ACXシリーズでのネットワークアドレス変換の概要
ACXシリーズでのネットワークアドレス変換の概要
ネットワークアドレス変換(NAT)は、パケットヘッダー内のネットワークアドレス情報を変更または変換するための方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方が変換される場合があります。NAT には、IP アドレスだけでなく、ポート番号の変換も含めることができます。
NAT は、IP (バージョン 4) アドレス枯渇の問題を解決するために RFC 1631 に記述されています。NATは、ファイアウォール、トラフィックのリダイレクト、負荷分散、ネットワーク移行などに有用なツールであることがわかっています。
ACXシリーズルーターでは、インラインNATおよびインラインIPsecサービス向けに、ACX1100 AC電源ルーターおよびACX500ルーターでのみNATがサポートされています。AC電源ルーター ACX1100、IPv4パケットのソースNATのみをサポートします。静的および動的 NAT タイプは現在サポートされていません。ACX1100-ACおよびACX500ルーターでのサービスチェイニング(GRE、NAT、IPSec)はサポートされていません。
ACX500ルーターでインラインサービスを有効にするには、ライセンスが必要です。
ACX5048およびACX5096ルーターはデバイスからも削除されますをサポートしていません。
送信元NATとは、ルーターから出るパケットの送信元IPアドレスを変換したものです。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
ソース NAT を使用すると、たとえば、プライベート ネットワークからインターネットへの接続など、発信ネットワーク 接続に対してのみ接続を開始できます。送信元NATは、一般的に次の目的で使用されます。
1 つの IP アドレスを別のアドレスに変換する (たとえば、プライベート ネットワーク内の 1 つのデバイスにインターネットアクセスを提供する場合など)。
連続したアドレスのブロックを、同じサイズの別のアドレスのブロックに変換します。
連続したアドレスのブロックを、より小さいサイズのアドレスの別のブロックに変換します。
ポート変換を使用して、連続したアドレスのブロックを単一のIPアドレスまたはより小さいアドレスのブロックに変換します。
連続したアドレスのブロックを、エグレスインターフェイスのアドレスに変換します。
参照
ネットワーク アドレス ポート変換の概要
ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。
ACXシリーズルーターでは、一度に最大4096のネットワークアドレス変換が可能です。
参照
ACXシリーズにおけるネットワークアドレス変換アドレスの過負荷
ACXシリーズルーターのNATサービスにより、Junos OSのインターフェイスアドレスをNAPTプールと共有できます。NAPT プールと Junos OS 間で同じアドレス/ポートを共有するこの機能は、アドレス オーバーロードと呼ばれます。
アドレスのオーバーロードを実現するために、利用可能なIPv4アドレスまたは1〜65,536アドレスのポート範囲は、次に示すようにJunos OSとNATの間で分割されます。
Junos OS—1〜49,159アドレス。
NAPT プール—49,160 〜 53,255 アドレス。
Junos OS—53,255〜65,535アドレス。
アドレス オーバーロード機能付き NAPT プール用に予約されているポート数は 4096 です。
アドレス オーバーロードを有効にするには、[edit services nat pool nat-pool-name]階層レベルで address-overload ステートメントと interface ステートメントを含めます。
address-overloadステートメントは、Junos OSとNAT プール間でIPv4アドレスの共有を可能にします。address-overloadステートメントとともに、interfaceステートメントも指定して、インターフェイスの最初の使用可能なIPv4アドレスまたはポートがNAT プールで取得されるようにする必要があります。
アドレス オーバーロード機能は、次の方法で設定できます。
次の例に示すように、
address-overloadステートメントと共にインターフェイスを設定します。pool p3 { address-overload; interface ge-0/0/1.0; port { range low 49160 high 53255; } }この場合、インターフェイス上のプライマリアドレスがNAT プール用に選択されます。
次の例に示すように、/32 アドレスを直接設定します。
pool p4 { address-overload; address 45.0.0.1/32; port { range low 49160 high 53255; } }
interfaceステートメントを使用すると、IPv4インターフェイスアドレスと、プールで指定されたポート範囲をNAT プールと共有できます。
参照
ACXのネットワークアドレス変換の制約
ACXシリーズ ルーターで NAT(ネットワークアドレス変換)を設定する際には、以下の制約を考慮する必要があります。
NAT プールでポートが定義されている場合、プールで設定できるのは 1 つのアドレスまたは 1 つのアドレス範囲のみです。
ACXシリーズルーターは、
match-directionがinputnat-rulesに対応しており、match-directionoutputはサポートされていません。NAT プールでアドレス範囲またはアドレスプレフィックスを指定する場合、サポートされるアドレスの最大数は 65,535 です。ACXシリーズルーターは、一度に最大4096のネットワークアドレス変換をサポートします。
設定できるサービスセットの最大数は2です。
NAT ルール条件では、
from句には最大 4 つの一致するアドレスを含めることができます。NAT ルールあたりに許可される最大条件は 4 です。
許可されるサービス セットあたりの NAT ルールの最大数は 2 です。
参照
ACXシリーズでのインライン サービス インターフェイスの有効化
インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想インターフェイスです。 si- インターフェイスにより、特別なサービスPICを使用せずにNATおよびIPsecサービスを提供することができます。
インラインサービスインターフェイスを設定するには、サービスインターフェイスをタイプ si- (サービスインライン)インターフェイスとして定義します。また、インライン サービス インターフェイス用に十分な帯域幅を確保する必要があります。これにより、NATおよびIPsecサービスに使用するインターフェイスまたはネクストホップサービスセットの両方を設定できます。
ACXシリーズルーターでは、NATおよびIPsecセッションのアンカーインターフェイスとして設定できるインラインサービスインターフェイスは1つだけです:si-0/0/0。
ACXシリーズルーターでは、ACX1100-ACおよびACX500ルーターのみがIPsecサービスをサポートしています。ACXシリーズルーターは、基本的なNATのみをサポートします。
インライン サービス インターフェイスを有効にするには: