Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

インラインNAT

インラインネットワークアドレス変換の概要

インラインNATはMPCラインカードの機能を使用するため、NAT用のサービスカードが不要です。その結果、ラインレートで低レイテンシのアドレス変換(スロットあたり最大120 Gbps)を実現できます。現在の実装では、次のことが提供されます。

  • 1:1 の静的アドレス マッピング。

  • 双方向マッピング - 送信トラフィックの場合は送信元 NAT、インバウンド トラフィックの場合は宛先 NAT

  • フロー数に制限はありません。

  • 送信元、宛先、および Twice NAT のサポート( 図 1 を参照)。インラインNATは、変換タイプ basic-nat44をサポートしています。Junos OS リリース 15.1R1以降、インラインNATは twice-basic-nat-44もサポートしています。

  • ヘアピニングのサポート。

図 1:サポートされているインラインNATタイプ Supported Inline NAT Types

インラインNATを設定するには、サービスインターフェイスをタイプ si- (サービスインライン)インターフェイスとして定義します。また、インライン インターフェイス用に十分な帯域幅を確保する必要があります。これにより、NATに使用するインターフェイスまたはネクストホップサービスセットの両方を設定できます。 si- インターフェイスは、「仮想サービスPIC」として機能します。

手記:
  • 静的 NAT のみがサポートされます。ポート変換、ダイナミックNAT、ALGはサポートされていません。そのため、SIPやFTPアクティブモードなど、NATに高度な処理が必要なアプリケーションは機能しません。MS-MPC、MS-MIC、MS-DPC、または MS-PIC は、ステートフルファイアウォール処理、ALG サポート、および動的ポート変換に引き続き必要です。

  • インラインNATは、パケットのサンプリングやロギングをサポートしていません。

インライン NAT のメリット

  • サービスカードが不要

  • サービスカードよりも多くのNATフローをサポート

例:インラインネットワークアドレス変換の設定:インターフェイスベースの方式

この設定例は、インターフェイススタイルのサービスセットを備えた si- (サービスインライン)インターフェイスを使用して、MXシリーズデバイスでインターフェイスベースのインラインネットワークアドレス変換(NAT)を設定する方法を示しています。

このトピックの内容は次のとおりです。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MPC(モジュラーポートコンセントレータ)ラインカードを搭載したMXシリーズルーター

  • Junos OS リリース 11.4R1 以降

概要とトポロジー

Junos OS リリース 11.4R1 では、MPC ライン カードは、MS-MPC などの専用サービス カードを必要とせずに一部のサービスを実行できます。インライン サービスは一般に、サービス カードを使用するよりもパフォーマンスが向上しますが、その機能はより基本的なものになる傾向があります。たとえば、インラインNATは静的NATのみをサポートします。

この例では、MPCラインカードを搭載したMXシリーズデバイスが、2つのエンドホスト間を流れるトラフィックにインラインソースNATサービスを提供します。このシナリオのトポロジーを図 2 に示します

図 2:MPC Inline Source NAT Using an MX Series Device with an MPCを備えた MXシリーズ デバイスを使用したインライン ソース NAT

図に示すように、ホスト H1 はサーバー S1 にトラフィックを送信します。MXシリーズデバイスは、ソースNATを実行して、H1のソースIPアドレスを10.1.1.2から192.0.2.2に変換します。その後、サーバ S1 はIP アドレス 192.0.2.2 を使用してホスト H1 にリターン トラフィックを送信し、MXシリーズ デバイスは H1 の IP アドレスを 10.1.1.2 に戻します。

このシナリオでは、次の構成要素が使用されます。

  • インラインサービスインターフェイス—MPCのパケット転送エンジンに常駐する仮想インターフェイス。サービスにアクセスするために、トラフィックはこれらの si- (サービスインライン)インターフェイスを出入りします。

  • サービスセット—実行するサービスを定義し、サービスセットにトラフィックをフィードするインラインインターフェイスを識別します。サービスセットを実装するには、次の2つの方法があります。

    • インターフェイススタイル—インターフェイスに到着したパケットがインラインサービスを介して転送される、インターフェイスベースの方法。

    • ネクストホップスタイル—スタティックルートを使用して、特定の宛先宛てのパケットをインラインサービス経由で転送するルートベースの方法。

    この例では、インターフェイススタイルのサービス セットを使用しています。

  • NAT ルール - ファイアウォール フィルターに似た if-then 構造を使用して一致条件を定義し、一致するトラフィックにアドレス変換を適用します。

  • NAT プール—変換のために NAT ルールによって使用されるユーザー定義の IP アドレスのセット。

これらの要素は、図 3 に示すように統合されます

図 3:インターフェイスベースのインライン ソース NAT Interface-Based Inline Source NAT

インライン ネットワークアドレス変換の設定

インターフェイス方式のサービス セットを使用してインライン NAT を設定するには、以下のタスクを実行します。

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

インライン サービスの有効化とインライン インターフェイスの作成

手順
  1. 関連するFPCスロットとPICスロットのインラインサービスを有効にし、インラインサービス専用の帯域幅を定義します。

    ここでのFPCとPICの設定は、 si- インターフェイスを作成し、マッピングします。

  2. si-インターフェイスで、NATサービスを必要とするプロトコルファミリーを指定します。

    手記:

    ここでのFPCとPICの設定は、上記で定義した設定と一致している必要があります。

NATルールとプールの設定

手順
  1. H1 のサブネット(10.1.1.0/24)から MX デバイスに到着するトラフィックに一致するNAT ルールを設定し、基本的な IPv4 NAT を使用してそれを変換し、プール p1 の IP アドレスを使用します。

  2. NAT プールを設定します。

(インターフェイススタイルの)サービス セットを設定します。

手順
  1. インラインNATサービス(nat-rules)と上記で定義したインラインインターフェイスを使用するサービスセットを設定します。 interface-service パラメータを使用して、これがインターフェイススタイルのサービスセットであることを指定します。

    トラフィックは、インラインNATサービスにアクセスするために、 si- インターフェイスを行き来します。

物理インターフェイスの設定

手順
  1. 物理インターフェイスを設定します。

  2. 「inside」インターフェイスで、トラフィックが上記で定義されたサービスセットを介して送信されることを指定します。

業績

検証

設定が正常に機能していることを確認します。

ホスト H1 からサーバー S1 への到達可能性の確認

目的

H1 と S1 間の到達可能性を確認します。

アクション

ホスト H1 で、ホストがサーバー S1 に ping できることを確認します。

意味

H1 は S1 に正常に到達できます。

アドレス変換の検証

目的

アドレス変換が正しく機能していることを確認します。

アクション
  1. MXデバイスで、インラインNAT設定の詳細が正しく適用されていることを確認します。

  2. サーバー S1 で、サーバーが H1 の NAT 変換された送信元 IP アドレス(192.0.2.2)から ping を受信していることを確認します。

    次のコマンドを発行し、H1からpingを再送信します。

    手記:

    この設定では、別の MX デバイスを使用してサーバー S1 を表し、インバウンドトラフィックの監視を有効にします。

意味

上記のステップ1では、インラインNATサービスパラメータとインターフェイススタイルのサービスセットが正しく実装されていることを確認します。上記のステップ 2 では、サーバー S1 が NAT 変換された送信元 IP アドレスから H1 の ping を正しく受信していることを確認します。

Twice NAT の設定

図 4:Twice NAT 設定 Twice NAT Configuration

インターフェイス方式のサービス セットを使用して Twice NAT を設定するには、以下のタスクを実行します。

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

(インターフェイススタイルの)サービス セットを設定します。

  1. Twice NAT サービス(nat-rules)を使用するサービス セットを設定します。a interface-service パラメーターを使用して、これがインターフェイス形式のサービス セットであることを指定します。

物理インターフェイスの設定

手順
  1. 物理インターフェイスを設定します。

  2. インターフェイスで、トラフィックが上記で定義したサービス セットを介して送信されるように指定します。

  3. トラフィックを si インターフェイスに誘導するようにファイアウォールフィルターオプションを設定します。

宛先 NAT の設定

図 5: 宛先 NAT 構成 Destination NAT Configuration

インターフェイス方式のサービス セットを使用して宛先 NAT を設定するには、以下のタスクを実行します。

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

インラインサービスの有効化

  1. 関連するFPCスロットとPICスロットのインラインサービスを有効にします。

    ここでのFPCとPICの設定は、 si- インターフェイスを作成し、マッピングします。

(インターフェイススタイルの)サービス セットを設定します。

  1. 宛先NATサービス(nat-rules)を使用するサービスセットを設定します。a interface-service パラメーターを使用して、これがインターフェイス形式のサービスセットであることを指定します。

物理インターフェイスの設定

  1. 物理インターフェイスを設定します。

  2. インターフェイスで、トラフィックが以前に定義されたサービス セットを介して送信されるように指定します。

  3. トラフィックを si インターフェイスに誘導するようにファイアウォールフィルターオプションを設定します。

  4. 静的ルーティングオプションを設定します。

例:インライン ネットワークアドレス変換 ルートベースの方式の設定

この設定例は、ネクストホップスタイルのサービスセットを備えた si- (サービスインライン)インターフェイスを使用して、MXシリーズデバイスでルートベースのインラインネットワークアドレス変換(NAT)を設定する方法を示しています。

このトピックの内容は次のとおりです。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MPC(モジュラーポートコンセントレータ)ラインカードを搭載したMXシリーズルーター

  • Junos OS リリース 11.4R1 以降

概要とトポロジー

Junos OS リリース 11.4R1 では、MPC ライン カードは、MS-MPC などの専用サービス カードを必要とせずに一部のサービスを実行できます。インライン サービスは一般に、サービス カードを使用するよりもパフォーマンスが向上しますが、その機能はより基本的なものになる傾向があります。たとえば、インラインNATは静的NATのみをサポートします。

この例では、MPCラインカードを搭載したMXシリーズデバイスが、2つのエンドホスト間を流れるトラフィックにインラインソースNATサービスを提供します。このシナリオのトポロジーを図 6 に示します

図 6:MPC Inline Source NAT Using an MX Series Device with an MPCを備えた MXシリーズ デバイスを使用したインライン ソース NAT

図に示すように、ホスト H1 はサーバー S1 にトラフィックを送信します。MXシリーズデバイスは、ソースNATを実行して、H1のソースIPアドレスを10.1.1.2から192.0.2.2に変換します。その後、サーバ S1 はIP アドレス 192.0.2.2 を使用してホスト H1 にリターン トラフィックを送信し、MXシリーズ デバイスは H1 の IP アドレスを 10.1.1.2 に戻します。

このシナリオでは、次の構成要素が使用されます。

  • インラインサービスインターフェイス—MPCのパケット転送エンジンに常駐する仮想インターフェイス。サービスにアクセスするために、トラフィックはこれらの si- (サービスインライン)インターフェイスを出入りします。

  • サービスセット—実行するサービスを定義し、サービスセットにトラフィックをフィードするインラインインターフェイスを識別します。サービスセットを実装するには、次の2つの方法があります。

    • インターフェイススタイル—インターフェイスに到着したパケットがインラインサービスを介して転送される、インターフェイスベースの方法。

    • ネクストホップスタイル—スタティックルートを使用して、特定の宛先宛てのパケットをインラインサービス経由で転送するルートベースの方法。

    この例では、ネクストホップスタイルのサービス セットを使用しています。

  • NAT ルール - ファイアウォール フィルターに似た if-then 構造を使用して一致条件を定義し、一致するトラフィックにアドレス変換を適用します。

  • NAT プール—変換のために NAT ルールによって使用されるユーザー定義の IP アドレスのセット。

  • ルーティングインスタンス—メイン(デフォルト)ルーティング インスタンスとは別に実行されるルーティングテーブル、インターフェイス、およびルーティングプロトコルパラメータの集合。

    ルートベースのインラインNATは、通常、ルーティングインスタンスを含むシナリオで使用されます。

これらの要素は、 図 7 のように統合されます。

図 7:ルートベースのインライン ソース NAT Route-Based Inline Source NAT

構成

ネクストホップ方式のサービス セットを使用してインライン NAT を設定するには、以下のタスクを実行します。

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

物理インターフェイスの設定

手順
  1. 物理インターフェイスを設定します。

インライン サービスの有効化とインライン インターフェイスの作成

手順
  1. 関連するFPCスロットとPICスロットのインラインサービスを有効にし、インラインサービス専用の帯域幅を定義します。

    ここでのFPCとPICの設定は、 si- インターフェイスを作成し、マッピングします。

  2. si-インターフェイスで、2つの論理ユニットを作成します。ユニットごとに、NATサービスを必要とするプロトコルファミリー(またはファミリー)と、サービスドメインの「内部」または「外部」インターフェイスを指定します。

    手記:

    ここでのFPCとPICの設定は、上記で定義した設定と一致している必要があります。

ルーティングインスタンスを設定し、インラインNATサービスを介して送信するトラフィックを特定する

手順
  1. 「ínside」の物理インターフェイスと si- インターフェイス、および si- インターフェイスを介してインラインNATサービスに転送するトラフィックを識別する静的ルートを含むルーティング インスタンスを構成します。

    わかりやすくするために、ここで使用する静的ルートは単にサーバーS1を識別します。

NATルールとプールの設定

手順
  1. H1 のサブネット(10.1.1.0/24)から MX デバイスに到着するトラフィックに一致するNAT ルールを設定し、基本的な IPv4 NAT を使用してそれを変換し、プール p1 の IP アドレスを使用します。

  2. NAT プールを設定します。

(ネクストホップスタイルの)サービス セットを設定します。

手順
  1. インラインNATサービス(nat-rules)と上記で定義したインラインインターフェイスを使用するサービスセットを設定します。 next-hop-service パラメータを使用して、これがネクストホップスタイルのサービス セットであることを指定し、 si- インターフェイスを上記の設定に基づいて「inside」および「outside」として割り当てます。

    トラフィックは、インラインNATサービスにアクセスするために、 si- インターフェイスを行き来します。

業績

検証

設定が正常に機能していることを確認します。

ホスト H1 からサーバー S1 への到達可能性の確認

目的

H1 と S1 間の到達可能性を確認します。

アクション

ホスト H1 で、ホストがサーバー S1 に ping できることを確認します。

意味

H1 は S1 に正常に到達できます。

アドレス変換の検証

目的

アドレス変換が正しく機能していることを確認します。

アクション
  1. MXデバイスで、インラインNAT設定の詳細が正しく適用されていることを確認します。

  2. サーバー S1 で、サーバーが H1 の NAT 変換された送信元 IP アドレス(192.0.2.2)から ping を受信していることを確認します。

    次のコマンドを発行し、H1からpingを再送信します。

    手記:

    この設定では、別の MX デバイスを使用してサーバー S1 を表し、インバウンドトラフィックの監視を有効にします。

意味

上記のステップ 1 では、インライン NAT サービス パラメーターとネクストホップ方式サービス セットが正しく実装されていることを確認します。上記のステップ 2 では、サーバー S1 が NAT 変換された送信元 IP アドレスから H1 の ping を正しく受信していることを確認します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
15.1R1
Junos OS リリース 15.1R1以降、インラインNATは twice-basic-nat-44もサポートしています