インラインCGNAT
インラインキャリアグレードネットワークアドレス変換(CGNAT)の概要
インラインキャリアグレードネットワークアドレス変換(CGNAT)は、ネットワークアドレスポート変換(NAPT)をパケット転送エンジン(PFE)に直接統合します。この統合により、NAT44(IPv4-to-IPv4)およびNAT64(IPv6-to-IPv4)変換を通じて、アドレスとポートを効率的に管理できます。その結果、BNGシャーシに配置された外部サービスカードや、BNG加入者向けにCGNAT機能を実行する外部SRXは必要ありません。インラインCGNATは、加入者のアクティベーション数に基づくライセンス機能です。
主な機能には、加入者ごとの固定パブリックIPv4アドレスとポートブロックの割り当て、これらの割り当てを報告するためのRADIUSアカウンティングの更新、特定のルーティングインスタンス内でのパブリックアドレスのアドバタイズのサポートなどがあります。トラフィック処理は、アップストリームトラフィックに対してファイアウォールフィルターと合法的な傍受の後に、ダウンストリームトラフィックに対してはこれらのサービスの前にNAT変換を実行することで最適化されます。
インラインNAPT(ネットワークアドレスポート変換)は、加入者のパケット転送エンジン(PFE)自体で動作するため、CGNAT(キャリアグレードのネットワークアドレス変換)機能のために別のサービスPFEにトラフィックをルーティングする必要がありません。
インラインCGNATは、RADIUSを使用して個々の加入者ベースで実装できます。この機能にはRADIUSアカウンティングの更新が含まれており、各加入者に割り当てられているパブリックIPとポートブロックをレポートできるようになりました。この統合により、加入者管理システムが NAT 割り当てと同期された状態が維持され、正確で最新の情報が提供されます。さらに、この機能は、特定のルーティングインスタンス内でパブリックアドレスをアドバタイズすることもサポートしているため、ルーティングの最適化と遅延の短縮に役立ちます。
インラインCGNATのメリット
-
NAPTをパケット転送エンジンに直接統合し、外部サービスカードを不要にすることで、ネットワークパフォーマンスを向上させます。
- IPアドレスとポートリソースの効率的な管理を通じて拡張性を向上させ、大規模な加入者導入をサポートします。
-
拡張 CLI コマンドにより設定と監視が容易になり、NAT プールの割り当てと使用状況に関する詳細なインサイトが得られます。
-
特定のルーティングインスタンス内でパブリックIPアドレスのアドバタイズを有効にすることで、ルーティングと加入者管理を簡素化します。
-
ファイアウォールフィルターおよび合法的な傍受プロセスと組み合わせてNAT変換を実行することでトラフィック処理を最適化し、シームレスなサービス提供を確保します。
この機能は、以下の機能をサポートしています。
-
ステートレスおよびポートブロック割り当てベースのCGNATをサポートします。
-
ログイン時にパブリックIPv4アドレスとポートブロックを割り当て、ログアウト時にそれらを再利用することで、PPPoEおよびDHCP加入者向けのNAT44加入者サポートします。
-
ログイン時にパブリックIPv4アドレスとポートブロックを割り当て、ログアウト時にそれらを再利用することで、PPPoEv6およびDHCPv6加入者に対してNAT64をサポートする加入者。
-
動的プロファイルで指定されたNATプールから、IPv4 および IPv6 加入者の両方に 1 つのパブリック IPv4 アドレスとポートブロックを割り当てます。ルーティングは、パブリックアドレストラフィックを加入者のPFEに誘導するように設定されます。
-
割り当てられたIPv4パブリックアドレスとポートブロックを、加入者のアカウンティングプロセスの一環としてRADIUSサーバーに報告します。
インラインCGNATの設定
インラインNAPTは、NAT44(IPv4からIPv4)とNAT64(IPv6からIPv4)の両方の変換をサポートしているため、ネットワークは従来のIPv4トラフィックと最新のIPv6トラフィックの両方を処理でき、2つのプロトコル間のスムーズな移行と相互運用性が促進されます。
インラインCGNATを設定する際には、変換に使用できるパブリックIPアドレスとポートの範囲を指定して、NATプールを定義します。各加入者には、ログイン時に固定のパブリックIPv4アドレスと特定のポートブロックが割り当てられ、パケット転送エンジンによって管理されます。これらのパラメーターは、NATプール割り当ての詳細を提供する show subscribersや、指定されたNATプール内のIPアドレスを一覧表示する show network-access inline-napt poolなどの拡張CLIコマンドを使用して設定します。これらのコマンドにより、NAT リソースの効果的な監視と管理が可能になり、潜在的な不足や設定ミスに迅速に対処することができます。
インラインCGNATを設定するためのライセンスに加えて、追加の加入者管理ライセンスも必要です。インラインCGNATを設定する前に、デバイスでUnified-Servicesと必要なライセンスサポートを有効にしてください。デバイス上でUnified-Servicesを有効にするには、CLIから request system enable unified-services を実行し、デバイスを再起動します。
NAPTスケーリングに最適なリソースでPFEを設定するには、以下のコマンドでラインカードを設定します。
[edit chassis]
{
fpc <slot> {
napt;
}
}
加入者に対して値1のVSA NAPT-NAT64-Enableを送信することで、RADIUSからインラインNAPTを有効にすることができます。
[edit dynamic-profiles name services]
{
inline-napt {
nat44 {
“disable:$junos-napt-nat64-enable;
}
}
}
加入者に対して値0のVSA NAPT-NAT64-Enableを送信することで、RADIUSからのインラインNAPTを無効にできます。
VSA NAPT-NAT44-EnableがRADIUSから送信されない場合、NAPT NAT64機能がデフォルトで有効になります。
インラインCGNATを効果的に実装するには、NATプールと動的プロファイルを設定します。
[edit services]
{
nat {
source {
pool POOL_NAME {
address IP_RANGE;
port {
range PORT_RANGE;
block-allocation {
block-size SIZE;
}
}
mapping-timeout TIMEOUT;
routing-instance INSTANCE_NAME;
}
}
}
}
次に例を示します。
[edit services]
{
nat {
source {
pool BBE-NAT-POOL {
address 192.168.0.1/32 to 192.168.0.2/32;
port {
range 5001 to 65000;
block-allocation {
block-size 1000;
}
}
mapping-timeout 120;
routing-instance CGN-VRF;
}
}
}
}
NATプールをルーティングインスタンスにマッピングするには、次のCLIコマンドを使用します。これにより、定義されたNATプールが適切なルーティングインスタンスにマッピングされ、詳細で柔軟なネットワーク構成が可能になります。
[edit system]
{
services {
subscriber-management {
inline-napt {
routing-instance-pool-map {
routing-instance INSTANCE_NAME pool POOL_NAME;
}
}
}
}
}
次に例を示します。
[edit system]
{
services {
subscriber-management {
inline-napt {
routing-instance-pool-map {
routing-instance default pool BBE-NAT-POOL;
routing-instance sub-vrf1 pool BBE-NAT-POOL;
routing-instance sub-business pool BBE-NAT-POOL1;
}
}
}
}
}
NAT プールを特定のルーティング インスタンスにマッピングすることで、さまざまなネットワーク セグメントまたは加入者グループに専用のアドレス変換設定があることを確認し、NAT リソースの管理を促進し、全体的なネットワーク パフォーマンスを向上させることができます。
関連項目
監視インラインCGNAT
各加入者には、ログイン時に固定のパブリックIPv4アドレスと特定のポートブロックが割り当てられ、パケット転送エンジンによって管理されます。
拡張 CLI コマンドを使用して、これらのパラメーターを表示および監視できます。 show subscribers コマンドは、加入者に使用されているNATパブリックアドレスと、加入者に固有のCGNATパラメーターの詳細を提供します。 show network-access inline-napt pool コマンドは、指定されたNATプール内のIPアドレスを一覧表示します。
user@host> show subscribers detail Type: NAT IP Address: 192.168.0.1 Routing Instance: default Radius Accounting ID: 4 Session ID: 4 Login Time: 2024-12-11 00:13:28 IST IP Address Pool: BBE-CGNAT-POOL Type: NAT IP Address: 192.168.0.2 Routing Instance: VRF1 Radius Accounting ID: 10 Session ID: 10 Login Time: 2024-12-11 03:13:28 IST IP Address Pool: BBE-CGNAT-POOL Type: DHCP IP Address: 10.0.0.1 IP Netmask: 10.255.0.0 Primary DNS Address: 192.0.2.0 Secondary DNS Address: 192.0.2.1 Primary WINS Address: 192.0.2.3 Secondary WINS Address: 192.0.2.4 Logical System: default Routing Instance: default Interface: demux0.3073741824 Interface type: Dynamic Dynamic Profile Name: dhcp-demux-prof MAC Address: 00:00:5e:00:53:98 State: Active Radius Accounting ID: example :2304 Idle Timeout (seconds): 600 Login Time: 2024-12-11 14:43:52 PDT DHCP Options: len 52 35 01 01 39 02 02 40 3d 07 01 00 10 94 00 00 08 33 04 00 00 00 3c 0c 15 63 6c 69 65 6e 74 5f 50 6f 72 74 20 2f 2f 36 2f 33 2d 37 2d 30 37 05 01 06 0f 21 2c Service Sessions: 2 NAT Pool: BBE-CGNAT-POOL NAT Public IP Address: 192.168.0.1 NAT Port Block: 5001-6000 NAPT Block Allocation Time: 2024-12-11 14:43:52 PDT Type: DHCP IP Address: 10.0.0.2 IP Netmask: 10.255.0.0 Primary DNS Address: 192.0.2.0 Secondary DNS Address: 192.0.2.1 Primary WINS Address: 192.0.2.3 Secondary WINS Address: 192.0.2.4 Logical System: default Routing Instance: default Interface: demux0.3073741825 Interface type: Dynamic Dynamic Profile Name: dhcp-demux-prof MAC Address: 00:00:5e:00:53:98 State: Active Radius Accounting ID: example :2304 Idle Timeout (seconds): 600 Login Time: 2024-12-11 14:43:52 PDT DHCP Options: len 52 35 01 01 39 02 02 40 3d 07 01 00 10 94 00 00 08 33 04 00 00 00 3c 0c 15 63 6c 69 65 6e 74 5f 50 6f 72 74 20 2f 2f 36 2f 33 2d 37 2d 30 37 05 01 06 0f 21 2c Service Sessions: 2 NAT Pool: BBE-CGNAT-POOL NAT Public IP Address: 192.168.0.2 NAT Port Block: 5001-6000 NAPT Block Allocation Time: 2024-12-11 14:50:25 PDT
IPアドレスと割り当てられたポートブロックサイズの詳細を表示するには、 show network-access aaa statistics inline-napt pool <pool-name> コマンドと show system subscriber-management inline-napt pool <pool-name> コマンドを実行します。
user@host> show network-access aaa statistics inline-napt pool BBE-CGNAT-POOL Pool name: BBE-CGNAT-POOL Address total: 4 Addresses in use: 2 Address Usage (percent): 50 Out of Addresses: 0
user@host> show system subscriber-management inline-napt pool BBE-CGNAT-POOL External address Access PFE Routing-Instance Port block size Block use 172.16.0.1 ge-0/0/0 default 1000 2/60 172.16.0.2 ge-0/0/0 VRF1 1000 1/60
加入者に割り当てられたポートブロックサイズからすべてのポートを使い果たした場合、以下のsyslogメッセージが表示されます。
PROCESSOR_IPV4_NAPT_BINDING_PORTBLOCK_LIMIT_EXCEEDED Napt Session port block limit exceeded. No free port available for IpAddr:10.1.1.1