インライン NAT
インラインネットワーク アドレス変換の概要
インライン NAT MPC ライン カードの機能を使用して、新しいサービス カードをNAT。このため、ラインレートで低遅延のアドレス変換を実行できます(スロット当たり最大 120 Gbps)。現在の実装では、以下が提供されています。
1:1 スタティック アドレス マッピング
双方向マッピング - アウトバウンド トラフィックNAT宛先マッピングの送信元NATトラフィックのソース マッピング。
フロー数に制限はありません。
図 1 に示すように、送信元、宛先、NAT 2 回 のサポート。インライン サポートNAT変換タイプをサポートします
basic-nat44。リリース リリース Junos OSから、15.1R1 インライン インターフェイスもNAT サポートされていますtwice-basic-nat-44。ヘアピンをサポート。
インライン インターフェイスを設定NAT、サービス インターフェイスをタイプ si- (サービスインライン)インターフェイスとして定義します。また、インライン インターフェイスに十分な帯域幅を確保する必要があります。これにより、仮想ネットワークに使用するインターフェイスとネクストホップ サービス セットの両方をNAT。インターフェイス si- は「仮想サービスPIC」として機能します。
静的サービス NATサポートされています。ポート変換、NAT ALGはサポートされていません。したがって、アプリケーションの転送に高度な処理が必要な SIP または FTP アクティブ モードNATは機能しません。ステートフル ファイアウォール処理、ALG サポート、動的ポート変換には、MS-MPC、MS-MIC、MS-DPC、MS-PIC が依然として必要です。
インライン NATパケットのサンプリングやロギングはサポートされていません。
インライン インターフェイスのNAT
サービスカードが不要
サービス カードNATより多くのデータ フローをサポート
詳細については、
例: インライン ネットワーク アドレス変換の設定 — インターフェイスベースの方法
この設定例は、インターフェイススタイルのサービスセットを使用して(サービスインライン)インターフェイスを使用してMX シリーズデバイスでインターフェイスベースのインライン ネットワーク アドレス変換(NAT si- )を設定する方法を示しています。
このトピックでは、以下について説明します。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
MX シリーズ ポート コンセントレータ(MPC)ライン カードを使用したルーターの拡張
Junos OS リリース 11.4R1以上
概要とトポロジー
また、Junos OS リリース 11.4R1、MPC ライン カードは、MS-MPC などの専用サービス カードを必要とせずに一部のサービスを実行できます。インライン サービスは一般に、サービス カードを使用するよりもパフォーマンスが向上しますが、機能の基本性は高くなります。たとえば、インライン アプリケーションはNAT静的ネットワークのみをサポートNAT。
この例では、MPC ライン MX シリーズを持つデバイスが、2 つのエンド ホスト間を流れるNATへのインライン ソース サービスを提供します。このシナリオのトポロジーを図 2 に示します。
図に示すように、ホスト H1 はサーバー S1 にトラフィックを送信します。MX シリーズ デバイスは、NAT を実行して、H1 の送信元 IP アドレスを 10.1.1.2 から 192.0.2.2 に変換します。次に、サーバー S1 は宛先 IP アドレス 192.0.2.2 を使用して、ホスト H1 に戻るトラフィックを送信し、MX シリーズ デバイスは H1 の IP アドレスを 10.1.1.2 に戻します。
このシナリオでは、以下の構成要素が使用されます。
インライン サービス インターフェイス:MPC のインターフェイスのパケット転送エンジンインターフェイスです。サービスにアクセスするには、トラフィックが(サービスインライン)インターフェイスの
si-内と外に流れます。サービス セット —実行するサービスを定義し、どのインライン インターフェイスがサービス セットに対してトラフィックに送り込むのか特定します。サービス セットを実装するには、次の 2 つの方法があります。
インターフェーススタイル:インターフェイスに到着したパケットをインライン サービスを介して転送する、インターフェイスベースの方法です。
ネクストホップスタイル:ルートベースの方法で、静的ルートを使用して、インラインサービスを介して特定の宛先宛てのパケットを転送します。
この例では、インターフェイススタイルのサービス セットを使用しています。
NAT — if-then 構造(ファイアウォール フィルターと同様)を使用して照合条件を定義し、アドレス変換を一致するトラフィックに適用します。
NAT プール — 変換のルールによって使用されるユーザー定義NAT IP アドレス セット。
これらの要素は、図 3 に 示すようにまとめて表示されます。
構成
インターフェイススタイルのNATを使用してインライン インターフェイスを設定するには、以下のタスクを実行します。
- CLI迅速な設定
- インライン サービスを有効にし、インライン インターフェイスを作成する
- ルールNAT プールの設定
- (インターフェイススタイル)サービス セットを設定する
- 物理インターフェイスの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、 [edit] 階層レベルでコマンドを CLI にコピー アンド ペーストします。
## Enable inline services, create an si- interface, reserve bandwidth ## set chassis fpc 0 pic 0 inline-services bandwidth 1g set interfaces si-0/0/0 unit 0 family inet ## Configure a NAT rule and pool ## set services nat rule SRC-NAT1 match-direction input set services nat rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 set services nat rule SRC-NAT1 term r1 then translated translation-type basic-nat44 set services nat rule SRC-NAT1 term r1 then translated source-pool p1 set services nat pool p1 address 192.0.2.0/24 ## Configure the (interface-style) service set ## set services service-set INT-STYLE-SS-NAT1 nat-rules SRC-NAT1 set services service-set INT-STYLE-SS-NAT1 interface-service service-interface si-0/0/0.0 ## Configure interfaces ## set interfaces xe-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces xe-0/0/0 description INSIDE set interfaces xe-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces xe-1/0/0 description OUTSIDE set interfaces xe-0/0/0 unit 0 family inet service input service-set INT-STYLE-SS-NAT1 set interfaces xe-0/0/0 unit 0 family inet service output service-set INT-STYLE-SS-NAT1
インライン サービスを有効にし、インライン インターフェイスを作成する
手順
該当するFPCスロットとPICスロットに対してインラインサービスを有効にし、インラインサービスに当ては消費する帯域幅を指定します。
FPCとPICの設定がインターフェイスを作成してマップ
si-します[edit chassis fpc 0 pic 0] user@MX# set inline-services bandwidth 1g
インターフェイスで
si-、プロトコル サービスの追加が必要なプロトコル ファミリー(またはNATします。メモ:このFPCおよびPICの設定は、上記で定義された設定と一致している必要があります。
[edit interfaces si-0/0/0] user@MX# set unit 0 family inet
ルールNAT プールの設定
手順
H1 のサブネット(10.1.1.0/24)から MX デバイスに到着するトラフィックと一致する NAT ルールを設定し、それを基本的な IPv4 NAT を使用して変換し、プールから IP
p1アドレスを使用します。[edit services nat] user@MX# set rule SRC-NAT1 match-direction input user@MX# set rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 user@MX# set rule SRC-NAT1 term r1 then translated translation-type basic-nat44 user@MX# set rule SRC-NAT1 term r1 then translated source-pool p1
仮想プールをNATします。
[edit services nat] user@MX# set pool p1 address 192.0.2.0/24
(インターフェイススタイル)サービス セットを設定する
手順
インライン サービス()および上記で定義したインライン
nat-rulesインターフェイスNATサービス セットを設定します。パラメーターをinterface-service使用して、これがインターフェイススタイルのサービス セットとして指定します。トラフィックはインターフェイスの間を流れ、インライン
si-トラフィック サービスNATします。[edit services] user@MX# set service-set INT-STYLE-SS-NAT1 nat-rules SRC-NAT1 user@MX# set service-set INT-STYLE-SS-NAT1 interface-service service-interface si-0/0/0.0
物理インターフェイスの設定
手順
物理インターフェイスを設定します。
[edit interfaces] user@MX# set xe-0/0/0 unit 0 family inet address 10.1.1.1/24 user@MX# set xe-0/0/0 description INSIDE user@MX# set xe-1/0/0 unit 0 family inet address 192.168.1.1/24 user@MX# set xe-1/0/0 description OUTSIDE
「inside」インターフェイスで、上記で定義されたサービス セットを介してトラフィックが送信されるを指定します。
[edit interfaces xe-0/0/0 unit 0] user@MX# set family inet service input service-set INT-STYLE-SS-NAT1 user@MX# set family inet service output service-set INT-STYLE-SS-NAT1
結果
chassis {
fpc 0 {
pic 0 {
inline-services {
bandwidth 1g;
}
}
}
}
services {
service-set INT-STYLE-SS-NAT1 {
nat-rules SRC-NAT1;
interface-service {
service-interface si-0/0/0.0;
}
}
nat {
pool p1 {
address 192.0.2.0/24;
}
rule SRC-NAT1 {
match-direction input;
term r1 {
from {
source-address {
10.1.1.0/24;
}
}
then {
translated {
source-pool p1;
translation-type {
basic-nat44;
}
}
}
}
}
}
}
interfaces {
si-0/0/0 {
unit 0 {
family inet;
}
}
xe-0/0/0 {
description INSIDE;
unit 0 {
family inet {
service {
input {
service-set INT-STYLE-SS-NAT1;
}
output {
service-set INT-STYLE-SS-NAT1;
}
}
address 10.1.1.1/24;
}
}
}
xe-1/0/0 {
description OUTSIDE;
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
検証
設定が正常に機能されていることを確認します。
ホスト H1 からサーバー S1 への到達可能性の検証
目的
H1 と S1 の間の到達可能性を検証します。
アクション
ホスト H1 で、ホストがサーバー S1 に ping を実行できると確認します。
user@H1> ping 192.168.1.2 count 5 PING 192.168.1.2 (192.168.1.2): 56 data bytes 64 bytes from 192.168.1.2: icmp_seq=0 ttl=63 time=0.991 ms 64 bytes from 192.168.1.2: icmp_seq=1 ttl=63 time=14.186 ms 64 bytes from 192.168.1.2: icmp_seq=2 ttl=63 time=3.016 ms 64 bytes from 192.168.1.2: icmp_seq=3 ttl=63 time=3.742 ms 64 bytes from 192.168.1.2: icmp_seq=4 ttl=63 time=4.748 ms --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.991/5.337/14.186/4.593 ms
意味
H1 は S1 に正常に到達できます。
アドレス変換の検証
目的
アドレス変換が正しく機能されていることを検証します。
アクション
MXデバイスで、インライン ホストの設定NATが適切に適用されていることを確認します。
user@MX> show services inline nat pool Interface: si-0/0/0, Service set: INT-STYLE-SS-NAT1 NAT pool: p1, Translation type: BASIC NAT44 Address range: 192.0.2.0-192.0.2.255 NATed packets: 5, deNATed packets: 5, Errors: 0サーバー S1 で、サーバーが H1 の NAT 変換ソース IP アドレス(192.0.2.2)から ping を受信しているか確認します。
次のコマンドを実行し、H1 から ping を再送信します。
メモ:この設定では、別の MX デバイスを使用してサーバー S1 を表し、インバウンド トラフィックの監視を有効にします。
user@S1> monitor traffic interface xe-1/1/1 no-resolve verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is OFF. Listening on xe-1/1/1, capture size 96 bytes 23:28:28.577377 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 0, length 64 23:28:28.577405 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 0, length 64 23:28:29.579253 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 1, length 64 23:28:29.579278 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 1, length 64 23:28:30.579275 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 2, length 64 23:28:30.579302 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 2, length 64 23:28:31.580279 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 3, length 64 23:28:31.580305 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 3, length 64 23:28:32.581266 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 4, length 64 23:28:32.581293 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 4, length 64 ^C 10 packets received by filter 0 packets dropped by kernel
意味
上記のステップ 1 では、サービス パラメーターとNATスタイルのサービス セットへのインライン ポリシーが正しく実装されていることを確認します。上記のステップ 2 では、サーバー S1 が変換された送信元 IP アドレスから H1 の ping をNAT受け取っているのが確認されます。
例: インライン ネットワーク アドレス変換の設定 — ルートベースの方法
この設定例は、ネクスト ホップ スタイルのサービス セットを持つ(サービス インライン)インターフェイスを使用して、MX シリーズ デバイスでルートベースのインライン ネットワーク アドレス変換(NAT si- )を設定する方法を示しています。
このトピックでは、以下について説明します。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
MX シリーズ ポート コンセントレータ(MPC)ライン カードを使用したルーターの拡張
Junos OS リリース 11.4R1以上
概要とトポロジー
また、Junos OS リリース 11.4R1、MPC ライン カードは、MS-MPC などの専用サービス カードを必要とせずに一部のサービスを実行できます。インライン サービスは一般に、サービス カードを使用するよりもパフォーマンスが向上しますが、機能の基本性は高くなります。たとえば、インライン アプリケーションはNAT静的ネットワークのみをサポートNAT。
この例では、MPC ライン MX シリーズを持つデバイスが、2 つのエンド ホスト間を流れるNATへのインライン ソース サービスを提供します。このシナリオのトポロジーを図 4 に示します。
図に示すように、ホスト H1 はサーバー S1 にトラフィックを送信します。MX シリーズ デバイスは、NAT を実行して、H1 の送信元 IP アドレスを 10.1.1.2 から 192.0.2.2 に変換します。次に、サーバー S1 は宛先 IP アドレス 192.0.2.2 を使用して、ホスト H1 に戻るトラフィックを送信し、MX シリーズ デバイスは H1 の IP アドレスを 10.1.1.2 に戻します。
このシナリオでは、以下の構成要素が使用されます。
インライン サービス インターフェイス:MPC のインターフェイスのパケット転送エンジンインターフェイスです。サービスにアクセスするには、トラフィックが(サービスインライン)インターフェイスの
si-内と外に流れます。サービス セット —実行するサービスを定義し、どのインライン インターフェイスがサービス セットに対してトラフィックに送り込むのか特定します。サービス セットを実装するには、次の 2 つの方法があります。
インターフェーススタイル:インターフェイスに到着したパケットをインライン サービスを介して転送する、インターフェイスベースの方法です。
ネクストホップスタイル:ルートベースの方法で、静的ルートを使用して、インラインサービスを介して特定の宛先宛てのパケットを転送します。
この例では、next-hop スタイルのサービス セットを使用しています。
NAT — if-then 構造(ファイアウォール フィルターと同様)を使用して照合条件を定義し、アドレス変換を一致するトラフィックに適用します。
NAT プール — 変換のルールによって使用されるユーザー定義NAT IP アドレス セット。
ルーティング インスタンス —メイン(デフォルト)のルーティング インスタンスとは別個に実行されるルーティング テーブル、インターフェイス、ルーティング プロトコル パラメータの集め。
ルートベースのインライン NATは、通常、ルーティング インスタンスを含むシナリオで使用されます。
これらの要素は、図 5 に 示すようにまとめて表示されます。
構成
ネクスト ホップ スタイルのNATを使用してインライン ホストを設定するには、以下のタスクを実行します。
- CLI迅速な設定
- 物理インターフェイスの設定
- インライン サービスを有効にし、インライン インターフェイスを作成する
- ルーティング インスタンスを設定し、インライン ホスト サービスを介して送信するNAT識別する
- ルールNAT プールの設定
- (ネクストホップ スタイル)サービス セットの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、 [edit] 階層レベルでコマンドを CLI にコピー アンド ペーストします。
## Configure interfaces ## set interfaces xe-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces xe-0/0/0 description INSIDE set interfaces xe-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces xe-1/0/0 description OUTSIDE ## Enable inline services, create an si- interface, reserve bandwidth ## set chassis fpc 0 pic 0 inline-services bandwidth 1g set interfaces si-0/0/0 unit 1 family inet set interfaces si-0/0/0 unit 1 service-domain inside set interfaces si-0/0/0 unit 2 family inet set interfaces si-0/0/0 unit 2 service-domain outside ## Configure routing instance, feed traffic into the inline NAT service ## set routing-instances RI-A instance-type virtual-router set routing-instances RI-A interface xe-0/0/0.0 set routing-instances RI-A interface si-0/0/0.1 set routing-instances RI-A routing-options static route 192.168.1.2/32 next-hop si-0/0/0.1 ## Configure a NAT rule and pool ## set services nat rule SRC-NAT1 match-direction input set services nat rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 set services nat rule SRC-NAT1 term r1 then translated translation-type basic-nat44 set services nat rule SRC-NAT1 term r1 then translated source-pool p1 set services nat pool p1 address 192.0.2.0/24 ## Configure the (next-hop-style) service set ## set services service-set NH-STYLE-SS-NAT1 nat-rules SRC-NAT1 set services service-set NH-STYLE-SS-NAT1 next-hop-service inside-service-interface si-0/0/0.1 set services service-set NH-STYLE-SS-NAT1 next-hop-service outside-service-interface si-0/0/0.2
物理インターフェイスの設定
手順
物理インターフェイスを設定します。
[edit interfaces] user@MX# set xe-0/0/0 unit 0 family inet address 10.1.1.1/24 user@MX# set xe-0/0/0 description INSIDE user@MX# set xe-1/0/0 unit 0 family inet address 192.168.1.1/24 user@MX# set xe-1/0/0 description OUTSIDE
インライン サービスを有効にし、インライン インターフェイスを作成する
手順
該当するFPCスロットとPICスロットに対してインラインサービスを有効にし、インラインサービスに当ては消費する帯域幅を指定します。
FPCとPICの設定がインターフェイスを作成してマップ
si-します[edit chassis fpc 0 pic 0] user@MX# set inline-services bandwidth 1g
インターフェイスで、
si-2 つの論理ユニットを作成します。各ユニットについて、NATサービスが必要なプロトコル ファミリー(またはファミリー)と、サービス ドメインの「inside」または「outside」インターフェイスを指定します。メモ:このFPCおよびPICの設定は、上記で定義された設定と一致している必要があります。
[edit interfaces si-0/0/0] user@MX# set unit 1 family inet user@MX# set unit 1 service-domain inside user@MX# set unit 2 family inet user@MX# set unit 2 service-domain outside
ルーティング インスタンスを設定し、インライン ホスト サービスを介して送信するNAT識別する
手順
「NAT
si-si-side」物理インターフェイスを含むルーティング インスタンスと、トラフィックを識別する静的ルートを設定して、インターフェイスを介してインライン NATサービスに転送します。シンプルにするために、ここで使用される静的ルートはサーバー S1 を識別します。
[edit routing-instances] user@MX# set RI-A instance-type virtual-router user@MX# set RI-A interface xe-0/0/0.0 user@MX# set RI-A interface si-0/0/0.1 user@MX# set RI-A routing-options static route 192.168.1.2/32 next-hop si-0/0/0.1
ルールNAT プールの設定
手順
H1 のサブネット(10.1.1.0/24)から MX デバイスに到着するトラフィックと一致する NAT ルールを設定し、それを基本的な IPv4 NAT を使用して変換し、プールから IP
p1アドレスを使用します。[edit services nat] user@MX# set rule SRC-NAT1 match-direction input user@MX# set rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 user@MX# set rule SRC-NAT1 term r1 then translated translation-type basic-nat44 user@MX# set rule SRC-NAT1 term r1 then translated source-pool p1
仮想プールをNATします。
[edit services nat] user@MX# set pool p1 address 192.0.2.0/24
(ネクストホップ スタイル)サービス セットの設定
手順
インライン サービス()および上記で定義したインライン インターフェイスNAT
nat-rulesサービス セットを設定します。パラメーターをnext-hop-service使用si-して、これをネクストホップスタイルのサービス セットとして指定し、上記の設定に基づいてインターフェイスを「inside」および「outside」として割り当みます。トラフィックはインターフェイスの間を流れ
si-、インライン トラフィック トラフィック サービスNATします。[edit services] user@MX# set service-set NH-STYLE-SS-NAT1 nat-rules SRC-NAT1 user@MX# set service-set NH-STYLE-SS-NAT1 next-hop-service inside-service-interface si-0/0/0.1 user@MX# set service-set NH-STYLE-SS-NAT1 next-hop-service outside-service-interface si-0/0/0.2
結果
chassis {
fpc 0 {
pic 0 {
inline-services {
bandwidth 1g;
}
}
}
}
services {
service-set NH-STYLE-SS-NAT1 {
nat-rules SRC-NAT1;
next-hop-service {
inside-service-interface si-0/0/0.1;
outside-service-interface si-0/0/0.2;
}
}
nat {
pool p1 {
address 192.0.2.0/24;
}
rule SRC-NAT1 {
match-direction input;
term r1 {
from {
source-address {
10.1.1.0/24;
}
}
then {
translated {
source-pool p1;
translation-type {
basic-nat44;
}
}
}
}
}
}
}
interfaces {
si-0/0/0 {
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
xe-0/0/0 {
description INSIDE;
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
xe-1/0/0 {
description OUTSIDE;
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
routing-instances {
RI-A {
instance-type virtual-router;
interface xe-0/0/0.0;
interface si-0/0/0.1;
routing-options {
static {
route 192.168.1.2/32 next-hop si-0/0/0.1;
}
}
}
}
検証
設定が正常に機能されていることを確認します。
ホスト H1 からサーバー S1 への到達可能性の検証
目的
H1 と S1 の間の到達可能性を検証します。
アクション
ホスト H1 で、ホストがサーバー S1 に ping を実行できると確認します。
user@H1> ping 192.168.1.2 count 5 PING 192.168.1.2 (192.168.1.2): 56 data bytes 64 bytes from 192.168.1.2: icmp_seq=0 ttl=63 time=0.926 ms 64 bytes from 192.168.1.2: icmp_seq=1 ttl=63 time=0.859 ms 64 bytes from 192.168.1.2: icmp_seq=2 ttl=63 time=0.853 ms 64 bytes from 192.168.1.2: icmp_seq=3 ttl=63 time=0.825 ms 64 bytes from 192.168.1.2: icmp_seq=4 ttl=63 time=0.930 ms --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.825/0.879/0.930/0.042 ms
意味
H1 は S1 に正常に到達できます。
アドレス変換の検証
目的
アドレス変換が正しく機能されていることを検証します。
アクション
MXデバイスで、インライン ホストの設定NATが適切に適用されていることを確認します。
user@MX> show services inline nat pool Interface: si-0/0/0, Service set: NH-STYLE-SS-NAT1 NAT pool: p1, Translation type: BASIC NAT44 Address range: 192.0.2.0-192.0.2.255 NATed packets: 5, deNATed packets: 5, Errors: 0, Skipped packets: 0サーバー S1 で、サーバーが H1 の NAT 変換ソース IP アドレス(192.0.2.2)から ping を受信しているか確認します。
次のコマンドを実行し、H1 から ping を再送信します。
メモ:この設定では、別の MX デバイスを使用してサーバー S1 を表し、インバウンド トラフィックの監視を有効にします。
user@S1> monitor traffic interface xe-1/1/1 no-resolve verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is OFF. Listening on xe-1/1/1, capture size 96 bytes 20:19:36.182690 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 0, length 64 20:19:36.182719 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 0, length 64 20:19:37.182918 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 1, length 64 20:19:37.182945 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 1, length 64 20:19:38.183914 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 2, length 64 20:19:38.183940 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 2, length 64 20:19:39.184872 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 3, length 64 20:19:39.184896 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 3, length 64 20:19:40.185882 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 4, length 64 20:19:40.185907 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 4, length 64 ^C 10 packets received by filter 0 packets dropped by kernel
意味
上記のステップ 1 では、サービス パラメーターとNATネクストホップ スタイルのサービス セットへのインライン ポリシーが正しく実装されていることを確認します。上記のステップ 2 では、サーバー S1 が変換された送信元 IP アドレスから H1 の ping をNAT受け取っているのが確認されます。