Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

GTP の NAT

ネットワーク アドレス変換(NAT)プロトコルは、内部 GPRS ネットワークとインターネット(外部ネットワーク)間の GTP トラフィックを検査するために使用され、その逆も同様です。

GTP の NAT について

汎用パケット無線サービス(GPRS)インターフェイスは、同じルーティング インスタンスで GPRS トンネリング プロトコル(GTP)インスペクションと NAT(ネットワーク アドレス変換)の両方を同時にサポートします。静的NATで設定されたGTPパケットをネットワーク内で検査すると、IPヘッダー内のアドレスのみが変換されます。ペイロード内のアドレスは変換されません。エンドポイントごとに、関連する GTP セッションは同じゾーンと仮想ルーターに属している必要があります。これは、ペイロード内のヘッダー ソース IP、C トンネル IP、U トンネル IP が、パケットの同じスコープで定義されていることを意味します。

NAT を有効にした場合、外部 IP パケットのみ変換する必要があります。埋め込まれた IP アドレスは変換されません。

GTP パケット フロー中、ソース IP アドレスと宛先 IP アドレスを同時に NAT に変換することはできません。デバイス上の NAT ルール設定を削除または無効化すると、NAT ルール関連の GSN および GTP トンネルが削除されます。NAT ルールに関連する GSN 番号とトンネル番号が巨大な場合、この削除プロセスは数分かかります。

例:NAT での GTP インスペクションの設定

この例では、NAT ルールを設定して、プライベート IP(ルーティング可能ではなくネットワーク内の IP)をパブリック IP(ネットワーク外でルーティング可能な IP)にマッピングする方法を示します。また、内部ネットワークと外部ネットワーク間の GTP トラフィックを検査する方法も示しています。

要件

開始する前に、GTP を有効にした後にデバイスを再起動する必要があります。デフォルトでは、デバイスでは GTP は無効になっています。

概要

この例では、アドレス 10.0.0.254/8 および 123.0.0.254/8 でインターフェイスを ge-0/0/0 および ge-0/0/1 として設定します。その後、セキュリティ ゾーンと静的 NAT を設定します。セキュリティ ポリシーで GTP サービスを有効にして、2 つのネットワーク間の双方向トラフィックを許可し、内部ネットワークと外部ネットワーク間のトラフィックを確認します。

構成

手順

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

NATでGTPインスペクションを設定するには:

  1. インターフェイスを設定します。

  2. ゾーンの設定とセキュリティ

  3. アドレス帳を定義します。

  4. NAT ルールを定義します。

  5. GTP プロファイルを有効にします。

  6. GTP トラフィックを確認します。

結果

設定モードから、 コマンドを入力して設定を show security 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

NAT での GTP インスペクションの検証

目的

内部ネットワークと外部ネットワーク間の GTP トラフィックを検証します。

アクション

動作モードから、 コマンドを show security 入力します。

ネットワーク アドレス変換-プロトコル変換について

ネットワーク アドレス変換プロトコル変換(NAT-PT)は、IPv4 アドレス形式から IPv6 アドレス形式まで、2 方向で実行できるプロトコル変換メカニズムであり、その逆も同様です。NAT-PTは、IPv6ネットワーク内のアドレスをIPv4ネットワーク内のアドレスとバインドし、その逆もまた、アドレスレルム間を通過するデータグラムに透過的なルーティングを提供します。

各方向において、静的NATは、1つのIPサブネットから別のIPサブネットへの1対1マッピングを定義します。マッピングには、一方向への宛先 IP アドレス変換と、逆方向の送信元 IP アドレス変換が含まれます。

NAT-PT の主な利点は、エンド デバイスとネットワークで IPv4 アドレスまたは IPv6 アドレスのいずれかを実行でき、トラフィックを任意の側から開始できることです。

例:SCTPマルチホーミングを使用したIPv4とIPv6エンドポイント間でNAT-PTを設定することで、トラフィック制御を強化する

この例では、IPv4エンドポイントとIPv6エンドポイントの間でNAT-PTを設定することで、トラフィック制御を強化する方法を示しています。NAT-PTは、IPv4およびIPv6データグラムのプロトコル非依存変換を通じて、IPv6専用ノードとIPv4専用ノード間の通信を可能にするプロトコル変換メカニズムであり、セッションの状態情報は必要ありません。NAT-PTは、IPv6ネットワーク内のアドレスをIPv4ネットワーク内のアドレスとバインドし、その逆もまた、アドレスレルム間を通過するデータグラムに透過的なルーティングを提供します。NAT-PT の主な利点は、エンド デバイスとネットワークで IPv4 アドレスまたは IPv6 アドレスのいずれかを実行でき、トラフィックを任意の側から開始できることです。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX5400デバイス

  • 2つのIPv6アドレスを使用してSRX5400デバイスに接続されたエンドポイントA

  • 2つのIPv4アドレスを使用してSRX5400デバイスに接続されたエンドポイントB

概要

この例では、IPv4エンドポイントとIPv6エンドポイントの間にNAT-PTを設定します。エンドポイントAは2つのIPv6アドレスを使用してSRX5400デバイスに接続され、エンドポイントBは2つのIPv4アドレスを使用してSRX5400デバイスに接続されます。

SRX5400デバイスは、IPヘッダーとIPアドレスリスト(INIT/INT-ACKメッセージにある)をIPv4アドレス形式とIPv6アドレス形式の間で変換するように設定できます。各方向において、静的NATは、1つのIPサブネットから別のIPサブネットへの1対1マッピングを定義します。マッピングには、一方向への宛先 IP アドレス変換と逆方向の送信元 IP アドレス変換が含まれます。

図 1 は、この例で使用するネットワーク トポロジーを示しています。

トポロジ

図 1:IPv4 エンドポイントと IPv6 NAT-PT Between an IPv4 Endpoint and an IPv6 Endpoint エンドポイント間の NAT-PT

IPv4 と IPv6 エンドポイント間の NAT-PT の詳細の設定については、表 1 を参照してください。

表 1:IPv4 と IPv6 エンドポイント間の NAT-PT の詳細の設定

エンドポイント

アドレス 1

アドレス 2

A(IPv6)

2001:db8:2a:1:1::1/96

2001:db8:2c:3:3::3/96

B(IPv4)

10.2.2.2/24

10.4.4.4/34

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

手順

IPv4エンドポイントとIPv6エンドポイントの間にNAT-PTを設定するには:

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. 最初の静的 NAT ゾーンのルールを設定します。

  4. ゾーン 1 から来るトラフィックの静的 NAT ルール一致条件を指定します。

  5. 2つ目の静的NATゾーンのルールを設定します。

  6. ゾーン2から来るトラフィックの静的NATルール一致条件を指定します。

結果

設定モードから、 、 、 show security zonesコマンドを入力して設定をshow interfacesshow security nat static確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定の検証

目的

IPv4エンドポイントとIPv6エンドポイント間のNAT-PT設定が正しいことを確認します。

アクション

動作モードから、 および show security nat static rule all コマンドをshow security zones入力します。

意味

コマンドは show security zones 、設定されたすべてのゾーンとゾーンに関連付けられたインターフェイスを表示します。コマンドは show security nat static rule all 、設定されたすべての静的NATルールを表示します。