NAT 構成の概要

NAT プールの設定

ステートメント pool を使用して、ネットワーク アドレス変換(NAT)に使用するアドレス(またはプレフィックス)、アドレス範囲、およびポートを定義できます。情報を設定するには、 階層レベルで ステートメントを含め pool ます [edit services nat] 。

Junos OS リリース 14.2 以降では、NAT プールを次のように設定します。Junos OS リリース 16.1 以降では、この limit-ports-per-address ステートメントがサポートされています。

Junos OS リリース 14.1 以前では、NAT プールを次のように設定します。

従来の NAT のプールを設定するには、宛先プールまたは送信元プールを指定します。

静的ソース NAT と動的送信元 NAT では、複数の IPv4 アドレス(またはプレフィックス)と IPv4 アドレス範囲を指定できます。1つのプール内で最大32のプレフィックスまたはアドレス範囲(またはその組み合わせ)をサポートできます。

静的宛先 NAT では、1 つの条件で複数のアドレス プレフィックスとアドレス範囲を指定することもできます。複数の宛先 NAT 条件は、宛先 NAT プールを共有できます。ただし、アドレスのネットマスクまたは範囲は from 、宛先プール アドレスのネットマスクまたは範囲以下である必要があります。プールを必要以上に大きく定義すると、一部のアドレスは使用されません。たとえば、プール サイズを 100 アドレスと定義し、ルールで 80 アドレスのみを指定する場合、プール内の最後の 20 アドレスは使用されません。

特定の変換の種類に対する制約については、「 ネットワーク アドレス変換規則の概要」を参照してください。

送信元静的NATでは、プレフィックスとアドレス範囲を別々のプール間で重複させることはできません。

アドレス範囲では、 low 値は値より high 小さい数値である必要があります。複数のアドレス範囲とプレフィックスが設定されている場合、最初にプレフィックスが使い果たされ、次にアドレス範囲が使い果たされます。

ダイナミック ソース NAT のポートを指定する場合、アドレス範囲は最大 65,000 アドレス、合計(65,000 x 65,535)または 4,259,775,000 フローに制限されます。アドレス ポート変換を使用しない動的 NAT プールは、最大 65,535 のアドレスをサポートします。静的ソース NAT のプール サイズに制限はありません。

範囲の維持とパリティの維持

キャリアグレード NAT(CGN)を設定して、送信接続に送信元ポートを割り当てるときに、パケット送信元ポートの範囲またはパリティを保持することができます。階層レベルで および 設定ステートメント[edit services nat pool poolname port]を含めるpreserve-rangepreserve-parityことで、NAT プール定義の下に パリティ保持オプションと範囲保持オプションを設定できます。

MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、およびMS-500マルチサービスPICを搭載したMシリーズルーターでは、範囲の維持とパリティの維持がサポートされています。Junos OSリリース15.1R1以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーターでは、範囲の維持とパリティの維持がサポートされています。

• 範囲を保持—RFC 4787、 ユニキャストUDPのNAT(ネットワークアドレス変換)動作要件 では、0〜1023および1024〜65,535の2つの範囲が定義されています。 preserve-range ノブが設定されていて、着信ポートがこれらの範囲のいずれかに該当する場合、CGNはその範囲からのみポートを割り当てます。ただし、範囲内に使用可能なポートがない場合、ポート割り当て要求は失敗し、そのセッションは作成されません。障害はカウンタとシステム ロギングに反映されますが、ICMP(インターネット制御メッセージ プロトコル)メッセージは生成されません。このノブが設定されていない場合、割り当ては、着信ポートを含むポート範囲に関係なく、設定されたポート範囲に基づいて行われます。例外は、hello など、特別なゾーンを持つ一部のアプリケーション レベル ゲートウェイ (ALG) です。

• パリティを保持 - ノブが設定されている場合 preserve-parity 、CGN は受信ポートと同じ偶数または奇数のパリティを持つポートを割り当てます。着信ポート番号が奇数または偶数の場合、発信ポート番号はそれに応じて奇数または偶数である必要があります。目的のパリティのポート番号が利用できない場合、ポート割り当て要求は失敗し、セッションは作成されず、パケットはドロップされます。

プールを設定しないで宛先プレフィックスと送信元プレフィックスを指定する

プールを設定せずに、NAT で使用する宛先または送信元プレフィックスを直接指定できます。

情報を構成するには、 ステートメントを [edit services nat] 階層レベルで記述しますrule。

NATルールの一致方向の設定

各ルールには、 match-direction 一致を適用する方向を指定するステートメントを含める必要があります。一致を適用する場所を設定するには、 階層レベルで ステートメントを含め match-direction ます [edit services nat rule rule-name] 。

一致方向は、マルチサービス DPC およびマルチサービス PIC を通過するトラフィック フローに関して使用されます。パケットがPICに送信されると、方向情報も一緒に伝送されます。パケットの方向は、次の基準に基づいて決定されます。

• インターフェイス サービス セットでは、パケットの方向は、パケットがサービス セットが適用されているインターフェイスに入るか出るかによって決まります。

• ネクストホップ サービス セットでは、パケットの方向は、マルチサービス DPC またはマルチサービス PIC へのパケットのルーティングに使用されるインターフェイスによって決まります。内部インターフェイスを使用してパケットをルーティングする場合は、パケットの方向が入力されます。外部インターフェイスを使用してパケットをPICまたはDPCに誘導する場合、パケットの方向が出力されます。内部インターフェイスと外部インターフェイスの詳細については、 サービス インターフェイスに適用されるサービス セットの設定を参照してください。

• マルチサービス DPC およびマルチサービス PIC では、フロー ルックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。サービス セット内のすべてのルールが考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向と一致する方向情報を持つルールのみが考慮されます。

NATルールでの一致条件の設定

NAT一致条件を設定するには、 階層レベルで ステートメントを含め from ます [edit services nat rule rule-name term term-name] 。

従来のNATを設定するには、ファイアウォールフィルターを設定するのと同じ方法で、宛先アドレス、宛先アドレスの範囲、送信元アドレス、または送信元アドレスの範囲を一致条件として使用できます。詳細については 、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。

または、階層レベルで ステートメントを含め、次に NAT ルールに または [edit policy-options] ステートメントのいずれかを含めるsource-prefix-listdestination-prefix-listことで、送信元または宛先のプレフィックスprefix-listのリストを指定することもできます。例については、 例:ステートフルファイアウォールルールの設定を参照してください。

translation-type NATルールの ステートメント内の then ステートメントが に設定されている場合stateful-nat-64、 または ステートメントの from で指定された範囲はdestination-address-rangedestination-prefix-list、 ステートメント内の then ステートメントで指定されたdestination-prefix範囲内である必要があります。

NATルール内の少なくとも1つのNAT用語でアドレスプールペア(APP)機能が有効になっている場合(階層レベルでステートメントaddress-pooling[edit services nat rule rule-name term term-name then translated]を含めることにより)、APPが有効になっている用語のアドレスプールと同じNATアドレスプールを使用するNATルール内の他のすべての用語でAPPが有効になっている必要があります。それ以外の場合、APP を有効にせずに、APP が有効になっている他の用語を含むルールに NAT ルール条件を追加すると、NAT ルールで APP が有効になっているすべての条件は、NAT ルールで指定された基準に一致するトラフィック フローをドロップします。

MS-MICとMS-MPCを搭載したMXシリーズルーターでは、アドレスプールペア(APP)機能はNATルール内で(階層レベルに[edit services nat rule rule-name term term-name then translated]ステート メントを含めるaddress-poolingことで)有効になりますが、これはNATプールの特性です。APPが有効になっているこのようなNATプールは、APPが設定されていないNATルールと共有できません。

NAT の設定時に、以下のアドレス宛てのトラフィックが NAT フローまたは NAT ルールに一致しない場合、そのトラフィックはドロップされます。

• 変換先変換を使用する場合のステートメント from destination-address で指定されたアドレス

• ソース変換を使用する場合にソース NAT プールで指定されたアドレス

NATルールでのアクションの設定

NATアクションを設定するには、 階層レベルで ステートメントを含め then ます [edit services nat rule rule-name term term-name] 。

• ステートメント no-translation では、NATから除外するアドレスを指定することができます。

  ステートメント no-translation は、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、およびMS-500マルチサービスPICを搭載したMシリーズルーターでサポートされています。ステートメント no-translation は、Junos OSリリース15.1R1以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーターでサポートされています。

• この system log ステートメントを使用すると、システムロギング機能にアラートを記録できます。

• 、 、 、および ステートメントはdestination-pool、 destination-prefixsource-pool階層レベルで ステートメント[edit services nat]を含めるpoolことで定義するアドレス指定情報を指定します。詳細については、「 ネットワーク アドレス変換のためのアドレスとポートのプールの設定の概要」を参照してください。source-prefix

• ステートメントはtranslation-type、送信元または宛先トラフィックに使用するNATのタイプを指定します。オプションはbasic-nat-pt、 、 、 、 dnat-44dynamic-nat44、 twice-dynamic-nat-44stateful-nat64twice-basic-nat-44basic-nat44napt-44twice-napt-44basic-nat66napt-66napt-ptstateful-nat464です。

メモ：

Junos OS リリース 13.2 以前では、CLI によって次の制限は適用されませんでした。 NATルールの then ステートメント内の ステートメントが に設定されている場合stateful-nat-64、 ステートメントの または destination-prefix-list ステートメント内の で指定された範囲はdestination-address-range、 ステートメント内の then from ステートメントで指定されたdestination-prefix範囲内である必要がありました。translation-typeJunos OS Release 13.3R1以降、この制限が適用されます。

トランスレーション タイプの設定

ステートメントの translation-type 9 つのオプションの実装の詳細は次のとおりです。

• basic-nat44- このオプションは、ポート マッピングなしで送信元 IP アドレスのスタティック変換を実装します。ルールの一致条件で ステートメントを設定する必要があります from source-address 。ステートメントで指定するアドレス範囲のサイズは、ソース プールと同じか、それ以下である必要があります。送信元プールまたは宛先プレフィックスのいずれかを指定する必要があります。参照されるプールには複数のアドレスを含めることができますが、変換するポートを指定することはできません。

  メモ：

  インターフェイス サービス セットでは、インターフェイスにサービス セットが関連付けられていなくても、一致条件で指定された送信元アドレス宛てのすべてのパケットが自動的にサービス PIC にルーティングされます。

  メモ：

  Junos OS リリース 11.4R3 以前までは、1 つのサービス セットでソース NAT プールしか使用できませんでした。Junos OS リリース 11.4R3 以降のリリースでは、ソース NAT プールを複数のサービス セットで再利用できます。

• basic-nat66- このオプションは、IPv6 ネットワークでポート マッピングなしで送信元 IP アドレスのスタティック変換を実装します。設定は実装と basic-nat44 似ていますが、IPv6 アドレスを使用しています。

  basic-nat66 MS-MPC または MS-MIC を使用している場合、 オプションは使用できません。

• basic-nat-pt—このオプションは、外部ドメイン内の IPv4 ホストへのセッションを開始する際に、IPv6 ホストのアドレスの変換を実装します。このオプションは、常に DNS ALG で実装されます。IPv4 アドレスの送信元プールと宛先プールを定義する必要があります。1 つのルールを設定し、2 つの用語を定義する必要があります。両方のtermステートメントの ステートメントでfromIPv6アドレスを設定します。thenルール内の最初の条件のステートメントで、送信元プールと宛先プールの両方を参照し、 を設定しますdns-alg-prefix。同じルール内の2番目の条件のステートメントでthenソースプレフィックスを設定します。

  basic-nat-pt MS-MPC または MS-MIC を使用している場合、 オプションは使用できません。

• deterministic-napt44- このオプションは、宛先ポートと IP アドレスのブロックのアルゴリズムベースの割り当てを実装します。これにより、着信(送信元)IPアドレスとポートが常に同じ宛先IPアドレスとポートにマップされるため、アドレス変換ロギングが不要になります。を使用する場合deterministic-napt44、 階層レベルでも を使用する必要がありますdeterministic-port-block-allocation[edit services nat pool poolname port]。

  このオプションは deterministic-napt44 、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、およびMS-500マルチサービスPICを搭載したMシリーズルーターでサポートされています。MS-MPCまたはMS-MICでMXシリーズルーターを使用している場合のオプションは deterministic-napt44 、Junos OSリリース14.2R7以降の14.2リリースおよびリリース15.1R3以降の15.1リリースでのみサポートされています。

• dnat-44- このオプションは、ポート マッピングなしで宛先 IP アドレスのスタティック変換を実装します。プール・アドレス・スペースのサイズは、宛先アドレス・スペース以上でなければなりません。ステートメントの名前 destination pool を指定する必要があります。プール内のNATアドレスの数がステートメント内の from 宛先アドレスの数よりも多い限り、参照されるプールには複数のアドレス、範囲、またはプレフィックスを含めることができます。階層レベルでは、値を 1 つだけ destination-address 含める必要があります。プレフィックスの場合、 [edit services nat rule rule-name term term-name from] サイズはプール プレフィックス サイズ以下である必要があります。プールは複数の条件またはルール間で共有できないため、値が一致しないプール内のアドレスは未使用のままになります。

• dynamic-nat44- このオプションは、ポート マッピングなしで送信元 IP アドレスのダイナミック変換を実装します。 source-poolを指定する必要があります。参照されるプールには、 address (アドレスのみの変換のための)設定が含まれている必要があります。

  dynamic-nat44アドレスのみのオプションは、最大 16,777,216 個のアドレスをより小さいサイズのプールに変換できます。送信元アドレス範囲からの要求は、プールが使い果たされるまでプール内のアドレスに割り当てられ、それ以上の要求は拒否されます。ホストに割り当てられたNATアドレスは、そのホストからのすべての同時セッションに使用されます。このアドレスは、そのホストのすべてのセッションの有効期限が切れた後にのみプールに解放されます。この機能により、ルーターは複数のプライベートホスト間でいくつかのパブリックIPアドレスを共有できます。すべてのプライベート・ホストが同時にセッションを作成するわけではないため、いくつかのパブリックIPアドレスを共有できます。

• napt-44- このオプションは、ポート マッピングによる送信元 IP アドレスのダイナミック変換を実装します。ステートメントの名前 source-pool を指定する必要があります。参照されるプールには、 port 構成が含まれている必要があります。ポートが自動として構成されている場合、またはポート範囲が指定されている場合は、 ネットワーク アドレス ポート変換 (NAPT) が使用されることを意味します。

• napt-66- このオプションは、IPv6 アドレスのポート マッピングを使用して、送信元 IP アドレスのダイナミック アドレス変換を実装します。設定は実装と napt-44 似ていますが、IPv6 アドレスを使用しています。

  napt-66 MS-MPC または MS-MIC を使用している場合、 オプションは使用できません。

• napt-pt- このオプションは、宛先 IP アドレスの送信元および静的変換のために、動的アドレスおよびポート変換を実装します。ステートメントの名前 source-pool を指定する必要があります。参照されるプールには、ポート構成 (NAPT の場合) が含まれている必要があります。さらに、DNS トラフィック用と残りのトラフィック用の 2 つのルールを構成する必要があります。DNS トラフィック用のルールは DNS ALG が有効で、 dns-alg-prefix ステートメントが設定されている必要があります。さらに、 ステートメントで dns-alg-prefix 設定したプレフィックスは、宛先 IPv6 アドレスを IPv4 アドレスに変換する 2 番目のルールで使用する必要があります。

  napt-pt MS-MPC または MS-MIC を使用している場合、 オプションは使用できません。

• stateful-nat464—このオプションは、送信元 IP アドレスの 464XLAT プロバイダ側トランスレータ(PLAT)アドレス変換と、宛先 IPv4 アドレスの IPv6 プレフィックス削除変換を実装します。変換に使用するIPv4アドレスを[サービスnatプールの編集]階層レベルで指定する必要があります。このプールは、IPv6 アドレスを IPv4 に変換するルールで参照する必要があります。

  このオプションは stateful-nat464 、MS-MPCまたはMS-MICを使用している場合にのみ使用でき、Junos OSリリース17.1R1以降でサポートされています。

• stateful-nat64—このオプションは、送信元 IP アドレスのダイナミック アドレスおよびポート変換と、宛先 IP アドレスのプレフィックス削除変換を実装します。変換 [edit services nat pool] に使用する IPv4 アドレスを 階層レベルで指定する必要があります。このプールは、IPv6 アドレスを IPv4 に変換するルールで参照する必要があります。

• twice-basic-nat-44- このオプションは、IPv4 アドレスの静的な送信元変換と静的宛先変換を実装し、送信元アドレスとdnat-44宛先アドレスを結合basic-nat44します。

  このオプションは twice-basic-nat-44 、MS-DPCおよびMS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。このオプションは twice-basic-nat-44 、Junos OSリリース15.1R1以降のMS-MPCおよびMS-MICでサポートされています。

• twice-dynamic-nat-44- このオプションは、IPv4 アドレスのソース動的および宛先スタティック変換を実装し、 dynamic-nat44 送信元アドレスと dnat-44 宛先アドレスを組み合わせています。

  このオプションは twice-dynamic-nat-44 、MS-DPCおよびMS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。このオプションは twice-dynamic-nat-44 、Junos OSリリース15.1R1以降のMS-MPCおよびMS-MICでサポートされています。

• twice-napt-44—このオプションは、送信元dnat-44と宛先アドレスを組み合わせて、IPv4 アドレスの送信元 NAPT と宛先スタティック変換を実装しますnapt-44。

  このオプションは twice-napt-44 、MS-DPCおよびMS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。このオプションは twice-napt-44 、Junos OSリリース15.1R1以降のMS-MPCおよびMS-MICでサポートされています。

NAT メソッドの詳細については、RFC 2663「 IP ネットワーク アドレス変換(NAT)の用語と考慮事項」を参照してください。

非NAT-TピアのIPsecパススルーのNATルールの設定

Junos OS リリース 17.4R1 以前は、MX シリーズ ルーターの Junos VPN Site Secure IPsec 機能スイートでは、ネットワーク アドレス変換トラバーサル(NAT-T)はサポートされていません。Junos OS リリース 14.2R7、15.1R5、16.1R2、および 17.1R1 以降、NAT-T に準拠していない IPsec ピア間で、NAPT-44 および NAT64 ルールを介して IKEv1 および IPsec パケットを渡すことができます。ESP トンネル モードのみがサポートされています。この機能は、MS-MPC および MS-MIC でのみサポートされます。

NAPT-44 または NAT64 の IPsec パススルーの NAT ルールを設定するには、次の手順を実行します。

1. IKE ALG アプリケーションを設定します。 「アプリケーションのプロパティの構成」を参照してください。

2. アプリケーションをアプリケーション・セットに追加します。 アプリケーションセットの設定を参照してください。

3. NAT プールを設定します。 「ネットワーク アドレス変換のためのアドレスとポートのプールの設定の概要」を参照してください。

4. NATルールを設定します。

   1. ルールの一致方向を設定します。 NATルールの一致方向の設定を参照してください。

   2. ステップ 2で設定したIKEおよびIPsecパススルー用のアプリケーションセットに一致する条件の1つを設定します。

   3. 他の一致条件を設定します。 NATルールでの一致条件の設定を参照してください。

   4. 変換タイプを NAPT-44 または NAT64 として設定します。

   5. 他のNATアクションを設定します。 NATルールでのアクションの設定を参照してください。

5. NAT ルールをサービス セットに割り当てます。

マッピングの更新動作

このトピックで説明する NAT マッピングの更新動作を設定するための新しいオプションが実装される前は、インバウンド フローまたはアウトバウンド フローのいずれかがアクティブなときに会話が維持されていました。これはデフォルトの動作のままです。また、インバウンド フローのみ、またはアウトバウンド フローのみに対してマッピングの更新を指定できるようになりました。マッピングの更新動作を設定するには、階層レベルでステート mapping-refresh (inbound | outbound | inbound-outbound) メントを含めます [edit services nat rule rule-name term term-name then translated secure-nat-mapping] 。

EIF インバウンド・フロー制限

先に。EIF マッピング上のインバウンド接続の数は、システムで許可される最大フロー数によってのみ制限されていました。EIF に許可されるインバウンド フローの数を設定できるようになりました。EIF マッピングにインバウンド接続の数を制限するには、階層レベルでステートメント eif-flow-limit number-of-flows を組み込みます [edit services nat rule rule-name term term-name then translated secure-nat-mapping] 。

MS-DPC で APP を使用する場合のラウンドロビン アドレス割り当ての使用

ベスト プラクティス:

MS-DPC を使用していて、NAT ルールでアドレス プーリング ペア(APP)を設定する場合は、NAT プールにラウンドロビン アドレス割り当てを使用する必要があります。

APP機能は、プライベートIPアドレスのすべてのNATセッションのNATプール内の同じパブリックIPアドレスにプライベートIPアドレスをマッピングします。

NAT プールのシーケンシャル アドレス割り当ては MS-DPC のデフォルトであり、次の IP アドレスを割り当てる前に、すべてのポートをパブリック IP アドレスに割り当てます。逐次割り当てを APP と共に使用すると、複数のプライベート ホストが同じパブリック IP アドレスにマッピングされ、パブリック IP アドレスのポート枯渇が急速になり、他のポートは NAT プール内の残りの IP アドレスから引き続き使用できます。

一方、ラウンドロビン割り当てでは、NATプール内の次のIPアドレスを変換が必要な次のプライベートIPアドレスに割り当てるため、1つのパブリックIPアドレスのすべてのポートが使い果たされる可能性が低くなります。

APP およびラウンドロビン アドレス割り当ての詳細については、 ネットワーク アドレス ポート変換(NAPT)用のアドレス プールの設定の概要を参照してください。

メモ：

MS-MPC と MS-MIC は、ラウンドロビン割り当てのみを使用します。

次の例は、ラウンドロビン方式のアドレス割り当てを示しています。

必要な場合にのみ EIM 機能を使用する

ベスト プラクティス:

Junos ALGを含むNATルールの用語では、エンドポイント非依存マッピング(EIM)を使用しないでください。EIM は、プライベート・ホストからの特定のセッションに同じ外部 NAT アドレスおよびポートを割り当てますが、処理オーバーヘッドを追加します。EIM は、EIM で使用されている機能を既に採用している Junos ALG には、何のメリットも提供しません。

ベスト プラクティス:

ソース・ポートを再利用し、CGNAT 装置に依存して、異なる宛先に送信されるすべてのトラフィックに対して同じアドレスおよびポート・マッピングを維持するアプリケーションに対して、EIM を使用可能にします。例えば、Xbox や PS4 などのコンソール・ゲーム・アプリケーションや、片側自己アドレス固定方式 (UNSAF) を使用するアプリケーションには EIM を使用します。(IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing(UNSAF)over Network Address Translation)を参照してください。

EIM について詳しくは、ネットワーク・アドレス ・ポート変換 (NAPT) 用のアドレス・プールの構成の概要を参照してください。

次の例では、NATルールでJunos SIP ALGを使用しているため、EIMは使用 されていません 。

予想されるユーザーセッション数に基づくポートブロック割り当てブロックサイズの定義

ベスト プラクティス:

セキュアポートブロック割り振りおよび決定論的ポートブロック割り振りの場合は、ユーザーの予想される平均アクティブセッション数の 2 倍から 4 倍のポートブロック割り振りブロックサイズを定義します。例えば、ユーザーが平均約 200 から 250 の NAT セッションをアクティブにすると予想される場合、ブロック サイズを 512 または 1024 に設定すると、柔軟な割り当てが提供されます。

ベスト プラクティス:

MX シリーズを NAT デバイスとして使用してセキュアなポート ブロック割り当てを展開しており、加入者ユーザー プロファイルとトラフィック プロファイルが不明な場合、プライベート加入者の推定ピーク数を処理するのに十分な NAT IP アドレスがあれば、ポート ブロック サイズを 1024 に設定します。NAT IPアドレスの数に62を掛けると、ポートブロックサイズ1024(IPアドレスごとに62ブロック)で処理できるプライベートサブスクライバの数が得られます。次に、 コマンドを使用して MX シリーズ ルーター show services nat pool detail を注意深く監視し、ブロック サイズを変更する必要があるかどうかを判断します。

ベスト プラクティス:

NAT プールに割り当てることができる IP アドレスの数が制限されている場合は、ブロックサイズが大きくなりすぎないように注意してください。サブスクライバーにブロックを効率的に割り当てるのに十分な大きさのポートブロックサイズを作成すると、すべてのポートブロックが拘束される可能性があります。

セキュアなポートブロック割り当ては、NAT44またはNAT64の特定のユーザーにポートのブロックを割り当てます。セキュアなポートブロック割り当ては、ポートブロックごとに1つのsyslogのみを生成することで、syslogメッセージの数を制限します。

ただし、ブロックサイズを正しく構成しないと、NATリソースの使用効率が低下したり、パフォーマンスの問題が発生する可能性があります。たとえば、1 つの HTML ページに対して多数のソケットを確立する必要がある Web サイトにユーザーが接続する場合は、対応する数の新しいポートを割り当てる必要があります。ポートのブロックサイズは、新しいブロックの継続的な割り当てを防ぐのに十分な大きさにする必要があります。プライベート サブスクライバの同時セッションの数がアクティブなポート ブロックで使用可能なポートの数を超える場合、サブスクライバに割り当てられた他のポート ブロックがスキャンされ、使用可能なポートがないか、サブスクライバの空きブロック プールから新しいブロックが割り当てられます。割り当てられたポートブロックのスキャンと追加のブロックの割り当てにより、新しいセッションの設定とWebページの読み込みが遅れる可能性があります。

ポート ブロックの割り当ての詳細については、 セキュリティで保護されたポート ブロックの割り当て の設定および 決定論的 NAPT の設定を参照してください。

次の例では、ポート ブロック サイズを 1024 に設定します。

稼働中のシステムでポートブロック割り当て設定を変更する際の考慮事項

ベスト プラクティス:

MS-MPC または MS-MIC を使用している場合、実行中のシステムでセキュアなポートブロックの割り当てまたは決定論的なポートブロック設定を変更する前に、NAT セッションの迅速な中断を計画してください。設定を変更すると、現在のすべてのNATセッションが再作成されます。

ベスト プラクティス:

MS-DPCを使用しているときに、実行中のシステムでポートブロックの割り当て設定を変更する前に、サービスの中断を計画してください。設定を変更した後、MS-DPCを再起動するか、再起動できない場合は、サービスセットを非アクティブ化してから再アクティブ化する必要があります。

ポートブロック割り当て設定の変更は次のとおりです。

• NAT プールの PBA 構成を変更する。

• PBA NAT プールを非 PBA NAT プールに変更する。

• 非 PBA NAT プールを PBA NAT プールに変更する。

ポート ブロック割り当ての設定の詳細については、 セキュア ポート ブロック割り当て の設定および 決定論的 NAPT の設定を参照してください。

必要以上のNATプールを割り当てない

• MS-MPC および MS-MIC
• MS-DPC

必要な場合にのみ NAT のシステム ロギングを設定する

ベスト プラクティス:

セキュアなポートブロック割り当て設定では、セッションごとのシステムロギングを有効にしないでください。

ベスト プラクティス:

決定論的NAT設定では、システムロギングを有効にしないでください。

ベスト プラクティス:

可能な場合は、サービス インターフェイス レベルではなく、サービス セット レベルでシステム ロギングを有効にします。

ベスト プラクティス:

実稼働ネットワークでは、ログ メッセージを必ず外部システムのログ サーバーに送信します。これにより、メッセージがローカルに記録されるときに発生するルーティング エンジンへの CPU 負荷の増加を回避できます。

ベスト プラクティス:

システムログクラスを指定して、関心のあるアプリケーションのクラスにロギングを制限します。

ベスト プラクティス:

NAT ルールの条件内でシステム ロギングを設定する場合は、ステートフル ファイアウォール ルールを使用して、NAT ルールの条件に到達するトラフィックを制限します。

システムログメッセージは、セッションの作成と削除の頻度によっては、サービスカードのパフォーマンスに悪影響を及ぼす可能性があります。サービス カードで作成されるすべてのシステム ログ メッセージは、サービス カードでの CPU 処理を必要とし、システム ログ メッセージ自体が MX シリーズ ルーターを介して送信されるトラフィックを構成し、外部ログ サーバーに到達するためにユーザー トラフィックと競合します。

セキュアなポートブロック割り当てにより、ブロックとブロックサイズがわかり、各ユーザーに割り当てられたポートを導き出すことができるため、セッションごとにログを設定する必要がなくなります。

決定論的NATでは、ポート割り当てに関するすべての情報を数学的に推定できるため、ログを記録する必要はまったくありません。

次に、ロギングを NAT イベントに制限し、外部ログ サーバ 203.0.113.4 にログ メッセージを送信する例を示します

NATルール条件内でシステムロギングを設定すると、NATルール条件を入力するすべてのトラフィックでログが生成され、過剰なロギングが発生する可能性があります。これにより、ログ記録レートの制限に達する可能性があり、必要なログが失われる可能性があります。

NAT のシステム ロギング設定の詳細については、 NAT セッション ログの設定を参照してください。

IP フラグメントの欠落による影響を制限する

ベスト プラクティス:

NAT 用に設定されたサービス インターフェイスでは、次のように構成して、フラグメントの欠落または遅延の影響を制限します。

• パケットのフラグメントの最大数

• 欠落しているフラグメントの最大待機時間

NAT用に設定されたサービスカードが受信したIPフラグメントは、到着時にバッファリングされます。これにより、パケットが NAT によって処理される前に、完全に再構築されたパケットの整合性チェックが可能になります。 フラグメントが欠落または遅延すると、内部バッファがいっぱいになってフラッシュされるまで、すでに受信したフラグメントが保持され、CPU 使用率のオーバーヘッドが発生し、トラフィック転送が減少します。

パケットが持つことができるフラグメントの最大数を設定し、欠落しているフラグメントの待機時間を制限すると、内部バッファがいっぱいになる可能性が低くなります。

次に、フラグメントの最大数を 10 に、最大待機時間を 3 秒に設定する例を示します。

パケットルーティングループが発生しやすい設定は使用しないでください

ベスト プラクティス:

意図したトラフィックのみがサービスカードに到達し、サービスセットNATルールによって処理されるようにすることで、パケットルーティングループを防止します。これは、次の方法で実行できます。

• 可能な場合は、NATルールの下で送信元アドレス範囲を設定する。

• ネクストホップスタイルのサービスセット内のNATルールによって処理されることを意図したトラフィックのみを受け入れるファイアウォールフィルターを設定する。

パケット転送エンジンとサービス カードの間でパケット ループが発生すると、サービス カードの CPU 使用率が継続的に高くなります。パケットループは、サービスカードが予期しないプライベートソースネットワークからトラフィックを受信したために発生する可能性があります。予期しないトラフィックが NAT によって処理されるとピンホールが作成され、EIF の場合は多くのピンホールが作成される可能性があります。これらのピンホールは、リターントラフィックがサービスカードを介してルーティングされる場合にルーティングループを引き起こします。

次の例では、198.51.100.0/24 からのトラフィックのみが、ネクストホップ サービス セットの内部インターフェイスであるサービス インターフェイス ms-1/0/0 に到達することを許可するファイアウォール フィルターを示しています。

ファイアウォールフィルターの構成の詳細については 、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。

次の例は、198.51.100.0/24 からのトラフィックのみを処理する NAT ルールを示しています(その他のトラフィックはサービス インターフェイスに到達しますが、処理はされません)。

NAT 規則の構成の詳細については、「 ネットワーク アドレス変換規則の概要」を参照してください。

非アクティブ タイムアウト

ベスト プラクティス:

非アクティブ・タイムアウトは、デフォルトの NAT 非アクティブ・タイムアウトである 30 秒よりも長く NAT セッション・マッピングをメモリーに保持する必要があるユーザー定義アプリケーションに対してのみ設定します。たとえば、HTTP または HTTPS のバンキング アプリケーションでは、ユーザーがデータを入力する必要があるため、30 秒以上の非アクティブ状態が必要になる場合があります。

ベスト プラクティス:

既存の非アクティブ タイムアウトを変更する前に、ピーク時に次のコマンドを数回実行します。次に、変更後にコマンドを実行し、変更によって MX シリーズ ルーターの NAT リソースまたはサービス カードのメモリ不足が発生していないことを確認します。

• show services sessions カウント

• show services nat pool 詳細

• show services service-sets summary

以下の例は、HTTPS および HTTP アプリケーションで非アクティブ・タイムアウトが 1800 秒に設定されていることを示しています。

ユーザー定義アプリケーションの構成の詳細については、「 アプリケーションのプロパティの構成」を参照してください。

すべてのトラフィックに対して非アクティブ タイムアウトを高く設定するリスクを比較検討する必要があります。デフォルトのNAT非アクティブタイムアウトである30秒は、一部のユーザー定義アプリケーションでは小さすぎる場合がありますが、タイムアウト値を高く設定しすぎるとNATリソースが拘束される可能性があります。たとえば、非アクティブ タイムアウト値を高く設定すると、非アクティブな TCP セッションが作成されてからわずか数分後に拘束される可能性があります。TCPセッションがクライアントまたはサーバーによってFINまたはRSTによって完全に閉じられていない場合、セッションはメモリ内にあり、タイムアウト値が期限切れになるまで割り当てられたNATリソースを拘束します。

すべてのUDPおよびTCPポートに影響を与える非アクティブタイムアウトを高く設定すると、特にDNSなどのUDPトラフィックでは危険な場合があります。TCPとは異なり、UDPにはタイムアウト以外のセッションを終了する方法がないため、すべてのUDPセッションは完全な非アクティブタイムアウト値の間アクティブなままになります。

次の例は、すべての TCP および UDP トラフィックに対して高い非アクティブ タイムアウト値を設定するため、推奨される構成 ではありません 。

特定の推奨される非アクティブタイムアウト値はありません。適切な非アクティブ・タイムアウト値は、以下のようないくつかの要因によって異なります。

• エンドユーザーのネットワークで使用されているアプリケーション

  たとえば、Appleは、長い接続寿命を必要とする次のAppleサービスには60分の非アクティブタイムアウトが必要であると述べています。

  • Apple プッシュサービス: インバウンド TCP ポート 5223

  • Exchange アクティブ同期: 受信 TCP ポート 443

  • MobileMe: インバウンド TCP ポート 5222 および 5223

• NATソリューションの使用方法(Gi NATデバイスやエンタープライズエッジルーターなど)

• NAT プールのサイズ

• 負荷のピーク時に各サービスカードが受信するトラフィック量

• 使用可能なメモリ容量

フロー制御でのダンプの有効化

ベスト プラクティス:

実稼働ネットワークでNATトラフィックを処理しているすべてのサービスカードに対して、フロー制御上のダンプオプションを有効にします。このオプションは、サービス カードがロックアップしたことを検出し、ジュニパーネットワークスが分析してカードがロックされた理由を特定できるコア ダンプを書き込み、再起動してサービス カードを回復します。

MS-MIC および MS-MPC では、pc- インターフェイスで、ルーティング エンジンからサービス カードに制御トラフィックを送信するために使用される dump-on-flow-control オプションを設定します。次の例は、サービス インターフェイスが ms-2/1/0 の場合の設定を示しています。

MS-DPCの場合は、sp-インターフェイスでダンプオンフロー制御オプションを設定します。次の例は、サービス インターフェイスが sp-2/1/0 の場合の設定を示しています。