NAT 設定の概要

NAT プールの設定

poolステートメントを使用して、ネットワークアドレス変換(NAT)に使用するアドレス(またはプレフィックス)、アドレス範囲、およびポートを定義できます。情報を設定するには、[edit services nat]階層レベルでpoolステートメントを含めます。

Junos OS リリース 14.2 以降では、NAT プールを次のように設定します。Junos OS リリース 16.1以降、 limit-ports-per-address ステートメントがサポートされています。

Junos OS リリース 14.1 以前では、NAT プールを次のように設定します。

従来の NAT のプールを設定するには、宛先プールまたは送信元プールを指定します。

静的ソース NAT と動的ソース NAT では、複数の IPv4 アドレス(またはプレフィックス)と IPv4 アドレス範囲を指定できます。1つのプール内で最大32個のプレフィックスまたはアドレス範囲(またはその組み合わせ)をサポートできます。

静的宛先 NAT では、1 つの条件で複数のアドレス プレフィックスとアドレス範囲を指定することもできます。複数の宛先 NAT 条件が 1 つの宛先NAT プールを共有できます。ただし、 from アドレスのネットマスクまたは範囲は、宛先プール アドレスのネットマスクまたは範囲以下である必要があります。プールを必要以上に大きく定義すると、一部のアドレスは使用されません。例えば、プール サイズを 100 アドレスとして定義し、ルールで 80 アドレスのみを指定した場合、プール内の最後の 20 個のアドレスは使用されません。

特定の翻訳タイプの制約については、「 ネットワークアドレス変換ルールの概要」を参照してください。

送信元静的NATでは、プレフィックスとアドレス範囲を別々のプール間で重複させることはできません。

アドレス範囲では、 low 値は high 値より小さい数値でなければなりません。複数のアドレス範囲とプレフィックスが設定されている場合、まずプレフィックスが枯渇し、次にアドレス範囲が枯渇します。

動的送信元 NAT のポートを指定する場合、アドレス範囲は最大 65,000 アドレスに制限され、合計は (65,000 x 65,535)、つまり 4,259,775,000 フローになります。アドレス ポート変換のない動的 NAT プールは、最大 65,535 個のアドレスをサポートします。静的な送信元 NAT のプール サイズに制限はありません。

範囲の保持とパリティの保持

キャリアグレード NAT(CGN)が送信接続に送信元ポートを割り当てるときに、パケット送信元ポートの範囲またはパリティを保持するように設定できます。[edit services nat pool poolname port] 階層レベルで preserve-range および preserve-parity 設定ステートメントを含めることで、NAT プール 定義でパリティ保持と範囲保持オプションを設定できます。

範囲の保持とパリティの保持は、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。範囲の保持とパリティの保持は、Junos OSリリース15.1R1以降のMS-MPCおよびMS-MICを搭載したMXシリーズルーターでサポートされています。

• 範囲の保持—RFC 4787、ユニ キャストUDPのネットワークアドレス変換(NAT)動作要件では、0〜1023、および1024〜65,535の2つの範囲が定義されています。 preserve-range ノブが設定されていて、受信ポートがこれらの範囲のいずれかに該当する場合、CGN はその範囲からのみポートを割り当てます。ただし、範囲内に使用可能なポートがない場合、ポート割り当て要求は失敗し、そのセッションは作成されません。エラーはカウンターとシステム ログに反映されますが、ICMP(Internet Control Message Protocol)メッセージは生成されません。このノブが設定されていない場合、割り当ては着信ポートを含むポート範囲に関係なく、設定されたポート範囲に基づきます。例外は、helloなど、特別なゾーンを持つ一部のアプリケーションレベルゲートウェイ(ALG)です。

• [パリティの保持(Preserve Parity)]: preserve-parity ノブが設定されている場合、CGN は受信ポートと同じ偶数または奇数のパリティを持つポートを割り当てます。受信ポート番号が奇数または偶数の場合、送信ポート番号はそれに応じて奇数または偶数である必要があります。目的のパリティのポート番号が利用できない場合、ポート割り当て要求は失敗し、セッションは作成されず、パケットは破棄されます。

プールを設定せずに宛先と送信元のプレフィックスを指定する

プールを設定せずに、NATで使用する宛先または元プレフィックスを直接指定できます。

情報を設定するには、[edit services nat]階層レベルでruleステートメントを含めます。

NAT ルールの一致方向の設定

各ルールには、一致が適用される方向を指定する match-direction ステートメントを含める必要があります。一致が適用される場所を設定するには、[edit services nat rule rule-name]階層レベルでmatch-directionステートメントを含めます。

一致方向は、マルチサービス DPC およびマルチサービス PIC を通過するトラフィック フローに関して使用されます。パケットがPICに送信されると、方向情報が一緒に伝送されます。パケットの方向は、次の基準に基づいて決定されます。

• インターフェイス サービス セットを使用すると、パケットの方向は、サービス セットが適用されているインターフェイスにパケットが出入りするかによって決まります。

• ネクストホップサービスセットでは、パケットの方向は、マルチサービスDPCまたはマルチサービスPICにパケットをルーティングするために使用されるインターフェイスによって決定されます。内部インターフェイスを使用してパケットをルーティングする場合は、パケット方向が入力されます。外部インターフェイスを使用してパケットをPICまたはDPCに転送する場合、パケットの方向が出力されます。内部インターフェイスと外部インターフェイスの詳細については、 サービス インターフェイスに適用するサービス セットの設定を参照してください。

• マルチサービス DPC およびマルチサービス PIC では、フロー ルックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。サービス セット内のすべてのルールが考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向と一致する方向情報を持つルールのみが考慮されます。

NAT ルールでの一致条件の設定

NAT 一致条件を設定するには、[edit services nat rule rule-name term term-name] 階層レベルで ステートメントを from 含めます。

従来のNATを設定する場合、ファイアウォールフィルターを設定するのと同じ方法で、宛先アドレス、宛先アドレスの範囲、送信元アドレス、または送信元アドレスの範囲を一致条件として使用できます。詳細については、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。

または、[edit policy-options]階層レベルで prefix-list ステートメントを含め、NAT ルールに destination-prefix-list または source-prefix-list ステートメントを含めることで、送信元または宛先のプレフィックスのリストを指定できます。例については、「例:ステートフル ファイアウォール ルールの設定」を参照してください。

NAT ルールのthen ステートメントの translation-type ステートメントが stateful-nat-64 に設定されている場合、from ステートメントの destination-address-range または destination-prefix-list で指定される範囲は、then ステートメントの destination-prefix ステートメントで指定される範囲内でなければなりません。

NAT ルール内の少なくとも 1 つの NAT 条件でアドレス プーリング ペア(APP)機能が有効になっている場合([edit services nat rule rule-name term term-name then translated] 階層レベルで address-pooling ステートメントを含めることで)、APP が有効になっている条件のアドレス プールと同じ NAT アドレス プールを使用するNAT ルール内の他のすべての条件では、APP が有効になっている必要があります。それ以外の場合、APP が有効になっている他の条件を含むルールに APP を有効にせずにNAT ルール用語を追加すると、NAT ルールで APP が有効になっているすべての用語が、NAT ルールで指定された条件に一致するトラフィックフローをドロップします。

MS-MICおよびMS-MPCを搭載したMXシリーズルーターでは、アドレスプーリングペア(APP)機能がNAT ルール内で([edit services nat rule rule-name term term-name then translated]階層レベルでaddress-poolingステートメントを含めることで)有効になっていますが、これはNAT プールの特性です。APPが有効になっているこのようなNAT プールは、APPが設定されていないNATルールと共有できません。

NATを設定する際に、以下のアドレス宛てのトラフィックがあり、NATフローまたはNAT NAT ルールに一致しない場合、そのトラフィックは破棄されます。

• 宛先変換を使用する場合に from destination-address ステートメントで指定するアドレス

• ソース変換を使用する場合にソース NAT プールで指定されたアドレス

NAT ルールでのアクションの設定

NATアクションを設定するには、[edit services nat rule rule-name term term-name]階層レベルでthenステートメントを含めます。

• no-translation ステートメントを使用すると、NAT から除外するアドレスを指定できます。

  no-translationステートメントは、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。no-translationステートメントは、リリース15.1R1以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーター Junos OSサポートされています。

• system logステートメントを使用すると、システムログ機能にアラートを記録できます。

• destination-pool、destination-prefix、source-pool、およびsource-prefixステートメントは、[edit services nat]階層レベルにpoolステートメントを含めて定義するアドレッシング情報を指定します。詳細については、ネットワークアドレス変換 Overviewのアドレスとポートのプールの設定を参照してください。

• translation-typeステートメントは、送信元または宛先トラフィックに使用するNATのタイプを指定します。オプションは、basic-nat-pt、basic-nat44、basic-nat66、dnat-44、dynamic-nat44、napt-44、napt-66、napt-pt、stateful-nat464、stateful-nat64、twice-basic-nat-44、 twice-dynamic-nat-44、およびtwice-napt-44です。

手記：

Junos OS リリース 13.2 以前では、CLI によって次の制限は適用されませんでした。 NAT ルールの then ステートメントの translation-type ステートメントが stateful-nat-64 に設定されている場合、from ステートメントの destination-address-range または destination-prefix-list で指定される範囲は、then ステートメントの destination-prefix ステートメントで指定された範囲内である必要がありました。Junos OS リリース 13.3R1 以降、この制限が適用されます。

翻訳タイプの設定

translation-type ステートメントの 9 つのオプションの実装の詳細は、以下のとおりです。

• basic-nat44—このオプションは、ポート マッピングなしの送信元 IP アドレスの静的変換を実装します。ルールの一致条件に from source-address ステートメントを設定する必要があります。ステートメントで指定するアドレス範囲のサイズは、ソース プールと同じかそれより小さくなければなりません。送信元プールまたは宛先プレフィックスを指定する必要があります。参照されるプールには複数のアドレスを含めることができますが、変換するポートを指定することはできません。

  手記：

  インターフェイス サービス セットでは、サービス セットがインターフェイスに関連付けられていない場合でも、一致条件で指定された送信元アドレス宛てのすべてのパケットが自動的にサービス PIC にルーティングされます。

  手記：

  Junos OS リリース 11.4R3 より前は、1 つのサービス セットでしかソース NAT プールを使用できませんでした。Junos OS リリース 11.4R3 以降のリリースでは、ソース NAT プールを複数のサービス セットで再利用できます。

• basic-nat66—このオプションは、IPv6 ネットワークでポート マッピングを使用しない送信元 IP アドレスのスタティック変換を実装します。構成は basic-nat44 の実装と似ていますが、IPv6 アドレスを使用します。

  MS-MPC または MS-MIC を使用している場合、 basic-nat66 オプションは使用できません。

• basic-nat-pt-このオプションは、IPv6 ホストが外部ドメインの IPv4 ホストに対してセッションを発信したり、IPv6 ホストから外部ドメインの IPv4 ホストへセッションを発信したりする際に、アドレスの変換を実装します。このオプションは、常にDNS ALGで実装されます。IPv4 アドレスの送信元プールと宛先プールを定義する必要があります。1 つのルールを設定し、2 つの条件を定義する必要があります。term ステートメントの from ステートメントで IPv6 アドレスを設定します。ルール内の最初の条件の then ステートメントで、ソース プールと宛先プールの両方を参照し、dns-alg-prefixを構成します。同じルール内の 2 番目の条件の then ステートメントで元プレフィックスを設定します。

  MS-MPC または MS-MIC を使用している場合、 basic-nat-pt オプションは使用できません。

• deterministic-napt44-このオプションは、宛先ポートと IP アドレスのブロックのアルゴリズムベースの割り当てを実装します。これにより、受信(送信元)IPアドレスとポートが常に同じIP アドレスとポートにマッピングされるため、アドレス変換ログを作成する必要がなくなります。deterministic-napt44を使用する場合は、[edit services nat pool poolname port]階層レベルでもdeterministic-port-block-allocationを使用する必要があります。

  deterministic-napt44オプションは、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。MS-MPCまたはMS-MICでMXシリーズルーターを使用する場合のdeterministic-napt44オプションは、Junos OSリリース14.2R7以降の14.2リリースと、リリース15.1R3以降の15.1リリースでのみサポートされています。

• dnat-44—このオプションは、ポートマッピングなしで宛先IPアドレスの静的変換を実装します。プール・アドレス・スペースのサイズは、宛先アドレス・スペース以上でなければなりません。destination pool ステートメントの名前を指定する必要があります。プール内のNATアドレス数がfromステートメント内の宛先アドレス数より大きい限り、参照先プールには複数のアドレス、範囲、またはプレフィックスを含めることができます。[edit services nat rule rule-name term term-name from]階層レベルには、destination-address値を1つだけ含める必要があります。それがプレフィックスである場合、サイズはプールプレフィックスサイズ以下でなければなりません。プールは複数の条件またはルール間で共有できないため、値で一致しないプール内のアドレスは未使用のままです。

• dynamic-nat44-このオプションは、ポートマッピングなしで送信元IPアドレスの動的変換を実装します。 source-poolを指定する必要があります。参照されるプールには、 address 設定(アドレスのみの変換用)が含まれている必要があります。

  dynamic-nat44 アドレスのみのオプションでは、最大 16,777,216 個のアドレスをより小さいサイズのプールに変換できます。送信元アドレス範囲からの要求は、プールを使い切るまでプール内のアドレスに割り当てられ、それ以上の要求は拒否されます。ホストに割り当てられた NAT アドレスは、そのホストからのすべての同時セッションに使用されます。アドレスは、そのホストのすべてのセッションが期限切れになった後にのみプールに解放されます。この機能により、ルーターは複数のプライベートホスト間で少数のパブリックIPアドレスを共有できます。すべてのプライベート・ホストが同時にセッションを作成するわけではないため、少数のパブリックIPアドレスを共有できます。

• napt-44-このオプションは、ポートマッピングを使用して送信元IPアドレスの動的変換を実装します。 source-pool ステートメントの名前を指定する必要があります。参照されるプールには、 port 構成が含まれている必要があります。ポートが自動として設定されている場合、またはポート範囲が指定されている場合は、 ネットワーク アドレス ポート変換 (NAPT)が使用されていることを意味します。

• napt-66—このオプションは、IPv6 アドレスのポート マッピングを使用して、送信元 IP アドレスのダイナミック アドレス変換を実装します。構成は napt-44 の実装と似ていますが、IPv6 アドレスを使用します。

  MS-MPC または MS-MIC を使用している場合、 napt-66 オプションは使用できません。

• napt-pt-このオプションは、IP アドレスの送信元および静的変換のための動的アドレスとポート変換を実装します。 source-pool ステートメントの名前を指定する必要があります。参照されるプールには、ポート構成(NAPT 用)が含まれている必要があります。さらに、DNS トラフィック用に 1 つ、残りのトラフィック用に 1 つずつ、2 つのルールを構成する必要があります。DNSトラフィック向けのルールは、DNS ALGを有効にし、 dns-alg-prefix ステートメントを設定する必要があります。さらに、 dns-alg-prefix ステートメントで設定されたプレフィックスは、宛先 IPv6 アドレスを IPv4 アドレスに変換するために 2 番目のルールで使用する必要があります。

  MS-MPCまたはMS-MICを使用している場合、 napt-pt オプションは使用できません。

• stateful-nat464—このオプションは、送信元 IP アドレスの 464XLAT Provider-Side Translater(PLAT)アドレス変換と、宛先 IPv4 アドレスの IPv6 プレフィックス削除変換を実装します。階層レベルで変換に使用するIPv4アドレスを[edit services nat pool]指定する必要があります。このプールは、IPv6 アドレスを IPv4 に変換するルールで参照する必要があります。

  stateful-nat464 オプションは、MS-MPC または MS-MIC を使用している場合にのみ使用可能で、Junos OS リリース 17.1R1 以降でサポートされています。

• stateful-nat64- このオプションは、送信元 IP アドレスのアドレスとポートの動的変換と、宛先 IP アドレスのプレフィックス削除変換を実装します。変換に使用する IPv4 アドレスは、 [edit services nat pool] 階層レベルで指定する必要があります。このプールは、IPv6 アドレスを IPv4 に変換するルールで参照する必要があります。

• twice-basic-nat-44—このオプションは、IPv4 アドレスのスタティック送信元とスタティック宛先変換を実装し、宛先アドレスの送信元と dnat-44 のbasic-nat44を結合します。

  twice-basic-nat-44 オプションは、MS-DPCとMS-100、MS-400、MS-500マルチサービスPICでサポートされています。twice-basic-nat-44 オプションは、Junos OS リリース 15.1R1 以降の MS-MPC および MS-MIC でサポートされています。

• twice-dynamic-nat-44—このオプションは、IPv4 アドレスの送信元ダイナミック変換と宛先スタティック変換を実装し、宛先アドレスの送信元と dnat-44 のdynamic-nat44を組み合わせます。

  twice-dynamic-nat-44 オプションは、MS-DPCとMS-100、MS-400、MS-500マルチサービスPICでサポートされています。twice-dynamic-nat-44 オプションは、Junos OS リリース 15.1R1 以降の MS-MPC および MS-MIC でサポートされています。

• twice-napt-44-このオプションは、IPv4 アドレスの送信元 NAPT と宛先のスタティック変換を実装し、宛先アドレスの送信元と dnat-44 のnapt-44を組み合わせます。

  twice-napt-44 オプションは、MS-DPCとMS-100、MS-400、MS-500マルチサービスPICでサポートされています。twice-napt-44 オプションは、Junos OS リリース 15.1R1 以降の MS-MPC および MS-MIC でサポートされています。

NAT 方式の詳細については、RFC 2663, IP Network Address Translator (NAT) Terminology and Considerationsを参照してください。

非NAT-TピアのIPsecパススルーのNATルールの設定

Junos OS リリース 17.4R1より前では、MXシリーズルーターのIPsec機能のJunos VPN Site Secureスイートでは、ネットワークアドレス変換トラバーサル(NAT-T)はサポートされていません。Junos OS リリース 14.2R7、15.1R5、16.1R2、17.1R1 以降では、NAT-T に準拠していない IPsec ピア間で、NAPT-44 および NAT64 ルールを介して IKEv1 および IPsec パケットを渡すことができます。ESP トンネル モードのみがサポートされます。この機能は、MS-MPC および MS-MIC でのみサポートされています。

NAPT-44 または NAT64 の IPsec パススルーの NAT ルールを設定するには、次の手順に従います。

1. IKE ALG アプリケーションを設定します。 「アプリケーションプロパティの設定」を参照してください。

2. アプリケーションをアプリケーションセットに追加します。 「アプリケーション・セットの構成」を参照してください。

3. NAT プールを設定します。 ネットワークアドレス変換の概要については、「アドレスとポートのプールの設定」を参照してください。

4. NAT ルールを設定します。

   1. ルールの一致方向を構成します。 NAT ルールの一致方向の設定を参照してください。

   2. 整合条件の1つを、ステップ 2で設定したIKEおよびIPsecパススルーのアプリケーションセットとなるように設定します。

   3. その他の整合条件を設定します。 NATルールでの一致条件の設定を参照してください。

   4. 変換タイプを NAPT-44 または NAT64 として設定します。

   5. その他のNATアクションを設定します。 NAT ルールでのアクションの設定を参照してください。

5. サービス セットに NAT ルールを割り当てます。

マッピングの更新動作

このトピックで説明する、NAT マッピングの更新動作を構成するための新しいオプションを実装する前は、インバウンド フローまたはアウトバウンド フローのいずれかがアクティブな場合に、会話が維持されていました。これはデフォルトの動作のままです。また、インバウンドフローのみ、またはアウトバウンドフローのみに対してマッピングの更新を指定できるようになりました。マッピングの更新動作を設定するには、[edit services nat rule rule-name term term-name then translated secure-nat-mapping]階層レベルでmapping-refresh (inbound | outbound | inbound-outbound)ステートメントを含めます。

EIF インバウンド・フロー制限

先に。EIF マッピング上のインバウンド接続の数は、システムで許可されている最大フロー数によってのみ制限されていました。EIF に許可されるインバウンドフローの数を設定できるようになりました。EIF マッピング上のインバウンド接続数を制限するには、[edit services nat rule rule-name term term-name then translated secure-nat-mapping] 階層レベルに eif-flow-limit number-of-flows ステートメントを組み込みます。

MS-DPCでAPPを使用する場合のラウンドロビンアドレス割り当ての使用

ベスト プラクティス:

MS-DPC を使用していて、NAT ルールでアドレス プーリング ペア(APP)を設定する場合は、NAT プールにラウンドロビン アドレス割り当てを使用する必要があります。

APP機能は、プライベートIPアドレスのすべてのNATセッションに対して、NAT プール内の同じパブリックIPアドレスにプライベートIPアドレスをマップします。

NAT プールのシーケンシャル アドレス割り当ては MS-DPC のデフォルトであり、次の IP アドレスを割り当てる前にパブリック IP アドレスにすべてのポートを割り当てます。順次割り当てを APP と共に行うと、複数のプライベート ホストが同じパブリック IP アドレスにマッピングされ、パブリック IP アドレスのポートが急速に枯渇する可能性がありますが、他のポートは NAT プール内の残りの IP アドレスから引き続き使用できます。

一方、ラウンドロビン割り当てでは、NAT プール内の次の IP アドレスが変換を必要とする次のプライベート IP アドレスに割り当てられるため、1 つのパブリック IP アドレスのすべてのポートが枯渇する可能性が低くなります。

APP およびラウンドロビン アドレス割り当ての詳細については、「 ネットワーク アドレス ポート変換(NAPT)のためのアドレス プールの設定の概要」を参照してください。

手記：

MS-MPC と MS-MIC は、ラウンドロビン割り当てのみを使用します。

次の例は、ラウンドロビン アドレス割り当てを示しています。

EIM 機能は、必要な場合にのみ使用してください。

ベスト プラクティス:

Junos ALGを含むNAT ルール用語では、エンドポイントに依存しないマッピング(EIM)を使用しないでください。EIM は、専用ホストからの特定のセッションに同じ外部 NAT アドレスとポートを割り当てますが、処理オーバーヘッドが追加されます。EIM は、EIM で使用されている機能をすでに採用している Junos ALG にはメリットを提供しません。

ベスト プラクティス:

ソース・ポートを再利用し、異なる宛先に送信されるすべてのトラフィックに対して同じアドレスとポート・マッピングを維持するために CGNAT デバイスに依存するアプリケーションに対して EIM を使用可能にする。例えば、Xbox や PS4 などのコンソール・ゲーム・アプリケーションや、一方的な自己アドレス修正法 (UNSAF) を使用するアプリケーションには、EIM を使用します。(IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing (UNSAF) across ネットワークアドレス変換)を参照してください。

EIM の詳細については、「 ネットワーク アドレス ポート変換 (NAPT) 用のアドレス プールの構成の概要」を参照してください。

次の例では、NAT ルールで Junos SIP ALG を使用しているため、EIM は使用 されていません 。

予想されるユーザー セッション数に基づいてポート ブロック割り当てブロック サイズを定義します。

ベスト プラクティス:

セキュアなポートブロック割り当てと決定論的ポートブロック割り当てでは、ユーザのアクティブセッションの予想される平均数の2〜4倍のポートブロック割り当てブロックサイズを定義します。たとえば、ユーザーが平均約 200 から 250 の NAT セッションをアクティブにすることが予想される場合、ブロック サイズを 512 または 1024 に設定すると、自由な割り当てが提供されます。

ベスト プラクティス:

MXシリーズをNATデバイスとして使用してセキュアなポートブロック割り当てを展開しており、加入者のユーザープロファイルとトラフィックプロファイルが不明な場合、プライベート加入者の推定ピーク数を処理するのに十分なNAT IPアドレスがあれば、ポートブロックサイズを1024に設定します。NAT IP アドレスの数に 62 を掛けると、ポート ブロック サイズ 1024 で処理できるプライベート加入者の数が得られます(IP アドレスごとに 62 のブロックがあります)。次に、 show services nat pool detail コマンドを使用して MXシリーズ ルーターを注意深く監視し、ブロック サイズを変更する必要があるかどうかを判断します。

ベスト プラクティス:

NAT プールに割り当て可能な IP アドレスの数が制限されている場合は、ブロックサイズが大きくなりすぎないように注意してください。サブスクライバーにブロックを効率的に割り当てるのに十分な大きさのポート ブロック サイズを作成すると、すべてのポート ブロックが縛られる可能性があります。

セキュアなポートブロック割り当ては、NAT44またはNAT64の特定のユーザーにポートのブロックを割り当てます。セキュアなポートブロック割り当ては、ポートのブロックごとに1つのsyslogのみを生成することにより、syslogメッセージの数を制限します。

ただし、ブロックサイズを誤って設定すると、NATリソースの非効率的な使用やパフォーマンスの問題につながる可能性があります。たとえば、1 つの HTML ページに対して多数のソケットを確立する必要がある Web サイトにユーザーが接続する場合、対応する数の新しいポートを割り当てる必要があります。ポート ブロック サイズは、新しいブロックの継続的な割り当てを防ぐのに十分な大きさにする必要があります。プライベート サブスクライバの同時セッションの数がアクティブなポート ブロックで使用可能なポート数を超えると、サブスクライバに割り当てられた他のポート ブロックがスキャンされ、使用できるポートがないか検索されるか、サブスクライバの空きブロック プールから新しいブロックが割り当てられます。割り当てられたポートブロックのスキャンと追加ブロックの割り当てにより、新しいセッションの設定とWebページの読み込みが遅れる可能性があります。

ポートブロック割り当ての詳細については、 セキュアポートブロック割り当ての設定 および 確定的NAPTの設定を参照してください。

次の例では、ポート ブロック サイズを 1024 に設定します。

実行中のシステムでポートブロックの割り当て設定を変更する場合の考慮事項

ベスト プラクティス:

MS-MPC または MS-MIC を使用する場合、実行中のシステムのセキュア ポート ブロックの割り当てまたは決定論的なポート ブロック設定を変更する前に、NAT セッションの迅速な中断を想定して計画を立てます。設定を変更すると、現在のすべての NAT セッションが再作成されます。

ベスト プラクティス:

MS-DPC を使用する場合、実行中のシステムのポート ブロック割り当て設定を変更する前に、サービスの中断を計画します。設定を変更した後、MS-DPCを再起動するか、これが不可能な場合は、サービス セットを非アクティブ化してから再アクティブ化する必要があります。

ポートブロック割り当て設定の変更は以下の通りです。

• NAT プール PBA 設定の変更。

• PBA NAT プールを非 PBA NAT プールに変更する。

• 非 PBA NAT プールを PBA NAT プールに変更する。

ポートブロック割り当ての設定の詳細については、 セキュアポートブロック割り当ての設定 および 確定的NAPTの設定を参照してください。

必要以上に大きなNATプールを割り当てないでください

• MS-MPC および MS-MIC
• MS-DPC

必要な場合にのみ、NAT のシステム ロギングを構成する

ベスト プラクティス:

セキュア ポート ブロック割り当て構成のセッションごとのシステム ログを有効にしません。

ベスト プラクティス:

確定的デバイスからも削除されます。

ベスト プラクティス:

可能な場合は、サービス インターフェイス レベルではなくサービス セット レベルでシステム ロギングを有効にします。

ベスト プラクティス:

実稼働ネットワークでは、必ず外部のシステムログサーバーにログメッセージを送信します。これにより、メッセージがローカルに記録される際に発生する、ルーティングエンジンへのCPU負荷の増加を回避できます。

ベスト プラクティス:

システム・ログ・クラスを指定して、ロギングを関心のあるアプリケーションのクラスに制限します。

ベスト プラクティス:

NAT ルール条件内でシステム ロギングを設定する場合は、ステートフル ファイアウォール ルールオプションは、ファイアウォールルールを使用して、NAT ルール条件に達するトラフィックを制限します。

システム ログ メッセージは、セッションの作成と削除の頻度によっては、サービス カードのパフォーマンスに悪影響を及ぼす可能性があります。サービス カードによって作成されたすべてのシステム ログ メッセージは、サービス カードでの CPU 処理を必要とします。また、システム ログ メッセージ自体は、MXシリーズ ルーターを介して送信され、外部ログ サーバーに到達するためにユーザー トラフィックと競合するトラフィックを構成します。

セキュアなポートブロック割り当てでは、ブロックとブロックサイズが把握でき、各ユーザーに割り当てられたポートを取得できるため、セッションごとにログを設定する必要がありません。

決定論的NATでは、ポート割り当てに関するすべての情報を数学的に推測できるため、ログを記録する必要はまったくありません。

次の例では、NAT イベントへのログ記録を制限し、ログメッセージを外部ログサーバー 203.0.113.4 に送信します

NAT ルール条件内でシステム ロギングを設定すると、NAT ルール条件に入るすべてのトラフィックがログを生成するため、過剰なロギングが発生する可能性があります。これにより、ロギングレートの制限に達し、必要なログが失われる可能性があります。

NAT のシステム ログの設定の詳細については、 NAT セッション ログの設定を参照してください。

欠落しているIPフラグメントの影響を制限する

ベスト プラクティス:

NATに設定されたサービスインターフェイスでは、次のように設定することで、フラグメントの欠落または遅延による影響を制限します。

• パケットのフラグメントの最大数

• 欠落フラグメントの最大待機時間

NAT 用に設定されたサービス カードによって受信された IP フラグメントは、到着時にバッファリングされます。これにより、パケットがNATによって処理される前に、完全に再構成されたパケットの整合性チェックが可能になります。 フラグメントの欠落または遅延により、内部バッファがいっぱいになるまで、すでに受信したフラグメントが保持され、フラッシュアウトされ、CPU使用率のオーバーヘッドとトラフィック転送が低下する可能性があります。

パケットが持つことができるフラグメントの最大数を設定し、欠落しているフラグメントの待機時間を制限することで、内部バッファがいっぱいになる可能性が低くなります。

次の例では、フラグメントの最大数を 10 に、最大待機時間を 3 秒に設定します。

パケット ルーティング ループが発生しやすい構成は使用しないでください

ベスト プラクティス:

意図したトラフィックのみがサービスカードに到達し、サービスセットNAT ルールで処理されるようにすることで、パケットルーティングループを防止します。これを行うには、次の操作を行います。

• 可能な場合は、NAT ルールの下で送信元アドレス範囲を設定します。

• ネクストホップスタイルのサービス セットで NAT ルールによって処理されるトラフィックのみを受け入れるファイアウォール フィルターを構成する。

パケット転送エンジンとサービス カード間のパケット ループにより、サービス カードの CPU 使用率が高くなり続けます。パケット ループは、サービス カードが予期しないプライベート送信元ネットワークからトラフィックを受信した場合に発生します。予期しないトラフィックをNATで処理するとピンホールができ、EIFの場合は多くのピンホールが作られる場合があります。これらのピンホールは、リターントラフィックがサービスカードを介して戻る場合にルーティングループを引き起こします。

次の例は、198.51.100.0/24 からのトラフィックが、ネクストホップ サービス セットの内部インターフェイスであるサービス インターフェイス ms-1/0/0 に到達することのみを許可するファイアウォール フィルターを示しています。

ファイアウォールフィルターの設定の詳細については 、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。

次の例は、198.51.100.0/24 からのトラフィックのみを処理する NAT ルールを示しています(他のトラフィックはサービス インターフェイスに到達しますが、処理されません)。

NAT ルールの設定の詳細については、 ネットワークアドレス変換ルールの概要を参照してください。

アクティブ タイムアウト

ベスト プラクティス:

非アクティブ タイムアウトは、NAT セッション マッピングがデフォルトの NAT 非アクティブ タイムアウトである 30 秒よりも長くメモリに留まる必要があるユーザー定義アプリケーションに対してのみ設定します。たとえば、HTTPまたはHTTPSバンキングアプリケーションでは、ユーザーがデータを入力する必要があるため、30秒を超える非アクティブ状態が必要になる場合があります。

ベスト プラクティス:

既存の非アクティブ タイムアウトを変更する前に、ピーク時に次のコマンドを数回実行します。次に、変更を行った後に コマンドを実行し、変更が MXシリーズルーターのNATリソースやサービスカードのメモリを枯渇させていないことを確認します。

• show services sessions 数える

• show services nat pool ディテール

• show services service-sets summary

次の例では、HTTPS および HTTP アプリケーションの休止タイムアウトを 1800 秒に設定しています。

ユーザー定義アプリケーションの構成の詳細については、「 アプリケーション プロパティの構成」を参照してください。

すべてのトラフィックに対して高い非アクティブタイムアウトを設定するリスクを比較検討する必要があります。一部のユーザ定義アプリケーションでは、デフォルトの NAT 非アクティブ タイムアウトである 30 秒が短すぎる場合がありますが、設定しすぎると NAT リソースが拘束される可能性があります。たとえば、高い非アクティブ タイムアウト値を設定すると、作成後わずか数分で非アクティブな TCP セッションが拘束される可能性があります。TCPセッションがクライアントまたはサーバーによってFINまたはRSTによってクリーンに閉じられない場合、セッションはメモリ内にとどまり、タイムアウト値が期限切れになるまで割り当てられたNATリソースを拘束します。

すべてのUDPおよびTCPポートに影響を与える非アクティブタイムアウトを高く設定することは、特にDNSなどのUDPトラフィックでは危険です。TCPとは異なり、UDPにはタイムアウト以外のセッションを終了する方法がないため、すべてのUDPセッションは、非アクティブタイムアウト値全体にわたってアクティブなままになります。

次の例は、すべてのTCPおよびUDPトラフィックに対して高い非アクティブタイムアウト値を設定するため、推奨設定 ではありません 。

特定の推奨される非アクティブタイムアウト値はありません。適切な非アクティブ タイムアウト値は、次のようないくつかの要因によって異なります。

• エンドユーザーのネットワークで使用されているアプリケーション

  たとえば、Appleは、長い接続寿命を必要とする次のAppleサービスには60分の非アクティブタイムアウトが必要であると述べています。

  • Apple Push Services: 受信 TCPポート 5223

  • Exchange Active Sync: 受信 TCPポート 443

  • MobileMe:インバウンド TCP ポート 5222 および 5223

• NATソリューションの使用状況(Gi NATデバイスやエンタープライズエッジルーターなど)

• NAT プールの規模

• 負荷のピーク時に各サービス カードが受信するトラフィック量

• 使用可能なメモリ容量

フロー制御でのダンプの有効化 (Enable Dump on Flow Control)

ベスト プラクティス:

実稼働ネットワークでNATトラフィックを処理するサービスカードに対して、dump-on-flow-controlオプションを有効にします。このオプションは、サービスカードがロックアップされたことを検出し、ジュニパーネットワークスが分析してカードがロックされた理由を特定できるコアダンプを書き込み、再起動することでサービスカードを回復します。

MS-MIC および MS-MPC では、ルーティングエンジンからサービス カードに制御トラフィックを送信するために使用される pc- インターフェイスで dump-on-flow-control オプションを設定します。次の例は、サービス インターフェイスが ms-2/1/0 の場合の設定を示しています。

MS-DPCでは、sp-インターフェイスでダンプオンフロー制御オプションを設定します。次の例は、サービス インターフェイスが sp-2/1/0 の場合の設定を示しています。