disable-natt (Services IPsec VPN)

構文

階層レベル

形容

Junos OS リリース 17.4R1 以前は、MX シリーズ ルーターの Junos VPN Site Secure IPsec 機能スイートでは、ネットワーク アドレス変換トラバーサル(NAT-T)はサポートされていません。17.4R1より前のJunos OSリリースでは、2つのIPsecゲートウェイ間にNATデバイスが存在する場合、NATトラバーサル(NAT-T)を無効にして、カプセル化にESP(セキュリティペイロードのカプセル化)プロトコルを使用するようにしました。

従来のネットワーク導入では、パケットを変換するためにネットワーク アドレス変換(NAT)またはネットワーク アドレス ポート変換(NAPT)用に構成されたデバイス上をパケットが通過する場合、IPsec は機能しません。IPsec トンネルを終端するデバイスのいずれか一方または両方のデバイスが NAT デバイスの背後にある場合、IPsec は機能しません。この動作は、IPsec で保護されたトラフィックには存在しないポート情報を NAT がチェックするために発生します。

NAT-Tが設定されている場合、IPsecトラフィックはUDPヘッダーを使用してカプセル化され、NATデバイスにポート情報が提供されます。デフォルトでは、Junos OS は、IPsec トンネルのいずれかが NAT デバイスの背後にあるかどうかを検出し、保護されたトラフィックに NAT-T を使用するように自動的に切り替わります。ただし、場合によっては、17.4R1より前のJunos OSリリースを実行しているMXシリーズルーターでのNAT-Tサポートが期待どおりに機能しない場合があります。また、ネットワークが IPsec 認識 NAT を使用していることがわかっている場合は、NAT トラバーサルを無効にする必要がある場合があります。

MX シリーズ ルーターの NAT-T の問題を回避するには、NAT-T を無効にします。NAT-T を無効にすると、NAT-T 機能はグローバルにオフに切り替えられます。また、2 つの IPsec ゲートウェイ間に NAT デバイスが存在する場合でも、NAT-T を無効にすると、ESP カプセル化のみが使用されます。

必要な権限レベル

interface—設定でこのステートメントを表示します。

interface-control—設定にこのステートメントを追加します。

リリース情報

Junos OSリリース16.1で導入されたステートメント。