv6 호스트가 외부 도메인의 IPv4 호스트로 세션을 시작하거나 그 반대로 세션을 시작할 때 IPv6 호스트의 주소 변환을 구현합니다. 이 옵션은 항상 DNS ALG와 함께 구현됩니다. IPv4 주소의 소스 및 대상 풀을 정의해야 합니다. 하나의 규칙을 구성하고 두 개의 용어를 정의해야 합니다. 두 문의 문에서 IPv6 주소를 from 구성 term 합니다. 규칙 내의 첫 번째 용어에 대한 문에서 then 소스 및 대상 풀을 모두 참조하고 dns-alg-prefix구성을 구성합니다. 동일한 규칙 내에서 두 번째 용어의 문에서 then 소스 접두사를 구성합니다.

  MS-MPC 또는 MS-MIC를 사용하는 경우에는 이 basic-nat-pt 옵션을 사용할 수 없습니다.

• deterministic-napt44—이 옵션은 대상 포트 및 IP 주소 블록의 알고리즘 기반 할당을 구현합니다. 이렇게 하면 수신(소스) IP 주소와 포트가 항상 동일한 대상 IP 주소와 포트에 매핑되므로 주소 변환 로깅이 필요하지 않습니다. 을 사용할 deterministic-napt44때는 계층 수준에서도 [edit services nat pool poolname port] 사용해야 deterministic-port-block-allocation 합니다.

  이 deterministic-napt44 옵션은 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. deterministic-napt44 MS-MPC 또는 MS-MIC와 함께 MX 시리즈 라우터를 사용하는 경우 옵션은 Junos OS 릴리스 14.2R7 이상 14.2 릴리스와 릴리스 15.1R3 이상 15.1 릴리스에서만 지원됩니다.

• dnat-44- 이 옵션은 포트 매핑 없이 대상 IP 주소의 정적 변환을 구현합니다. 풀 주소 공간의 크기는 대상 주소 공간보다 크거나 같아야 합니다. 문의 이름을 destination pool 지정해야 합니다. 풀의 네트워크 주소 변환(NAT) 주소 수가 문의 대상 주소 수보다 큰 한 참조된 풀은 여러 주소, 범위 또는 접두사를 포함할 수 있습니다.from 계층 수준에서 [edit services nat rule rule-name term term-name from] 정확히 하나의 destination-address 값을 포함해야 합니다. 접두사인 경우 크기는 풀 접두사 크기보다 작거나 같아야 합니다. 풀에서 값과 일치하지 않는 주소는 여러 용어나 규칙 간에 풀을 공유할 수 없기 때문에 사용되지 않은 상태로 남아 있습니다.

• dynamic-nat44—이 옵션은 포트 매핑 없이 소스 IP 주소의 동적 변환을 구현합니다. 를 지정 source-pool해야 합니다. 참조된 풀에는 구성(주소 전용 변환용)이 address 포함되어야 합니다.

  dynamic-nat44 주소 전용 옵션은 최대 16,777,216개의 주소를 더 작은 크기의 풀로 변환할 수 있도록 지원합니다. 소스 주소 범위의 요청은 풀이 소진될 때까지 풀의 주소에 할당되고 추가 요청은 거부됩니다. 호스트에 할당된 네트워크 주소 변환(NAT) 주소는 해당 호스트의 모든 동시 세션에 사용됩니다. 해당 호스트에 대한 모든 세션이 만료된 후에만 주소가 풀로 해제됩니다. 이 기능을 통해 라우터는 여러 프라이빗 호스트 간에 몇 개의 공용 IP 주소를 공유할 수 있습니다. 모든 프라이빗 호스트가 동시에 세션을 생성하지 않을 수 있으므로 몇 개의 공용 IP 주소를 공유할 수 있습니다.

• napt-44—이 옵션은 포트 매핑을 사용하여 소스 IP 주소의 동적 변환을 구현합니다. 문의 이름을 source-pool 지정해야 합니다. 참조된 풀에는 구성이 포함되어야 합니다. port 포트가 자동으로 구성되거나 포트 범위가 지정되면 NAPT( 네트워크 주소 포트 변환 )가 사용됨을 의미합니다.

• napt-66—이 옵션은 IPv6 주소에 대한 포트 매핑을 사용하여 소스 IP 주소의 동적 주소 변환을 구현합니다. 구성은 구현과 napt-44 유사하지만 IPv6 주소를 사용합니다.

  MS-MPC 또는 MS-MIC를 사용하는 경우에는 이 napt-66 옵션을 사용할 수 없습니다.

• napt-pt- 이 옵션은 대상 IP 주소의 소스 및 정적 변환에 대한 동적 주소 및 포트 변환을 구현합니다. 문의 이름을 source-pool 지정해야 합니다. 참조된 풀에는 포트 구성(NAPT용)이 포함되어야 합니다. 또한 DNS 트래픽과 나머지 트래픽에 대해 각각 두 개의 규칙을 구성해야 합니다. DNS 트래픽에 대한 규칙은 DNS ALG를 활성화해야 하며 dns-alg-prefix 문을 구성해야 합니다. 또한 대상 IPv6 주소를 IPv4 주소로 변환하기 위해 두 번째 규칙에서 문에 dns-alg-prefix 구성된 접두사를 사용해야 합니다.

  MS-MPC 또는 MS-MIC를 사용하는 경우에는 이 napt-pt 옵션을 사용할 수 없습니다.

• stateful-nat464—이 옵션은 소스 IP 주소에 대한 464XLAT PLAT(Provider-Side Translater) 주소 변환과 대상 IPv4 주소에 대한 IPv6 접두사 제거 변환을 구현합니다. [edit services nat pool] 계층 수준에서 변환에 사용되는 IPv4 주소를 지정해야 합니다. 이 풀은 IPv6 주소를 IPv4로 변환하는 규칙에서 참조되어야 합니다.

  이 stateful-nat464 옵션은 MS-MPC 또는 MS-MIC를 사용하는 경우에만 사용할 수 있으며 Junos OS 릴리스 17.1R1부터 지원됩니다.

• stateful-nat64- 이 옵션은 소스 IP 주소에 대한 동적 주소 및 포트 변환과 대상 IP 주소에 대한 접두사 제거 변환을 구현합니다. 계층 수준에서 [edit services nat pool] 변환에 사용되는 IPv4 주소를 지정해야 합니다. 이 풀은 IPv6 주소를 IPv4로 변환하는 규칙에서 참조되어야 합니다.

• twice-basic-nat-44- 이 옵션은 IPv4 주소에 대한 정적 원본 및 정적 대상 변환을 구현하므로 원본 dnat-44 및 대상 주소에 대해 결합 basic-nat44 됩니다.

  이 twice-basic-nat-44 옵션은 MS-DPC 및 MS-100, MS-400 및 MS-500 멀티서비스 PIC에서 지원됩니다. 이 twice-basic-nat-44 옵션은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 지원됩니다.

• twice-dynamic-nat-44—이 옵션은 IPv4 주소에 대한 소스 동적 및 대상 정적 변환을 소스 및 dnat-44 대상 주소에 대해 결합 dynamic-nat44 하여 구현합니다.

  이 twice-dynamic-nat-44 옵션은 MS-DPC 및 MS-100, MS-400 및 MS-500 멀티서비스 PIC에서 지원됩니다. 이 twice-dynamic-nat-44 옵션은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 지원됩니다.

• twice-napt-44- 이 옵션은 소스 dnat-44 및 대상 주소에 대해 결합 napt-44 하여 IPv4 주소에 대한 소스 NAPT 및 대상 정적 변환을 구현합니다.

  이 twice-napt-44 옵션은 MS-DPC 및 MS-100, MS-400 및 MS-500 멀티서비스 PIC에서 지원됩니다. 이 twice-napt-44 옵션은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 지원됩니다.

네트워크 주소 변환(NAT) 방법에 대한 자세한 내용은 RFC 2663, IP 네트워크 주소 변환기(NAT) 용어 및 고려 사항을 참조하십시오.

비 NAT-T 피어에 대한 IPsec 패스스루에 대한 NAT 규칙 구성

릴리스 17.4R1 Junos OS 이전에는 MX 시리즈 라우터의 Junos VPN Site Secure IPsec 기능 제품군에 대해 NAT-T(네트워크 주소 변환-Traversal)가 지원되지 않습니다. Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터는 NAT-T를 준수하지 않는 IPsec 피어 간에 NAPT-44 및 NAT64 규칙을 통해 IKEv1 및 IPsec 패킷을 전달할 수 있습니다. ESP 터널 모드만 지원됩니다. 이 기능은 MS-MPC 및 MS-MIC에서만 지원됩니다.

NAPT-44 또는 NAT64에 대한 IPsec 패스스루에 대한 NAT 규칙을 구성하려면 다음을 수행합니다.

1. IKE(Internet Key Exchange) ALG 애플리케이션을 구성합니다. 애플리케이션 속성 구성을 참조하십시오.

2. 애플리케이션 세트에 애플리케이션을 추가합니다. 애플리케이션 세트 구성을 참조하십시오.

3. 네트워크 주소 변환(NAT) 풀을 구성합니다. 네트워크 주소 변환 개요를 위한 주소 및 포트 풀 구성을 참조하십시오.

4. 네트워크 주소 변환(NAT) 규칙을 구성합니다.

   1. 규칙의 일치 방향을 구성합니다. 네트워크 주소 변환(NAT) 규칙에 대한 일치 방향 구성을 참조하십시오.

   2. 일치하는 조건 중 하나를 2단계에서 구성한 IKE 및 IPsec 패스스루에 대한 애플리케이션 세트로 구성합니다.

   3. 다른 일치 조건을 구성합니다. NAT 규칙에서 일치 조건 구성을 참조하십시오.

   4. 변환 유형을 NAPT-44 또는 NAT64로 구성합니다.

   5. 다른 네트워크 주소 변환(NAT) 작업을 구성합니다. 네트워크 주소 변환(NAT) 규칙에서 작업 구성을 참조하십시오.

5. 서비스 집합에 NAT 규칙을 할당합니다.

새로 고침 동작 매핑

이 항목에서 설명한 네트워크 주소 변환(NAT) 매핑 새로 고침 동작을 구성하기 위한 새 옵션을 구현하기 전에는 인바운드 또는 아웃바운드 흐름이 활성화될 때 대화가 활성 상태로 유지되었습니다. 이는 기본 동작으로 유지됩니다. 이제 인바운드 플로우만 또는 아웃바운드 플로우에 대한 매핑 새로 고침을 지정할 수도 있습니다. 매핑 새로 고침 동작을 구성하려면 계층 수준에서 [edit services nat rule rule-name term term-name then translated secure-nat-mapping] 문을 포함 mapping-refresh (inbound | outbound | inbound-outbound) 합니다.

EIF 인바운드 플로우 제한

이전에는. EIF 맵핑의 인바운드 연결 수는 시스템에서 허용되는 최대 플로우에 의해서만 제한되었습니다. 이제 EIF에 허용되는 인바운드 플로우 수를 구성할 수 있습니다. EIF 맵핑에서 인바운드 연결 수를 제한하려면 계층 레벨에서 [edit services nat rule rule-name term term-name then translated secure-nat-mapping] 명령문을 포함 eif-flow-limit number-of-flows 하십시오.

MS-DPC와 함께 APP를 사용할 때 라운드 로빈 주소 할당 사용

모범 사례:

MS-DPC를 사용하고 NAT 규칙에 APP(주소 풀링 페어링)를 구성하는 경우 NAT 풀에 대한 라운드 로빈 주소 할당을 사용해야 합니다.

APP 기능은 해당 프라이빗 IP 주소에 대한 모든 네트워크 주소 변환(NAT) 세션에 대해 프라이빗 IP 주소를 네트워크 주소 변환(NAT) 풀의 동일한 퍼블릭 IP 주소에 매핑합니다.

NAT 풀에 대한 순차 주소 할당은 MS-DPC의 기본값이며 다음 IP 주소를 할당하기 전에 공용 IP 주소에 대한 모든 포트를 할당합니다. APP와 함께 순차적 할당을 수행하면 여러 프라이빗 호스트가 동일한 공용 IP 주소에 매핑되어 공용 IP 주소에 대한 포트가 빠르게 소모되지만 NAT 풀의 나머지 IP 주소에서 다른 포트를 계속 사용할 수 있습니다.

반면 라운드 로빈 할당은 네트워크 주소 변환(NAT) 풀의 다음 IP 주소를 변환이 필요한 다음 프라이빗 IP 주소에 할당하여 하나의 공용 IP 주소에 대한 모든 포트가 고갈될 가능성을 줄입니다.

APP 및 라운드 로빈 주소 할당에 대한 자세한 내용은 NAPT(Network Address Port Translation) 개요를 위한 주소 풀 구성을 참조하십시오.

참고:

MS-MPC 및 MS-MIC는 라운드 로빈 할당만 사용합니다.

다음 예는 라운드 로빈 주소 할당을 보여줍니다.

필요한 경우에만 EIM 기능을 사용하십시오

모범 사례:

Junos ALG를 포함하는 네트워크 주소 변환(NAT) 규칙 용어에는 엔드포인트 독립 매핑(EIM)을 사용하지 마십시오. EIM은 사설 호스트의 특정 세션에 대해 동일한 외부 네트워크 주소 변환(NAT) 주소 및 포트를 할당하지만 처리 오버헤드를 추가합니다. EIM은 이미 EIM에서 사용하는 기능을 사용하고 있는 Junos ALG에 대해 이점을 제공하지 않습니다.

모범 사례:

소스 포트를 재사용하고 CGNAT 디바이스에 의존하여 다른 대상으로 전송되는 모든 트래픽에 대해 동일한 주소 및 포트 맵핑을 유지하는 애플리케이션에 대해 EIM을 사용 가능하게 하십시오. 예를 들어 Xbox 및 PS4와 같은 콘솔 게임 응용 프로그램 또는 UNSAF(일방적 자체 주소 수정 방법)를 사용하는 응용 프로그램에 EIM을 사용합니다. (IETF RFC 3424, 네트워크 주소 변환 전반의 일방적 자체 주소 고정(UNSAF)에 대한 IAB 고려 사항)을 참조하십시오.

EIM에 대한 자세한 내용은 NAPT(네트워크 주소 포트 변환) 개요를 위한 주소 풀 구성을 참조하십시오.

다음 예는 NAT 규칙에서 Junos SIP ALG를 사용하므로 EIM은 사용되지 않습니다 .

예상 사용자 세션 수를 기반으로 포트 블록 할당 블록 크기 정의

모범 사례:

안전한 포트 블록 할당 및 결정적인 포트 블록 할당을 위해 사용자에 대해 예상되는 평균 활성 세션 수보다 2-4배 큰 포트 블록 할당 블록 크기를 정의합니다. 예를 들어, 사용자가 평균 약 200개에서 250개의 네트워크 주소 변환(NAT) 세션을 활성 상태로 예상되는 경우, 블록 크기를 512 또는 1024로 구성하면 자유로운 할당이 제공됩니다.

모범 사례:

MX 시리즈를 네트워크 주소 변환(NAT) 디바이스로 사용하여 보안 포트 블록 할당을 롤아웃하고 가입자 사용자 프로필과 트래픽 프로필이 확실하지 않은 경우, 프라이빗 가입자의 예상 피크 수를 처리할 수 있는 충분한 네트워크 주소 변환(NAT) IP 주소가 있으면 포트 블록 크기를 1024로 설정합니다. 네트워크 주소 변환(NAT) IP 주소 수에 62를 곱하면 포트 블록 크기 1024(IP 주소당 62개 블록)로 처리할 수 있는 프라이빗 가입자 수를 나타냅니다. 그런 다음 명령을 사용하여 show services nat pool detail MX 시리즈 라우터를 면밀히 모니터링하여 블록 크기를 변경해야 하는지 여부를 결정합니다.

모범 사례:

네트워크 주소 변환(NAT) 풀에 할당할 수 있는 IP 주소 수가 제한되어 있는 경우 블록 크기를 너무 크게 만들지 않도록 주의해야 합니다. 블록을 가입자에게 효율적으로 할당할 수 있을 만큼 큰 포트 블록 크기를 만들면 모든 포트 블록이 묶일 수 있습니다.

보안 포트 블록 할당은 NAT44 또는 NAT64에 대해 특정 사용자에게 포트 블록을 할당합니다. 보안 포트 블록 할당은 포트 블록당 하나의 syslog만 생성하여 syslog 메시지 수를 제한합니다.

그러나 블록 크기를 잘못 구성하면 네트워크 주소 변환(NAT) 리소스를 비효율적으로 사용하거나 성능 문제가 발생할 수 있습니다. 예를 들어 사용자가 단일 HTML 페이지에 대해 상당한 수의 소켓을 설정해야 하는 웹 사이트에 연결하는 경우 해당 수의 새 포트를 할당해야 합니다. 포트 블록 크기는 새 블록의 지속적인 할당을 방지할 수 있을 만큼 커야 합니다. 프라이빗 가입자에 대한 동시 세션 수가 활성 포트 블록에서 사용 가능한 포트 수를 초과하는 경우, 가입자에게 할당된 다른 포트 블록에서 사용할 수 있는 포트를 스캔하거나 가입자에 대한 사용 가능한 블록 풀에서 새 블록이 할당됩니다. 할당된 포트 블록을 스캔하고 추가 블록을 할당하면 새 세션 설정 및 웹 페이지 로딩이 지연될 수 있습니다.

포트 블록 할당에 대한 자세한 정보는 보안 포트 블록 할당 구성 및 결정적 NAPT 구성을 참조하십시오.

다음 예제에서는 포트 블록 크기를 1024로 설정합니다.

실행 중인 시스템에서 포트 블록 할당 구성을 변경할 때 고려 사항

모범 사례:

MS-MPC 또는 MS-MIC를 사용할 때 실행 중인 시스템에서 보안 포트 블록 할당 또는 결정적 포트 블록 구성을 변경하기 전에 NAT 세션의 빠른 중단을 계획하십시오. 구성이 변경되면 현재 모든 네트워크 주소 변환(NAT) 세션이 다시 생성됩니다.

모범 사례:

MS-DPC를 사용할 때 실행 중인 시스템에서 포트 블록 할당 구성을 변경하기 전에 서비스 중단을 계획하십시오. 구성을 변경한 후 MS-DPC를 재부팅해야 하며, 이것이 가능하지 않은 경우 서비스 집합을 비활성화했다가 다시 활성화해야 합니다.

포트 블록 할당 구성에 대한 변경 사항은 다음과 같습니다.

• NAT 풀 PBA 구성 변경.

• PBA NAT 풀을 비 PBA NAT 풀로 변경합니다.

• 비 PBA NAT 풀을 PBA NAT 풀로 변경합니다.

포트 블록 할당 구성에 대한 자세한 내용은 보안 포트 블록 할당 구성 및 결정적 NAPT 구성을 참조하십시오.

필요 이상으로 큰 NAT 풀을 할당하지 마십시오

• MS-MPC 및 MS-MIC
• MS-DPC

필요한 경우에만 네트워크 주소 변환(NAT)에 대한 시스템 로깅 구성

모범 사례:

보안 포트 블록 할당 구성을 위해 세션당 시스템 로깅을 활성화하지 마십시오.

모범 사례:

결정적인 네트워크 주소 변환(NAT) 구성을 위해 시스템 로깅을 활성화하지 마십시오.

모범 사례:

가능하면 서비스 인터페이스 수준이 아닌 서비스 집합 수준에서 시스템 로깅을 활성화합니다.

모범 사례:

프로덕션 네트워크에서는 항상 로그 메시지를 외부 시스템 로그 서버로 보냅니다. 이렇게 하면 메시지가 로컬로 기록될 때 발생하는 CPU 부하가 라우팅 엔진에 추가되는 것을 방지할 수 있습니다.

모범 사례:

시스템 로그 클래스를 지정하여 관심 있는 애플리케이션 클래스로 로깅을 제한합니다.

모범 사례:

네트워크 주소 변환(NAT) 규칙 용어 내에서 시스템 로깅을 구성하는 경우 상태 저장 방화벽 규칙을 사용하여 네트워크 주소 변환(NAT) 규칙 용어에 도달하는 트래픽을 제한합니다.

시스템 로그 메시지는 세션의 생성 및 삭제 빈도에 따라 서비스 카드의 성능에 부정적인 영향을 미칠 수 있습니다. 서비스 카드에서 생성된 모든 시스템 로그 메시지는 서비스 카드에서 CPU 처리가 필요하며, 시스템 로그 메시지 자체는 MX 시리즈 라우터를 통해 전송되고 외부 로그 서버에 도달하기 위해 사용자 트래픽과 경쟁하는 트래픽을 구성합니다.

안전한 포트 블록 할당은 블록과 블록 크기를 알고 각 사용자에게 할당된 포트를 도출할 수 있기 때문에 세션별로 로그를 구성할 필요가 없습니다.

결정론적 NAT는 포트 할당에 대한 모든 정보를 수학적으로 추론할 수 있기 때문에 기록할 필요가 전혀 없습니다.

다음 예에서는 로깅을 네트워크 주소 변환(NAT) 이벤트로 제한하고 로그 메시지를 외부 로그 서버 203.0.113.4로 보냅니다

네트워크 주소 변환(NAT) 규칙 용어 내에서 시스템 로깅을 구성할 때, 네트워크 주소 변환(NAT) 규칙 용어에 들어오는 모든 트래픽이 로그를 생성하므로 과도한 로깅이 발생할 수 있습니다. 이로 인해 로깅 속도 제한에 도달할 수 있으며 필요한 로그가 손실될 수 있습니다.

네트워크 주소 변환(NAT)에 대한 시스템 로깅 구성에 대한 자세한 내용은 네트워크 주소 변환(NAT) 세션 로그 구성을 참조하십시오.

누락된 IP 조각의 영향 제한

모범 사례:

네트워크 주소 변환(NAT)을 위해 구성된 서비스 인터페이스의 경우 다음을 구성하여 누락되거나 지연된 조각의 영향을 제한합니다.

• 패킷의 최대 조각 수

• 누락된 조각에 대한 최대 대기 시간

네트워크 주소 변환(NAT)을 위해 구성된 서비스 카드가 수신한 IP 조각은 도착할 때 버퍼링됩니다. 이를 통해 패킷이 네트워크 주소 변환(NAT)에 의해 처리되기 전에 완전히 리어셈블된 패킷의 무결성을 검사할 수 있습니다. 누락되거나 지연된 단편으로 인해 이미 수신된 단편이 내부 버퍼가 가득 차서 플러시될 때까지 보류되어 CPU 사용량 오버헤드가 발생하고 트래픽 전달이 감소할 수 있습니다.

패킷이 가질 수 있는 최대 조각 수를 구성하고 누락된 조각에 대한 대기 시간을 제한하면 내부 버퍼가 가득 찰 가능성을 줄일 수 있습니다.

다음 예제에서는 최대 조각 수를 10초로 설정하고 최대 대기 시간을 3초로 설정합니다.

패킷 라우팅 루프가 발생하기 쉬운 구성을 사용하지 마십시오

모범 사례:

의도한 트래픽만 서비스 카드에 도달하고 서비스 집합 NAT 규칙에 의해 처리되도록 하여 패킷 라우팅 루프를 방지합니다. 다음을 통해 이 작업을 수행할 수 있습니다.

• 가능한 경우 NAT 규칙에 따라 원본-주소 범위를 구성합니다.

• 다음 홉 스타일 서비스 집합에서 NAT 규칙에 의해 서비스되어야 하는 트래픽만 허용하는 방화벽 필터 구성.

패킷 포워딩 엔진과 서비스 카드 간의 패킷 루프는 서비스 카드에서 지속적으로 높은 CPU 사용량을 초래합니다. 패킷 루핑은 예기치 않은 프라이빗 소스 네트워크에서 트래픽을 수신하는 서비스 카드로 인해 발생할 수 있습니다. 예기치 않은 트래픽이 NAT에 의해 처리되면 핀홀이 생성되며 EIF의 경우 많은 핀홀이 생성될 수 있습니다. 이러한 핀홀은 반환 트래픽이 서비스 카드를 통해 다시 라우팅되는 경우 라우팅 루프를 유발합니다.

다음 예는 198.51.100.0/24의 트래픽만 다음 홉 서비스 집합의 내부 인터페이스인 서비스 인터페이스 ms-1/0/0에 도달하도록 허용하는 방화벽 필터를 보여줍니다.

방화벽 필터 구성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.

다음 예는 198.51.100.0/24(다른 트래픽은 서비스 인터페이스에 도달하지만 처리되지 않음)의 트래픽만 처리하는 네트워크 주소 변환(NAT) 규칙을 보여줍니다.

네트워크 주소 변환(NAT) 규칙 구성에 대한 자세한 내용은 네트워크 주소 변환 규칙 개요를 참조하십시오.

비활성 시간 초과

모범 사례:

네트워크 주소 변환(NAT) 세션 매핑이 기본 네트워크 주소 변환(NAT) 비활성 시간 제한인 30초보다 더 오래 메모리에 남아 있어야 할 수 있는 사용자 정의 애플리케이션에 대해서만 비활성 시간 제한을 설정하십시오. 예를 들어 HTTP 또는 HTTPS 뱅킹 애플리케이션은 사용자가 데이터를 입력해야 하므로 30초 이상의 비활성 상태가 필요할 수 있습니다.

모범 사례:

기존 비활성 제한시간을 변경하기 전에 피크 시간에 다음 명령을 여러 번 실행하십시오. 그런 다음 변경한 후 명령을 실행하고 변경 사항으로 인해 MX 시리즈 라우터의 NAT 리소스 또는 서비스 카드의 메모리가 부족하지 않은지 확인합니다.

• show services sessions 개수

• show services nat pool 세부 사항

• show services service-sets summary

다음 예제에서는 HTTPS 및 HTTP 애플리케이션에 대해 1800초로 설정된 비활성 시간 제한을 보여 줍니다.

사용자 정의 애플리케이션 구성에 대한 자세한 내용은 애플리케이션 속성 구성을 참조하십시오.

모든 트래픽에 대해 높은 비활성 시간 제한을 설정할 때의 위험을 저울질해야 합니다. 기본 NAT 비활성 시간 제한인 30초는 일부 사용자 정의 애플리케이션에 비해 너무 낮을 수 있지만, 시간 제한 값을 너무 높게 설정하면 NAT 리소스가 묶일 수 있습니다. 예를 들어 비활성 시간 제한 값을 높게 설정하면 생성된 지 불과 몇 분 만에 비활성 상태인 TCP 세션이 묶일 수 있습니다. TCP 세션이 클라이언트 또는 서버의 FIN 또는 RST에 의해 완전히 닫히지 않으면 세션은 메모리에 저장되고 시간 제한 값이 만료될 때까지 할당된 NAT 리소스를 묶습니다.

모든 UDP 및 TCP 포트에 영향을 미치는 더 높은 비활성 시간 제한을 설정하는 것은 위험할 수 있으며, 특히 DNS와 같은 UDP 트래픽의 경우 더욱 그렇습니다. TCP와는 달리, UDP는 시간 초과 이외의 세션을 종료할 방법이 없으므로 모든 UDP 세션은 전체 비활성 시간 제한 값 동안 활성 상태를 유지합니다.

다음 예는 모든 TCP 및 UDP 트래픽에 대해 높은 비활성 시간 제한 값을 설정하므로 권장되지 않는 구성입니다.

구체적으로 권장되는 비활성 시간 제한 값은 없습니다. 적절한 비활성 시간 제한 값은 다음을 비롯한 여러 요인에 따라 달라집니다.

• 최종 사용자의 네트워크에서 사용되는 애플리케이션

  예를 들어 Apple은 긴 연결 수명이 필요한 다음 Apple 서비스에 대해 60분의 비활성 시간 제한이 필요하다고 밝혔습니다.

  • Apple 푸시 서비스: 인바운드 TCP 포트 5223

  • Exchange Active Sync: 인바운드 TCP 포트 443

  • MobileMe: 인바운드 TCP 포트 5222 및 5223

• 네트워크 주소 변환(NAT) 솔루션이 사용되는 방식(예: Gi NAT 디바이스 또는 엔터프라이즈 에지 라우터)

• NAT 풀의 크기는

• 최대 부하 시 각 서비스 카드가 수신하는 트래픽 양

• 사용 가능한 메모리 용량

플로우 제어에서 덤프 활성화

모범 사례:

프로덕션 네트워크에서 네트워크 주소 변환(NAT) 트래픽을 처리하는 모든 서비스 카드에 대해 dump-on-flow-control 옵션을 활성화합니다. 이 옵션은 서비스 카드가 잠긴 시점을 감지하고, 주니퍼 네트웍스가 분석하여 카드가 잠긴 이유를 판별할 수 있는 코어 덤프를 쓰고, 서비스 카드를 다시 시작하여 복구합니다.

MS-MIC 및 MS-MPC의 경우, 라우팅 엔진에서 서비스 카드로 제어 트래픽을 전송하는 데 사용되는 pc- 인터페이스 아래에 dump-on-flow-control 옵션을 설정합니다. 다음 예는 서비스 인터페이스가 ms-2/1/0인 경우 구성을 보여줍니다.

MS-DPC의 경우, sp- 인터페이스 아래에서 dump-on-flow 제어 옵션을 설정합니다. 다음 예는 서비스 인터페이스가 sp-2/1/0인 경우 구성을 보여줍니다.