정적 NAT
정적 네트워크 주소 변환(NAT)은 정적 외부 IP 주소에서 내부 IP 주소 또는 네트워크로 네트워크 트래픽을 매핑합니다. 실제 주소를 매핑된 주소로 정적 변환을 생성합니다. 정적 NAT는 등록되지 않은 프라이빗 IP 주소를 가진 프라이빗 LAN을 통해 네트워킹 디바이스에 인터넷 연결을 제공합니다.
정적 네트워크 주소 변환(NAT) 이해하기
정적 네트워크 주소 변환(NAT)은 하나의 IP 서브넷에서 다른 IP 서브넷으로의 일대일 매핑을 정의합니다. 매핑에는 한 방향의 대상 IP 주소 변환과 반대 방향의 소스 IP 주소 변환이 포함됩니다. 네트워크 주소 변환(NAT) 디바이스에서 원래 대상 주소는 가상 호스트 IP 주소이고 매핑된 주소는 실제 호스트 IP 주소입니다.
정적 네트워크 주소 변환(NAT)을 사용하면 네트워크의 어느 쪽에서든 연결을 시작할 수 있지만 변환은 일대일 또는 동일한 크기의 주소 블록 간으로 제한됩니다. 각 프라이빗 주소에 대해 퍼블릭 주소를 할당해야 합니다. 주소 풀이 필요하지 않습니다.
정적 NAT는 다음 유형의 변환도 지원합니다.
여러 IP 주소와 지정된 포트 범위를 동일한 IP 주소 및 다른 포트 범위에 매핑하려면
특정 IP 주소 및 포트를 다른 IP 주소 및 포트에 매핑하려면
또한 포트 주소 변환(PAT)은 대상 포트(범위)와 매핑된 포트(범위) 간의 정적 매핑을 제공하여 지원됩니다.
원본 대상 주소는 소스 및 대상 NAT 풀의 다른 주소와 함께 동일한 라우팅 인스턴스 내에서 겹치지 않아야 합니다.
네트워크 주소 변환(NAT) 규칙 조회에서 정적 네트워크 주소 변환(NAT) 규칙이 대상 네트워크 주소 변환(NAT) 규칙보다 우선하며, 정적 네트워크 주소 변환(NAT) 규칙의 역방향 매핑이 소스 네트워크 주소 변환(NAT) 규칙보다 우선합니다.
정적 NAT 규칙 이해
정적 네트워크 주소 변환(NAT) 규칙은 두 계층의 일치 조건을 지정합니다.
트래픽 방향 - 인터페이스에서, 영역에서, 또는 라우팅 인스턴스에서 지정할 수 있습니다.
패킷 정보 - 소스 주소 및 포트, 대상 주소 및 포트일 수 있습니다.
FTP를 제외한 모든 ALG 트래픽의 경우 정적 네트워크 주소 변환(NAT) 규칙 옵션 source-address 또는 source-port. 이러한 옵션을 사용하면 IP 주소와 소스 포트 값(임의의 값)이 정적 네트워크 주소 변환(NAT) 규칙과 일치하지 않을 수 있기 때문에 데이터 세션 생성이 실패할 수 있습니다. FTP ALG 트래픽의 경우, 정적 네트워크 주소 변환(NAT) 규칙의 소스 주소와 일치하도록 IP 주소를 제공할 수 있기 때문에 이 source-address 옵션을 사용할 수 있습니다.
소스 및 대상 주소가 모두 규칙의 일치 조건으로 구성되면 트래픽은 소스 주소 및 대상 주소 모두와 일치합니다. 정적 네트워크 주소 변환(NAT)은 양방향이기 때문에 반대 방향의 트래픽은 규칙과 일치하고 트래픽의 대상 주소는 구성된 소스 주소와 일치합니다.
일치 조건에서 여러 정적 네트워크 주소 변환(NAT) 규칙이 겹치는 경우 가장 구체적인 규칙이 선택됩니다. 예를 들어 규칙 A와 B가 동일한 소스 및 대상 IP 주소를 지정하지만 규칙 A가 영역 1의 트래픽을 지정하고 규칙 B가 인터페이스 ge-0/0/0의 트래픽을 지정하는 경우 규칙 B는 정적 NAT를 수행하는 데 사용됩니다. 인터페이스 일치는 라우팅 인스턴스 일치보다 더 구체적인 영역 일치보다 더 구체적인 것으로 간주됩니다.
정적 NAT 규칙은 중첩되는 주소와 포트를 지원하지 않기 때문에 ALG 트래픽에 대해 하나의 외부 IP 주소를 여러 내부 IP 주소로 매핑하는 데 사용해서는 안 됩니다. 예를 들어 서로 다른 사이트에서 두 개의 서로 다른 FTP 서버에 액세스하려는 경우 내부 FTP 서버를 두 개의 서로 다른 외부 IP 주소에 매핑해야 합니다.
정적 NAT 규칙 작업의 경우, 변환된 주소와 (선택적으로) 라우팅 인스턴스를 지정합니다.
네트워크 주소 변환(NAT) 조회에서 정적 네트워크 주소 변환(NAT) 규칙이 대상 네트워크 주소 변환(NAT) 규칙보다 우선하며, 정적 네트워크 주소 변환(NAT) 규칙의 역방향 매핑이 소스 네트워크 주소 변환(NAT) 규칙보다 우선합니다.
정적 네트워크 주소 변환(NAT) 구성 개요
정적 네트워크 주소 변환(NAT)의 주요 구성 작업은 다음과 같습니다.
- 네트워크 및 보안 요구 사항에 맞는 정적 NAT 규칙을 구성합니다.
- 수신 인터페이스의 동일한 서브넷에 있는 IP 주소에 대한 네트워크 주소 변환(NAT) 프록시 ARP 항목을 구성합니다.
예: 단일 주소 변환을 위한 정적 네트워크 주소 변환(NAT) 구성
이 예에서는 단일 프라이빗 주소와 공용 주소의 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명합니다.
요구 사항
시작하기 전에:
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 신뢰 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다.
그림 1에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.200/32를 통해 신뢰할 수 있는 영역의 서버에 액세스합니다. 대상 IP 주소가 203.0.113.200/32인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어오는 패킷의 경우, 대상 IP 주소는 프라이빗 주소 192.168.1.200/32로 변환됩니다. 서버에서 시작되는 새 세션의 경우 나가는 패킷의 소스 IP 주소는 공용 주소 203.0.113.200/32로 변환됩니다.
이 예에서는 다음 구성을 설명합니다.
신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.200/32와 일치시키는 규칙
r1이 있는 정적 네트워크 주소 변환(NAT) 규칙 집합rs1. 패킷이 일치하는 경우, 대상 IP 주소는 프라이빗 주소 192.168.1.200/32로 변환됩니다.인터페이스 ge-0/0/0.0에서 주소 203.0.113.200에 대한 프록시 ARP입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
192.168.1.200 서버에서 들어오고 나가는 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프라이빗 주소에서 퍼블릭 주소로의 정적 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
정적 네트워크 주소 변환(NAT) 규칙 세트를 생성합니다.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
패킷을 일치시키고 패킷의 대상 주소를 프라이빗 주소로 변환하는 규칙을 구성합니다.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
전체 주소록에서 주소를 구성합니다.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
언트러스트(untrust) 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
신뢰할 수 있는 영역의 서버에서 신뢰할 수 없는 영역으로 모든 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
결과
구성 모드에서 and show security policies 명령을 입력 show security nat 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
static-nat prefix 192.168.1.200/32;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-1;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 네트워크 주소 변환(NAT) 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat static rule Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 서브넷 변환을 위한 정적 네트워크 주소 변환(NAT) 구성
이 예에서는 프라이빗 서브넷 주소와 공용 서브넷 주소의 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명합니다.
정적 네트워크 주소 변환(NAT) 매핑을 위한 주소 블록은 동일한 크기여야 합니다.
요구 사항
시작하기 전에:
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 신뢰 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다. 그림 2에서 신뢰할 수 없는 영역의 디바이스는 공용 서브넷 주소 203.0.113.0/24를 통해 신뢰할 수 있는 영역의 디바이스에 액세스합니다. 203.0.113.0/24 서브넷의 대상 IP 주소를 사용하여 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어오는 패킷의 경우, 대상 IP 주소는 192.168.1.0/24 서브넷의 프라이빗 주소로 변환됩니다. 192.168.1.0/24 서브넷에서 시작되는 새 세션의 경우 나가는 패킷의 소스 IP 주소는 공용 203.0.113.0/24 서브넷의 주소로 변환됩니다.
이 예에서는 다음 구성을 설명합니다.
인터페이스 ge-0/0/0.0에서 수신된 패킷을 203.0.113.0/24 서브넷의 대상 IP 주소와 일치시키는 규칙
r1이 있는 정적 네트워크 주소 변환(NAT) 규칙 집합rs1. 패킷이 일치하는 경우, 대상 주소는 192.168.1.0/24 서브넷의 주소로 변환됩니다.인터페이스 ge-0/0/0.0에서 주소 범위 203.0.113.1/32에서 203.0.113.249/32까지의 프록시 ARP입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다. 주소 203.0.113.250/32는 인터페이스 자체에 할당되므로, 이 주소는 프록시 ARP 구성에 포함되지 않습니다.
192.168.1.0/24 서브넷에서 들어오고 나가는 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프라이빗 서브넷 주소에서 퍼블릭 서브넷 주소로의 정적 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
정적 네트워크 주소 변환(NAT) 규칙 세트를 생성합니다.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷을 일치시키고 패킷의 대상 주소를 프라이빗 서브넷의 주소로 변환하는 규칙을 구성합니다.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
전체 주소록에서 주소를 구성합니다.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
언트러스트(untrust) 영역에서 트러스트 영역의 서브넷으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
신뢰할 수 있는 영역의 서브넷에서 신뢰할 수 없는 영역으로 모든 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
결과
구성 모드에서 and show security policies 명령을 입력 show security nat 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
static-nat prefix 192.168.1.0/24;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-group;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-group;
application any;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 네트워크 주소 변환(NAT) 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat static rule Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 서브넷 변환을 위한 정적 NAT64 구성
이 구성 예를 사용하여 정적 NAT64를 구성하여 IPv6과 IPv4 주소 공간 간의 원활한 변환을 지원합니다. IPv4에서 IPv6으로 전환되는 환경에서 정적 NAT64를 사용하여 안정적인 IP 간 버전 통신을 보장할 수 있습니다.
| 읽기성 점수 |
|
| 읽기 시간 |
15분 이내에 완료됩니다. |
| 구성 시간 |
한 시간도 채 안 돼요. |
- 사전 요구 사항 예
- 시작하기 전에
- 기능 개요
- 토폴로지 개요
- 토폴로지 일러스트레이션
- DUT(Device-Under-Test)에서 정적 NAT64 구성
- 검증
- 부록 1: 모든 디바이스에서 명령 설정
- 부록 2: DUT에 구성 출력 표시
사전 요구 사항 예
이 구성 예를 사용하여 디바이스에서 정적 NAT64를 구성하고 확인합니다. 정적 NAT64는 잘 알려진 NAT64 접두사(64:ff9b::/96)를 사용하여 IPv6 주소를 IPv4로 변환하여 IPv6 전용 클라이언트와 IPv4 서버 간의 원활한 통신을 가능하게 합니다. 이 기능은 안정적인 교차 IP 버전 통신을 보장하면서 이중 스택 구성이 필요하지 않기 때문에 IPv4에서 IPv6으로 전환되는 환경에서 특히 유용합니다.
| 하드웨어 요구 사항 |
vSRX 가상 방화벽 |
| 소프트웨어 요구 사항 |
Junos OS 릴리스 24.1R1 이상 |
| 라이선스 요구 사항 |
보안 라이선스를 활성화하여 네트워크 주소 변환(NAT) 및 보안 기능을 활성화합니다. |
시작하기 전에
| 이점 |
|
| 유용한 리소스: |
|
| 자세히 알아보기 |
|
| 실습 경험 |
|
| 더 알아보세요 |
|
기능 개요
| 프로필 |
|
| 번역 프로필 | NAT64 구성에는 IPv6과 IPv4 간의 매핑을 정의하기 위한 변환 프로파일이 포함되어 있습니다. |
| 접두사 프로필 | IPv6에서 IPv4로 주소 변환을 위한 NAT64 잘 알려진 접두사(64:ff9b::/96)를 지정합니다. |
| 주소 매핑 |
특정 IPv6 주소 또는 서브넷을 해당 IPv4 주소에 매핑하여 변환을 용이하게 합니다. |
| 정책 |
|
| 인바운드 정책 |
IPv6 전용 클라이언트가 NAT64 변환 규칙을 일치시켜 IPv4 서버로의 트래픽을 시작할 수 있습니다. |
| 아웃바운드 정책 |
NAT64 규칙에 따라 IPv4 서버에서 IPv6 클라이언트로 다시 반환 트래픽을 허용합니다. |
| 보안 존 |
|
|
|
연결을 시작하는 IPv6 전용 클라이언트에 대한 네트워크 세그먼트입니다. |
|
|
IPv4 서버가 상주하는 네트워크 세그먼트로 클라이언트 요청에 응답합니다. |
| NAT64 영역 |
NAT64 처리 전용 영역으로 효율적인 변환 및 트래픽 관리를 보장합니다. |
토폴로지 개요
이 정적 NAT64 토폴로지에서 IPv6 전용 클라이언트는 SRX 시리즈 방화벽을 통해 IPv4 서버와 통신합니다. 방화벽은 정적 NAT64 매핑을 사용하여 IPv6 주소를 IPv4로 변환하고, DNS64 서버는 원활한 주소 확인을 위해 IPv6 DNS 응답을 합성합니다. 이 설정은 듀얼 스택 구성 없이도 IPv6 전용 클라이언트와 IPv4 서버 간의 원활한 통신을 보장합니다.
| 토폴로지 구성 요소 |
역할 |
기능 |
|---|---|---|
| 클라이언트 |
IPv6 전용 디바이스 |
IPv6 전용 환경에서 IPv4 서버와 통신하도록 요청을 시작합니다. |
| SRX 시리즈 방화벽 |
NAT64 게이트웨이 |
구성된 정적 NAT64 매핑을 사용하여 IPv6 주소를 IPv4 주소로 변환하여 IP 버전 간에 원활한 통신을 보장합니다. |
| DNS64 서버 |
DNS 변환기 |
클라이언트에 대한 IPv4 DNS 응답을 변환하여 주소 확인을 활성화합니다. |
| IPv4 서버 |
대상 서버 |
IPv4 주소를 사용하여 클라이언트 요청에 응답하여 NAT64를 통해 IPv6 전용 클라이언트와 상호 작용할 수 있습니다. |
토폴로지 일러스트레이션
DUT(Device-Under-Test)에서 정적 NAT64 구성
DUT에 대한 전체 샘플 구성은 다음을 참조하십시오.
검증
정적 NAT64 구성 확인
목적
정적 NAT64 규칙 세트와 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat static rule Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
의미
부록 1: 모든 디바이스에서 명령 설정
다음 예에서는 다양한 수준의 Junos OS 구성 계층을 탐색해야 합니다. CLI 탐색에 대한 자세한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
부록 2: DUT에 구성 출력 표시
DUT에서 명령 출력을 표시합니다.
운영 모드에서 다음 명령을 사용하여 구성을 확인합니다. 출력이
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8::1/96;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host# show security nat
source {
pool p1 {
address {
10.6.32.0/24;
}
}
rule-set src_rs1 {
from zone trust;
to zone untrust;
rule source_rule {
match {
source-address 2001:db8::/96;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
p1;
}
}
}
}
}
}
static {
rule-set static_rs1 {
from zone trust;
rule static_rule {
match {
destination-address 64:ff9b::/96;
}
then {
static-nat {
inet;
}
}
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
10.6.32.1/32 to 10.6.32.249/32;
}
}
}
예: 포트 매핑을 위한 정적 네트워크 주소 변환(NAT) 구성
이 예에서는 지정된 포트 범위에서 프라이빗 주소로의 공용 주소의 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명합니다.
이 주제는 다음 섹션을 포함합니다.
요구 사항
시작하기 전에:
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 신뢰 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다.
그림 4에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.1/32, 203.0.113.1/32 및 203.0.113.3/32를 통해 신뢰할 수 있는 영역의 서버에 액세스합니다. 대상 IP 주소 203.0.113.1/32, 203.0.113.1/32, 203.0.113.3/32를 가진 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어오는 패킷의 경우, 대상 IP 주소는 프라이빗 주소 10.1.1.1/32,10.1.1.2/32 및 10.1.1.2/32로 변환됩니다.
을 위한 정적 NAT
-
대상 포트를 구성하려면 대상 주소 필드에 IP 주소 접두사 대신 IP 주소를 사용해야 합니다.
-
매핑된 포트를 구성하려면 대상 포트를 구성해야 하며 그 반대의 경우도 마찬가지입니다.
-
대상 포트와 매핑된 포트를 구성하는 동안 포트에 동일한 번호 범위를 사용합니다.
-
대상 포트와 매핑된 포트를 구성하지 않으면 IP 매핑은 일대일 매핑이 됩니다.
-
주소 중복 또는 주소와 포트 중첩은 허용되지 않습니다.
이 예에서는 다음 구성을 설명합니다.
정적 네트워크 주소 변환(NAT) 규칙 세트 rs1과 규칙 r1을 사용하여 신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.1/32 및 대상 포트 100에서 200으로 일치시킵니다. 패킷이 일치하는 경우, 대상 IP 주소는 프라이빗 주소 10.1.1.1/32로 변환되고 포트 300에서 400으로 매핑됩니다.
정적 네트워크 주소 변환(NAT) 규칙 세트 rs1과 규칙 r2를 사용하여 신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.1/32 및 대상 포트 300 - 400과 일치시킵니다. 패킷을 일치시키기 위해 대상 IP 주소는 프라이빗 주소 10.1.1.2/32로 변환되고 포트 300에서 400으로 매핑됩니다.
신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.3/32 및 대상 포트 300과 일치시키기 위해 규칙 r3이 있는 정적 네트워크 주소 변환(NAT) 규칙 세트 rs1. 패킷이 일치하는 경우, 대상 IP 주소는 프라이빗 주소 10.1.1.2/32로 변환되고 포트 200에 매핑됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security nat static rule-set rs from zone untrustset security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32set security nat static rule-set rs rule r3 match destination-port 300set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프라이빗 서브넷 주소에서 퍼블릭 서브넷 주소로의 정적 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
정적 네트워크 주소 변환(NAT) 규칙 세트를 생성합니다.
[edit security nat static]user@host# set rule-set rs from zone untrust패킷을 일치시키고 패킷의 대상 주소를 프라이빗 주소로 변환하는 규칙을 구성합니다.
[edit security nat static]user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r1 match destination-port 100 to 200user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400패킷을 일치시키고 패킷의 대상 주소를 프라이빗 주소로 변환하는 규칙을 구성합니다.
[edit security nat static]user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r2 match destination-port 300 to 400user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400패킷을 일치시키고 패킷의 대상 주소를 프라이빗 주소로 변환하는 규칙을 구성합니다.
[edit security nat static]user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32user@host# set rule-set rs rule r3 match destination-port 300user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security nat 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
security {
nat {
static {
rule-set rs {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.1/32;
destination-port 100 to 200;
}
then {
static-nat {
prefix {
10.1.1.1/32;
mapped-port 300 to 400;
}
}
}
}
rule r2 {
match {
destination-address 203.0.113.1/32;
destination-port 300 to 400;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 300 to 400;
}
}
}
}
rule r3 {
match {
destination-address 203.0.113.3/32;
destination-port 300;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 200;
}
}
}
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 네트워크 주소 변환(NAT) 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat static rule Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
문제 해결
정적 네트워크 주소 변환(NAT) 포트 구성 문제 해결
문제
정적 네트워크 주소 변환(NAT) 포트 매핑 구성 실패는 커밋 중에 발생합니다.
IP 주소와 포트가 겹치는 잘못된 구성은 커밋 실패를 초래합니다.
다음 예는 주소와 포트가 겹치는 잘못된 구성을 보여줍니다.
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 match destination-address 203.0.113.1set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.2set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
앞서 언급한 구성이 커밋을 위해 제출될 때 다음 오류 메시지가 표시되었습니다.
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
해결책
대상 포트를 구성하려면 주소 중복 또는 주소와 포트 중복을 피해야 합니다. 유효한 구성의 예는 구성을 참조하십시오
QFX5120에 대한 정적 NAT 및 PAT 구성
대상 NAT 및 대상 NAT PAT의 경우:
-
변환된 공용 IP 주소가 공용 인터페이스에 할당된 주소와 동일한 서브넷에 있는 경우 공용 인터페이스에서 프록시 ARP를 활성화합니다.
-
다음 홉을 로컬 프라이빗 IP 주소로 사용하여 변환된 공용 IP 주소에 대한 정적 경로를 추가합니다.
정적 네트워크 주소 변환(NAT) 정보 모니터링
목적
정적 네트워크 주소 변환(NAT) 규칙 정보를 봅니다.
작업
J-Web 사용자 인터페이스에서 Monitor>NAT>Static NAT 를 선택하거나 다음 CLI 명령을 입력합니다.
show security nat static rule
표 3 에는 정적 네트워크 주소 변환(NAT) 디스플레이의 키 출력 필드가 요약되어 있습니다.
필드 |
가치 |
작업 |
|---|---|---|
규칙 집합 이름 |
규칙 세트의 이름입니다. |
목록에서 표시할 모든 규칙 세트 또는 특정 규칙 세트를 선택합니다. |
총 규칙 |
구성된 규칙 수입니다. |
– |
아이디 |
규칙 ID 번호입니다. |
– |
위치 |
트래픽에 적용되는 순서를 나타내는 규칙의 위치입니다. |
– |
이름 |
규칙의 이름입니다. |
– |
규칙 집합 이름 |
규칙 세트의 이름입니다. |
– |
보낸 사람 |
패킷이 전송되는 라우팅 인스턴스/인터페이스/영역의 이름 |
– |
소스 주소 |
소스 IP 주소입니다. |
– |
소스 포트 |
소스 포트 번호입니다. |
– |
대상 주소 |
대상 IP 주소 및 서브넷 마스크. |
– |
대상 포트 |
대상 포트 번호 . |
– |
호스트 주소 |
호스트 주소의 이름입니다. |
– |
호스트 포트 |
호스트 포트 번호입니다. |
|
넷마스크 |
서브넷 IP 주소입니다. |
– |
호스트 라우팅 인스턴스 |
패킷이 전송되는 라우팅 인스턴스의 이름입니다. |
– |
알람 임계값 |
사용률 알람 임계값입니다. |
– |
세션(성공/실패/현재) |
성공, 실패 및 현재 세션.
|
– |
번역 히트 |
변환 테이블의 변환이 정적 NAT 규칙에 사용되는 횟수입니다. |
– |
상위 10개 번역 히트 그래프 |
상위 10개의 번역 히트 그래프를 표시합니다. |
– |