ネットワーク アドレス ポート変換
ネットワーク アドレス ポート変換(NAPT)用のアドレス プールの構成の概要
ネットワーク アドレス ポート変換 (NAPT) を使用すると、最大 32 のアドレス範囲と最大 65,536 個のアドレスを設定できます。
ステートメントは port 、変換されたアドレスのポート割り当てを指定します。ポートの自動割り当てを設定するには、 階層レベルに ステートメントを含め port automatic ます [edit services nat pool nat-pool-name] 。デフォルトでは、ポートの順次割り当てが行われます。
Junos OS Release 14.2以降では、階層レベルで ステートメント[edit services nat pool nat-pool-name]に port automatic オプションを含めるsequentialことで、指定した範囲からポートを順序付けられて割り当てることができます。特定の範囲のポート番号を設定するには、 階層レベルに ステート メントを含めport range low minimum-value high maximum-valueます[edit services nat pool nat-pool-name]。
napt-44 のプールで使用可能なポートの合計の 99% の場合、その NAT プールでの新しいフローは許可されません。
Junos OS リリース 14.2 以降、このオプションは auto 非表示で非推奨となり、下位互換性のためだけに維持されています。将来のソフトウェア リリースで完全に削除される可能性があります。
Junos OSでは、ポートを割り当てるための代替手段がいくつか用意されています。
- NAPT のラウンドロビン割り当て
- NAPT の順次割り振り
- パリティの保持と NAPT の範囲の保持
- NAPT のアドレス プーリングとエンドポイントに依存しないマッピング
- NAPT に対するセキュリティで保護されたポート ブロックの割り当て
- NAPT実施方法の比較
NAPT のラウンドロビン割り当て
NATプールにラウンドロビン割り当てを設定するには、 階層レベルでアドレス割り当てラウンドロビン設定ステートメント[edit services nat pool pool-name]を含めます。ラウンドロビン割り当てを使用すると、範囲内の各アドレスから 1 つのポートが割り当てられてから、次の範囲内の各アドレスに対してこのプロセスが繰り返されます。最後の範囲のすべてのアドレスにポートが割り当てられた後、割り当てプロセスはラップアラウンドし、次の未使用のポートを最初の範囲のアドレスに割り当てます。
最初の接続は、アドレス:ポート100.0.0.1:3333に割り当てられます。
2 番目の接続は、アドレス 100.0.0.2:3333 に割り当てられます。
3番目の接続は、アドレス:ポート100.0.0.3:3333に割り当てられます。
4番目の接続は、アドレス:ポート100.0.0.4:3333に割り当てられます。
5番目の接続は、アドレス:ポート100.0.0.5:3333に割り当てられます。
6番目の接続は、アドレス:ポート100.0.0.6:3333に割り当てられます。
7 番目の接続は、アドレス 100.0.0.7:3333 に割り当てられます。
8 番目の接続は、アドレス 100.0.0.8:3333 に割り当てられます。
9 番目の接続は、アドレス 100.0.0.9:3333 に割り当てられます。
10 番目の接続は、アドレス 100.0.0.10:3333 に割り当てられます。
11 番目の接続は、アドレス 100.0.0.11:3333 に割り当てられます。
12番目の接続は、アドレス:ポート100.0.0.12:3333に割り当てられます。
ラップアラウンドが発生し、13 番目の接続が address:port 100.0.0.1:3334 に割り当てられます。
NAPT の順次割り振り
シーケンシャル割り当てでは、アドレスから利用可能なすべてのポートが使い果たされた場合にのみ、NATプールで次に利用可能なアドレスが選択されます。
シーケンシャル アロケーションは、MS-DPC および MS-100、MS-400、および MS-500 マルチサービス PIC に対してのみ設定できます。MS-MPC および MS-MIC カードは、ラウンドロビン割り当てアプローチのみを使用します。
このレガシ実装は下位互換性を提供するため、推奨されるアプローチではなくなりました。
以下の設定例で napt と呼ばれる NAT プールは、シーケンシャル実装を使用しています。
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
この例では、ポートは最初のアドレス範囲の最初のアドレスから割り当てられ、使用可能なすべてのポートが使用されるまでこのアドレスから割り当てが続行されます。使用可能なポートがすべて使用されると、次のアドレス(同じアドレス範囲または次のアドレス範囲内)が割り当てられ、そのすべてのポートが必要に応じて選択されます。 例の napt プールの場合、タプル アドレスであるポート 100.0.0.4:3333 は、最初の範囲のすべてのアドレスのすべてのポートが使用された場合にのみ割り当てられます。
最初の接続は、アドレス:ポート100.0.0.1:3333に割り当てられます。
2番目の接続は、アドレス:ポート100.0.0.1:3334に割り当てられます。
3番目の接続は、アドレス:ポート100.0.0.2:3333に割り当てられます。
4 番目の接続は、アドレス 100.0.0.2:3334 などに割り当てられます。
パリティの保持と NAPT の範囲の保持
NAPTでは、パリティ保持と範囲保持オプションが使用でき、MS-DPCおよびMS-100、MS-400、およびMS-500マルチサービスPICでサポートされています。MS-MPCおよびMS-MICのサポートは、Junos OSリリース15.1R1で開始されます。NAPT では、以下のオプションを使用できます。
パリティの維持 - 送信元ポートが偶数のパケットには偶数のポートを、奇数の送信元ポートを持つパケットには奇数のポートを割り当てるには、コマンド を使用します
preserve-parity。Pretainrange—
preserve-range元のパケットに予約された範囲内の送信元ポートが含まれていると仮定して、 コマンドを使用して、0〜1023の範囲でポートを割り当てます。これは、データセッションではなく、制御セッションに適用されます。
NAPT のアドレス プーリングとエンドポイントに依存しないマッピング
アドレスプーリング
アドレス プーリング、またはアドレス プーリング ペア (APP) は、同じ内部ホストから発信されるすべてのセッションに同じ外部 IP アドレスを確実に割り当てます。この機能は、プールから外部 IP アドレスを割り当てるときに使用できます。このオプションは、ポート使用率には影響しません
アドレス プーリングは、アプリケーションが複数の接続を開く問題を解決します。たとえば、セッション開始プロトコル(SIP)クライアントがリアルタイム転送プロトコル(RTP)およびリアルタイム制御プロトコル(RTCP)パケットを送信する場合、SIPは通常、NATの対象であっても、同じIPアドレスからのものであることを要求します。RTP と RTCP の IP アドレスが異なる場合、受信エンドポイントがパケットを破棄する可能性があります。ポートをネゴシエートするポイントツーポイント(P2P)プロトコル(アドレス安定性を前提)は、アドレスプーリングペアの恩恵を受けます。
アドレスプーリングのユースケースを以下に示します。
インスタント メッセージング サービスを提供するサイトでは、チャットとその制御セッションが同じパブリック ソース アドレスから送信される必要があります。ユーザーがチャットにサインオンすると、コントロール セッションによってユーザーが認証されます。ユーザーがチャット セッションを開始すると、別のセッションが開始されます。チャット セッションが認証セッションとは異なる送信元アドレスから発信された場合、インスタント メッセージング サーバーは、承認されていないアドレスから発信されたため、チャット セッションを拒否します。
オンラインバンキングサイトなどの特定のWebサイトでは、特定のホストからのすべての接続が同じIPアドレスからのものである必要があります。
Junos OS リリース 14.1 以降、サービス セットのアドレス プーリング ペア(APP)を含むサービス セットを非アクティブ化すると、PIC コンソールにメッセージが表示され、そのサービス セットのマッピングがクリアされます。これらのメッセージは、サービス セットの削除が開始されたときにトリガーされ、サービス セットの削除が完了したときに再度生成されます。以下のサンプル・メッセージは、削除の開始時および終了時に表示されます。
11月15日08:33:13.974ログ:クリティカル] SVC-SET ss1(iID 5)非アクティブ化/削除:NATマッピングとフローの削除が開始されました
11月15日08:33:14.674ログ:クリティカル] SVC-SET ss1(iID 5)非アクティブ化/削除:NATマッピングとフローの削除が完了しました
サービス セットに多数の APP を含むスケーリング環境では、大量のメッセージが生成され、このプロセスにはある程度の時間がかかります。サービス・セットの削除が完了したことを示すコンソール・メッセージが完了するまで待ってから、サービス・セットを再アクティブ化することをお勧めします。
エンドポイントに依存しないマッピングとエンドポイントに依存しないフィルタリング
エンドポイント独立マッピング (EIM) は、特定のホストからのすべての接続が同じ内部ポートを使用する場合、同じ外部アドレス と ポートを確実に割り当てます。つまり、送信元ポートが異なる場合は、別の外部アドレスを自由に割り当てることができます。
EIM と APP は次のように異なります。
APPは、同じ外部IPアドレスを確実に割り当てます。
EIM は、外部ホストが接続できる安定した外部 IP アドレスとポート (一定期間) を提供します。エンドポイント独立フィルター (EIF) は、内部ホストに接続できる外部ホストを制御します。
Junos OS リリース 14.1 以降、サービス セットの EIM(エンドポイント独立マッピング)マッピングを含むサービス セットを非アクティブ化すると、PIC コンソールにメッセージが表示され、そのサービス セットのマッピングがクリアされます。これらのメッセージは、サービス セットの削除が開始されたときにトリガーされ、サービス セットの削除が完了したときに再度生成されます。以下のサンプル・メッセージは、削除の開始時および終了時に表示されます。
11月15日08:33:13.974ログ:クリティカル] SVC-SET ss1(iID 5)非アクティブ化/削除:NATマッピングとフローの削除が開始されました
11月15日08:33:14.674ログ:クリティカル] SVC-SET ss1(iID 5)非アクティブ化/削除:NATマッピングとフローの削除が完了しました
サービス・セット内に多数の EIM マッピングを含むスケーリング環境では、大量のメッセージが生成され、このプロセスにはある程度の時間がかかります。サービス・セットの削除が完了したことを示すコンソール・メッセージが完了するまで待ってから、サービス・セットを再アクティブ化することをお勧めします。
NAPT に対するセキュリティで保護されたポート ブロックの割り当て
ポートブロックの割り当ては、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、およびMS-500マルチサービスPICを搭載したMシリーズルーターでサポートされています。ポートブロックの割り当ては、Junos OSリリース14.2R2以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーターでサポートされています。
キャリアは、IPアドレス(RADIUSまたはDHCP)ログを使用して加入者を追跡します。NAPT を使用する場合、IP アドレスは複数の加入者によって共有され、キャリアは NAT ログの一部である IP アドレスとポートを追跡する必要があります。ポートの使用と再利用が非常に高い割合で発生するため、アーカイブと関連付けが困難なメッセージが多数あるため、ログを使用してサブスクライバーを追跡することが困難になります。ポートブロックの割り当てを有効にすると、ログの数が大幅に削減され、加入者の追跡が容易になります。
NAPT に対するセキュリティで保護されたポート ブロックの割り当て
セキュリティで保護されたポート ブロックの割り当ては、変換タイプ napt-44 と stateful-nat64に使用できます。
ポートのブロックを割り当てる場合、最後に割り当てられたブロックが現在アクティブなブロックです。NATポートの新しいリクエストは、アクティブブロックから処理されます。ポートは、現在アクティブなブロックからランダムに割り当てられます。
セキュリティで保護されたポート ブロック割り当てを構成する場合、以下を指定できます。
block-sizemax-blocks-per-addressactive-block-timeout
ポートブロック割り当ての中間ロギング
ポートブロックの割り当てでは、サブスクライバに割り当てられたポートのセットごとに1つのsyslogログを生成します。これらのログは UDP ベースであり、特に実行時間の長いフローの場合、ネットワークで失われる可能性があります。中間ロギングは、ブロックの少なくとも 1 つのポートにトラフィックがあるアクティブブロックに対して、設定された間隔で上記のログを再送信するトリガーとなります。
中間ロギングは、sp- インターフェイスの 下にある services-options ステートメントを含めるpba-interim-logging-intervalことでアクティブになります。
関連項目
NAPT実施方法の比較
表 1 は、使用可能な NAPT 実装方法の機能比較を示しています。
特徴/機能 |
ダイナミックポート割り当て |
セキュアなポートブロック割り当て |
決定論的なポートブロック割り当て |
|---|---|---|---|
IPあたりのユーザー数 |
高 |
媒体 |
低 |
セキュリティリスク |
低 |
媒体 |
媒体 |
ログ使用率 |
高 |
低 |
なし(ログは不要) |
セキュリティリスクの低減 |
ランダム割り当て |
アクティブブロックタイムアウト 機能 |
N/a |
IPあたりのユーザー数の増加 |
N/a |
より小さなポートブロックを複数構成して、ユーザー/パブリックIPを最大化 |
アルゴリズムベースのポート割り当て |
IPv4 ネットワークでの NAPT の設定
ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。このセクションでは、IPv4 ネットワークで NAPT を構成する手順について説明します。
NAPT を構成するには、送信元 IPv4 アドレスを動的に変換する規則を階層レベルで構成 [edit services nat] する必要があります。
IPv4 ネットワークで NAPT を構成するには、次の手順を実行します。
次の例では、変換タイプを napt-44 として構成します。
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
NATへのフォールバックを使用した小規模プールへの動的アドレス変換
次の構成は、大きなプレフィックスから小さなプールへの動的なアドレス変換を示しており、 /24 サブネットを 10 個のアドレスのプールに変換します。送信元プール(送信元プール)内のアドレスが枯渇すると、NAPT オーバーロード プール(pat pool)によって NAT が提供されます。
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
小規模プールを使用した動的アドレス変換
次の構成は、大きなプレフィックスから小さなプールへの動的なアドレス変換を示しており、 /24 サブネットを 10 個のアドレスのプールに変換します。最初の 10 個のホスト・セッションからのセッションには、先着順でプールからアドレスが割り当てられ、追加の要求は拒否されます。NATが割り当てられた各ホストは、複数のセッションに参加できます。
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
IPv6 ネットワークでの NAPT の設定
ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。このセクションでは、IPv6 ネットワークで NAPT を構成する手順について説明します。MS-MPC または MS-MIC を使用している場合、IPv6 ネットワークでの NAPT の設定はサポートされていません。IPv4 ネットワークでの NAPT の構成については、「 IPv4 ネットワークでの NAPT の構成」を参照してください。
NAPT を構成するには、送信元 IPv6 アドレスを動的に変換するための規則 [edit services nat] を階層レベルで構成する必要があります。
IPv6 ネットワークで NAPT を設定するには、次の手順を実行します。
次に、IPv6 ネットワークの動的ソース(アドレスとポート)変換または NAPT を構成する例を示します。
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
例:ポート変換による NAT の設定
この例では、ポート変換を使用して NAT を設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
サービスDPCを備えたMXシリーズ5Gユニバーサルルーティングプラットフォーム、またはサービスPICを備えたMシリーズマルチサービスエッジルーター
ドメイン ネーム サーバー (DNS)
Junos OSリリース11.4以上
概要
次の例は、完全なCGN NAT44設定と詳細オプションを示しています。
ポート変換による NAT の設定
手順
手順
サービスセットを設定するには:
-
サービス セットを構成します。
user@host# edit services service-set ss2 -
設定モードで、 階層レベルに移動します
[edit services nat]。[edit] user@host# edit services nat
-
ダイナミック変換に使用する送信元アドレスのプールを定義します。NAPT の場合は、ソース プールの構成時にポート番号も指定します。
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
例えば:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
使用するNATルールを指定します。
[edit services service-set ss2]host# set nat-rules r1 - 送信元アドレスを変換するNATルールを定義します。これを行うには、
match-directionルールinputのステートメントを に設定します。さらに、前の手順で定義したプールのアドレスを変換する変換タイプとして、 を使用するnapt-44用語を定義します。[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
例えば:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
インターフェイス サービスを指定します。
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
結果
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
例:インターフェイス サービス セットを使用した MS-MPC での NAPT 設定
この例では、マルチサービスモジュラーポートコンセントレータ(MS-MPC)をサービスインターフェイスカードとして使用して、MXシリーズルーターでポート変換によるネットワークアドレス変換(NAPT)を設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MXシリーズルーター
マルチサービスモジュラーポートコンセントレータ(MS-MPC)
Junos OSリリース13.2R1以上
概要
あるサービス プロバイダは、NAT サービスを提供するプラットフォームとして MS-MPC を選択し、新規加入者に対応することにしました。
構成
MS-MPCをサービスインターフェイスカードとして使用してNAPT44を設定するには、次のタスクを実行します。
- CLIクイック構成
- インターフェイスの設定
- 許容可能なアプリケーショントラフィックのアプリケーションセットを設定する
- ステートフルファイアウォールルールの設定
- NAT プールとルールの設定
- サービスセットの設定
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
インターフェイスの設定
手順
NAT 処理に必要なインターフェイスを設定します。次のインターフェイスが必要になります。
顧客との間のトラフィックを処理する顧客向けインターフェイス。
インターネットに接続するインターフェイス。
顧客向けインターフェイスにNATおよびステートフルファイアウォールサービスを提供するサービスインターフェイス
顧客向けインターフェイスのインターフェイスを設定します。
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
インターネットに接続するインターフェイスのインターフェイスを設定します。
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
サービスを顧客向けインターフェイスに接続するサービス セットのインターフェイスを設定します。この例では、インターフェイスはMS-MPCに存在します。
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
許容可能なアプリケーショントラフィックのアプリケーションセットを設定する
手順
受信トラフィックで許容できるアプリケーションを特定します。
許容可能な受信アプリケーション・トラフィックを含むアプリケーション・セットを指定します。
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
結果
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
ステートフルファイアウォールルールの設定
手順
すべての受信トラフィックを受け入れるステートフルファイアウォールルールを設定します。
すべての入力と出力に一致するファイアウォールを指定する
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
顧客向けインターフェイスからの送信元アドレスと許容可能なアプリケーショントラフィックを特定します。
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
結果
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
NAT プールとルールの設定
手順
自動ポート割り当てで、アドレス変換の NAT プールとルールを設定します。
自動ポート割り当てを使用して NAT プールを構成します。
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
定義されたNATプールを使用して、変換タイプ
napt-44を適用するNATルールを設定します。user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
結果
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
サービスセットの設定
手順
インターフェイス タイプのサービス セットを設定します。
顧客のトラフィックに適用するNATとステートフルファイアウォールルールを指定します。
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
顧客のトラフィックにルールを適用するサービスインターフェイスを指定します。
set services service-set sset1 interface-service service-interface ms-3/0/0
結果
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
[edit services nat pool nat-pool-name]に
port automatic オプションを含める
sequentialことで、指定した範囲からポートを順序付けられて割り当てることができます。
auto 非表示で非推奨となり、下位互換性のためだけに維持されています。
sequential ポートの順次割り当てを設定できるオプションが導入されました。