ACXシリーズでのネットワークアドレス変換の概要
ACXシリーズでのネットワークアドレス変換の概要
ネットワークアドレス変換(NAT)は、パケットヘッダー内のネットワークアドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方を変換できます。NATには、IPアドレスだけでなくポート番号の変換も含めることができます。
NATは、IP(バージョン4)アドレス枯渇問題を解決するためにRFC 1631で説明されています。NAT は、ファイアウォール、トラフィック リダイレクト、負荷分散、ネットワーク移行などに役立つツールであることがわかっています。
ACXシリーズルーターでは、NATはインラインNATおよびインラインIPsecサービス用のACX1100 AC電源ルーターおよびACX500ルーターでのみNATサポートされています。ACX1100 AC電源ルーターは、IPv4パケットの送信元NATのみをサポートします。静的および動的NATタイプは現在サポートされていません。ACX1100-ACおよびACX500ルーターのサービスチェイニング(GRE、NAT、IPSec)はサポートされていません。
ACX500ルーターでインラインサービスを有効にするには、ライセンスが必要です。
ACX5048およびACX5096ルーターは、NAT設定をサポートしていません。
送信元 NAT は、ルーターを離れるパケットの送信元 IP アドレスの変換です。送信元NATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
ソースNATでは、プライベートネットワークからインターネットなど、発信ネットワーク接続に対してのみ接続を開始できます。ソースNATは一般的に次の目的で使用されます。
単一のIPアドレスを別のアドレスに変換する(例えば、プライベートネットワーク内の単一のデバイスにインターネットへのアクセスを提供する場合など)。
連続したアドレスのブロックを、同じサイズの別のアドレスのブロックに変換します。
連続したアドレスのブロックをより小さいサイズのアドレスの別のブロックに変換します。
ポート変換を使用して、連続したアドレスのブロックを単一のIPアドレスまたはそれより小さなアドレスのブロックに変換します。
アドレスの連続したブロックをエグレスインターフェイスのアドレスに変換します。
関連項目
ネットワークアドレスポート変換の概要
NAPT(ネットワークアドレスポート変換)は、多くのネットワークアドレスとそのTCP/UDPポートを1つのネットワークアドレスとそのTCP/UDPポートに変換する方法です。この変換は、IPv4 ネットワークと IPv6 ネットワークの両方で設定できます。
ACXシリーズルーターでは、一度に最大4096のネットワークアドレス変換を行うことができます。
関連項目
ACXシリーズでのネットワークアドレス変換アドレスの過負荷
ACXシリーズルーターのNATサービスにより、Junos OSインターフェイスアドレスをNAPTプールと共有できます。NAPTプールとJunos OSの間で同じアドレス/ポートを共有するこの機能をアドレスオーバーロードと呼びます。
アドレスの過負荷を実現するには、以下に示すように、利用可能なIPv4アドレスまたは1〜65,536アドレスのポート範囲をJunos OSとNATの間でパーティション化します。
Junos OS—1〜49,159アドレス。
NAPTプール—49,160〜53,255アドレス
Junos OS—53,255〜65,535アドレス
アドレスオーバーロード機能付きNAPTプール用に予約されたポート数は4096です。
アドレスオーバーロードを有効にするには、[edit services nat pool nat-pool-name]階層レベルでaddress-overloadステートメントとinterfaceステートメントを含めます。
address-overloadステートメントは、Junos OSとNATプール間でIPv4アドレスの共有を有効にします。address-overloadステートメントとともに、インターフェイスの最初の使用可能なIPv4アドレスまたはポートがNATプール用にピックアップされるように、interfaceステートメントも指定する必要があります。
アドレスオーバーロード機能は、以下の方法で設定できます。
次の例に示すように、
address-overloadステートメントとともにインターフェイスを設定します。pool p3 { address-overload; interface ge-0/0/1.0; port { range low 49160 high 53255; } }この場合、インターフェイス上のプライマリアドレスがNATプール用に選択されます。
次の例に示すように、/32アドレスを直接設定します。
pool p4 { address-overload; address 45.0.0.1/32; port { range low 49160 high 53255; } }
interfaceステートメントは、プールで指定されたポート範囲とともに、IPv4インターフェイスアドレスをNATプールと共有できるようにします。
関連項目
ACXのネットワークアドレス変換の制約
ACXシリーズルーターでネットワークアドレス変換(NAT)を設定する際には、以下の制約を考慮する必要があります。
NATプールでポートが定義されている場合、プールには1つのアドレスまたは1つのアドレス範囲のみを設定できます。
ACXシリーズルーターは、
match-directionをinputにしてnat-rulesをサポートします。match-directionoutputはサポートされていません。NATプールのアドレス範囲またはアドレスプレフィックスを指定する場合、サポートされるアドレスの最大数は65,535です。ACXシリーズルーターは、一度に最大4096のネットワークアドレス変換をサポートします。
設定できるサービスセットの最大数は2つです。
NATルール条件では、
from句に最大4つの一致するアドレスを含めることができます。NATルールごとに許可される最大条件は4です。
サービスセットごとに許可されるNATルールの最大数は2つです。
関連項目
ACXシリーズでのインラインサービスインターフェイスの有効化
インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想インターフェイスです。 si- インターフェイスにより、特別なサービスPICを使用せずにNATサービスやIPsecサービスを提供することができます。
インライン サービス インターフェイスを設定するには、サービス インターフェイスをタイプ si- (サービスインライン)インターフェイスとして定義します。また、インライン サービス インターフェイス用に十分な帯域幅を確保する必要があります。これにより、NATおよびIPsecサービスに使用されるインターフェイスまたはネクストホップサービスセットの両方を設定できます。
ACXシリーズルーターでは、NATおよびIPsecセッションのアンカーインターフェイスとして設定できるインラインサービスインターフェイスは1つだけです:si-0/0/0。
ACXシリーズルーターでは、ACX1100-ACおよびACX500ルーターのみがIPsecサービスをサポートしています。ACXシリーズルーターは、基本的なNATのみをサポートします。
インラインサービスインターフェイスを有効にするには: