ACX シリーズのネットワーク アドレス変換の概要
ACX シリーズのネットワーク アドレス変換の概要
ネットワーク アドレス変換 (NAT) は、パケット ヘッダー内のネットワーク アドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方を変換できます。NAT には、ポート番号と IP アドレスの変換を含めることができます。
NATは、IP(バージョン4)アドレス枯渇の問題を解決するためにRFC 1631に記載されています。NAT は、ファイアウォール、トラフィックのリダイレクト、負荷分散、ネットワークの移行などに役立つツールであることがわかっています。
ACX シリーズ ルーターでは、インライン NAT およびインライン IPsec サービス向けに、ACX1100 AC 電源ルーターと ACX500 ルーターでのみ NAT がサポートされています。AC 電源のルーター ACX1100、IPv4 パケットの送信元 NAT のみをサポートします。静的および動的NATタイプは現在サポートされていません。ACX1100-ACおよびACX500ルーターでのサービスチェイニング(GRE、NAT、IPSec)はサポートされていません。
ACX500ルーターでインラインサービスを有効にするには、ライセンスが必要です。
ACX5048およびACX5096ルーターは、NAT設定をサポートしていません。
送信元NATは、ルーターから出るパケットの送信元IPアドレスの変換です。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
送信元 NAT では、プライベート ネットワークからインターネットなど、発信ネットワーク接続に対してのみ接続を開始できます。ソースNATは一般的に以下の目的で使用されます。
1 つの IP アドレスを別のアドレスに変換します (たとえば、プライベート ネットワーク内の 1 つのデバイスにインターネットへのアクセスを提供する場合など)。
連続したアドレス ブロックを、同じサイズの別のアドレス ブロックに変換します。
連続したアドレス ブロックを、小さいサイズの別のアドレス ブロックに変換します。
ポート変換を使用して、連続したアドレス ブロックを単一の IP アドレスまたはより小さなアドレス ブロックに変換します。
連続したアドレスブロックをエグレスインターフェイスのアドレスに変換します。
関連項目
ネットワーク アドレス ポート変換の概要
ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。
ACX シリーズ ルーターでは、一度に最大 4096 個のネットワーク アドレス変換を行うことができます。
関連項目
ACX シリーズにおけるネットワーク アドレス変換アドレスの過負荷
ACXシリーズルーターのNATサービスでは、Junos OSのインターフェイスアドレスをNAPTプールと共有することができます。NAPT プールと Junos OS の間で同じアドレス/ポートを共有するこの機能は、アドレス オーバーロードと呼ばれます。
アドレスの過負荷を実現するには、以下に示すように、使用可能なIPv4アドレスまたは1〜65,536アドレスのポート範囲をJunos OSとNATで分割します。
Junos OS—1 から 49,159 アドレス。
NAPT プール - 49,160 から 53,255 アドレス。
Junos OS—53,255 から 65,535 アドレス
アドレス過負荷機能を持つ NAPT プール用に予約されているポートの数は 4096 です。
アドレス オーバーロードを有効にするには、階層レベルで ステートメントと interface ステートメントを含めaddress-overloadます[edit services nat pool nat-pool-name]。
ステートメントにより address-overload 、Junos OSとNATプール間でのIPv4アドレスの共有が有効になります。ステートメントとともに address-overload 、インターフェイスの最初の利用可能な IPv4 アドレスまたはポートが NAT プールに選択されるように、 ステートメントも指定 interface する必要があります。
アドレス オーバーロード機能は、次の方法で設定できます。
次の例に示すように、 ステートメントとともに
address-overloadインターフェイスを設定します。pool p3 { address-overload; interface ge-0/0/1.0; port { range low 49160 high 53255; } }この場合、インターフェイス上のプライマリアドレスがNATプール用に選択されます。
次の例に示すように、/32 アドレスを直接構成します。
pool p4 { address-overload; address 45.0.0.1/32; port { range low 49160 high 53255; } }
ステートメントを使用すると interface 、プールで指定されたポート範囲とともに、IPv4インターフェイスアドレスをNATプールと共有できます。
関連項目
ACXでのネットワークアドレス変換の制約
ACX シリーズ ルーターでネットワーク アドレス変換(NAT)を構成する際は、以下の制約を考慮する必要があります。
ポートが NAT プールで定義されている場合、プール内に 1 つのアドレスまたは 1 つのアドレス範囲のみを設定できます。
ACX シリーズ ルーターでは、
nat-rulesas をサポートしていますmatch-direction。as output inputはサポートされていません。match-directionNAT プールでアドレス範囲またはアドレス プレフィックスを指定する場合、サポートされるアドレスの最大数は 65,535 です。ACXシリーズルーターは、一度に最大4096のネットワークアドレス変換をサポートします。
設定できるサービス セットの最大数は 2 です。
NAT ルールの用語では、この
from句には最大 4 つの一致するアドレスを含めることができます。許可されるNATルールあたりの最大条件数は4です。
許可されるサービス セットあたりの最大 NAT ルールは 2 です。
関連項目
ACXシリーズでのインラインサービスインターフェイスの有効化
インラインサービスインターフェイスは、パケット転送エンジンに存在する仮想インターフェイスです。この si- インターフェイスを使用すると、特別なサービス PIC を使用せずに NAT および IPsec サービスを提供できます。
インライン サービス インターフェイスを設定するには、タイプ si- (サービス インライン) インターフェイスとしてサービス インターフェイスを定義します。また、インライン サービス インターフェイス用に十分な帯域幅を予約する必要があります。これにより、NAT および IPsec サービスに使用するインターフェイスまたはネクストホップ サービス セットの両方を設定できます。
ACXシリーズルーターでは、NATおよびIPsecセッションのアンカーインターフェイスとして設定できるインラインサービスインターフェイスは、si-0/0/0の1つだけです。
ACX シリーズ ルーターでは、IPsec サービスをサポートするのは ACX1100-AC および ACX500 ルーターのみです。ACX シリーズ ルーターは、基本 NAT のみをサポートします。
インラインサービスインターフェイスを有効にするには: