ネットワークアドレスポート変換
ネットワーク アドレス ポート変換(NAPT)用のアドレス プールの設定の概要
ネットワーク アドレス ポート変換(NAPT)を使用すると、それぞれ最大 65,536 個のアドレスを持つ最大 32 のアドレス範囲を設定できます。
port ステートメントは、変換されたアドレスのポート割り当てを指定します。ポートの自動割り当てを設定するには、[edit services nat pool nat-pool-name]階層レベルでport automaticステートメントを含めます。デフォルトでは、ポートの順次割り当てが行われます。
Junos OS リリース 14.2以降では、指定した範囲からポートを順番に割り当てるために、[edit services nat pool nat-pool-name]階層レベルでport automaticステートメントにsequentialオプションを含めることができます。特定の範囲のポート番号を設定するには、[edit services nat pool nat-pool-name]階層レベルでport range low minimum-value high maximum-valueステートメントを含めます。
napt-44 のプール内の使用可能なポート総数の 99% の場合、その NAT プールでは新しいフローは許可されません。
Junos OS リリース 14.2 以降、 auto オプションは非表示になり、非推奨となり、下位互換性のためにのみ維持されます。これは、将来のソフトウェア リリースで完全に削除される可能性があります。
Junos OS には、ポートを割り当てるための選択肢がいくつか用意されています。
- NAPT のラウンドロビン割り当て
- NAPT の順次割り当て
- パリティの保持とNAPTの範囲の保持
- NAPTのアドレスプールとエンドポイント非依存マッピング
- NAPTのセキュアなポートブロックの割り当て
- NAPT実装方法の比較
NAPT のラウンドロビン割り当て
NAT プールにラウンドロビン割り当てを設定するには、[edit services nat pool pool-name]階層レベルで アドレス割り当てラウンドロビン設定ステートメントを含めます。ラウンドロビン割り当てを使用する場合、範囲内の各アドレスから 1 つのポートが割り当てられてから、次の範囲のアドレスごとにプロセスが繰り返されます。最後の範囲のすべてのアドレスにポートが割り当てられた後、割り当てプロセスはラップアラウンドし、最初の範囲のアドレスに次の未使用のポートを割り当てます。
最初の接続は、アドレス:ポート 100.0.0.1:3333 に割り当てられます。
2 番目の接続は、アドレス:ポート 100.0.0.2:3333 に割り当てられます。
3 番目の接続は、アドレス:ポート 100.0.0.3:3333 に割り当てられます。
4 番目の接続は、アドレス:ポート 100.0.0.4:3333 に割り当てられます。
5 番目の接続は、アドレス:ポート 100.0.0.5:3333 に割り当てられます。
6 番目の接続は、アドレス:ポート 100.0.0.6:3333 に割り当てられます。
7 番目の接続は、アドレス:ポート 100.0.0.7:3333 に割り当てられます。
8 番目の接続は、アドレス:ポート 100.0.0.8:3333 に割り当てられます。
9 番目の接続は、アドレス:ポート 100.0.0.9:3333 に割り当てられます。
10 番目の接続は、アドレス:ポート 100.0.0.10:3333 に割り当てられます。
11 番目の接続は、アドレス:ポート 100.0.0.11:3333 に割り当てられます。
12 番目の接続は、アドレス:ポート 100.0.0.12:3333 に割り当てられます。
ラップアラウンドが発生し、13 番目の接続が address:port 100.0.0.1:3334 に割り当てられます。
NAPT の順次割り当て
シーケンシャル割り当てでは、アドレスから使用可能なすべてのポートを使い切った場合にのみ、NAT プール内の次に使用可能なアドレスが選択されます。
シーケンシャル割り当ては、MS-DPCとMS-100、MS-400、MS-500マルチサービスPICにのみ設定できます。MS-MPC カードと MS-MIC カードは、ラウンドロビン割り当て方式のみを使用します。
このレガシ実装は下位互換性を提供するため、推奨されるアプローチではなくなりました。
次の設定例で napt と呼ばれる NAT プールは、シーケンシャル実装を使用します。
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
この例では、ポートは最初のアドレス範囲の最初のアドレスから割り当てられ、使用可能なすべてのポートが使用されるまでこのアドレスから割り当てが続行されます。使用可能なポートがすべて使用されると、次のアドレス(同じアドレス範囲または次のアドレス範囲)が割り当てられ、必要に応じてそのすべてのポートが選択されます。napt プールの例の場合、タプルアドレス (ポート 100.0.0.4:3333) は、最初の範囲のすべてのアドレスのすべてのポートが使用された場合にのみ割り当てられます。
最初の接続は、アドレス:ポート 100.0.0.1:3333 に割り当てられます。
2 番目の接続は、アドレス:ポート 100.0.0.1:3334 に割り当てられます。
3 番目の接続は、アドレス:ポート 100.0.0.2:3333 に割り当てられます。
4 番目の接続は、アドレス:ポート 100.0.0.2:3334 に割り当てられます。
パリティの保持とNAPTの範囲の保持
パリティ保持と範囲保持オプションはNAPTで使用可能であり、MS-DPCおよびMS-100、MS-400、MS-500マルチサービスPICでサポートされています。MS-MPC および MS-MIC のサポートは、Junos OS リリース 15.1R1 から始まります。NAPT では、以下のオプションを使用できます。
パリティの保持—
preserve-parityコマンドを使用して、送信元ポートが偶数のパケットには偶数のポートを割り当て、送信元ポートが奇数のパケットには奇数のポートを割り当てます。範囲の保持—
preserve-rangeコマンドを使用して、元のパケットに予約された範囲内の送信元ポートが含まれていると仮定して、0〜1023 の範囲でポートを割り当てます。これは、データ セッションではなく、制御セッションに適用されます。
NAPTのアドレスプールとエンドポイント非依存マッピング
アドレス プーリング
アドレス プーリング、またはアドレス プーリング ペア(APP)は、同じ内部ホストから発信されるすべてのセッションに同じ外部IPアドレスを割り当てます。この機能は、プールから外部IPアドレスを割り当てるときに使用できます。このオプションは、ポートの使用率には影響しません
アドレス プーリングは、アプリケーションが複数の接続を開く際の問題を解決します。たとえば、Session Initiation Protocol(SIP)クライアントが Real-Time Transport Protocol(RTP)パケットと Real-Time Control Protocol(RTCP)パケットを送信する場合、SIP サーバは通常、NAT の対象であっても、同じ IP アドレスからの送信を要求します。RTP と RTCP の IP アドレスが異なる場合、受信エンドポイントでパケットが破棄される可能性があります。ポートをネゴシエートするポイントツーポイント(P2P)プロトコル(アドレスの安定性を前提)は、アドレス プーリング ペアの恩恵を受けます。
以下は、アドレスプーリングのユースケースです。
インスタント メッセージング サービスを提供するサイトでは、チャットとその制御セッションが同じパブリック ソース アドレスから行われる必要があります。ユーザーがチャットにサインオンすると、制御セッションによってユーザーが認証されます。ユーザーがチャットセッションを開始すると、別のセッションが開始されます。チャット セッションが認証セッションと異なる送信元アドレスから発信された場合、インスタント メッセージング サーバーは、チャット セッションが承認されていないアドレスから発信されたため、チャット セッションを拒否します。
オンラインバンキングサイトなどの特定のWebサイトでは、特定のホストからのすべての接続が同じIPアドレスからのものである必要があります。
Junos OS リリース 14.1以降、そのサービス セットのAPP(アドレス プーリング ペア)を含むサービス セットを非アクティブ化すると、PIC コンソールにメッセージが表示され、そのサービス セットのマッピングがクリアされます。これらのメッセージは、サービス セットの削除が開始されるとトリガーされ、サービス セットの削除が完了すると再度生成されます。削除の開始時と終了時に、次のサンプルメッセージが表示されます。
Nov 15 08:33:13.974 LOG:Critical] SVC-SET ss1(iid 5)非アクティブ化/削除:NATマッピングとフローの削除が開始されました
Nov 15 08:33:14.674 LOG:Critical] SVC-SET ss1(iid 5)非アクティブ化/削除:NATマッピングとフローの削除が完了しました
サービス セットに多数の APP が含まれている拡張環境では、大量のメッセージが生成され、このプロセスに時間がかかります。サービス セットの削除が完了したことを示すコンソール メッセージが表示されるまで待ってから、サービス セットを再アクティブ化することをお勧めします。
エンドポイントに依存しないマッピングとエンドポイントに依存しないフィルタリング
エンドポイント独立マッピング (EIM) は、特定のホストからのすべての接続が同じ内部ポートを使用する場合、同じ外部アドレス と ポートの割り当てを保証します。つまり、異なる送信元ポートから来た場合は、別の外部アドレスを自由に割り当てることができます。
EIM と APP は、以下のとおり異なります。
APPは、同じ外部IPアドレスを確実に割り当てます。
EIM は、外部ホストが接続できる安定した外部IPアドレスおよびポートを (一定期間) 提供します。エンドポイント非依存フィルタリング(EIF)は、どの外部ホストが内部ホストに接続できるかを制御します。
Junos OS リリース 14.1 以降、そのサービス セットに対するエンドポイントに依存しないマッピング(EIM)マッピングを含むサービス セットを非アクティブ化すると、PIC コンソールにメッセージが表示され、そのサービス セットに対するマッピングがクリアされます。これらのメッセージは、サービス セットの削除が開始されるとトリガーされ、サービス セットの削除が完了すると再度生成されます。削除の開始時と終了時に、次のサンプルメッセージが表示されます。
Nov 15 08:33:13.974 LOG:Critical] SVC-SET ss1(iid 5)非アクティブ化/削除:NATマッピングとフローの削除が開始されました
Nov 15 08:33:14.674 LOG:Critical] SVC-SET ss1(iid 5)非アクティブ化/削除:NATマッピングとフローの削除が完了しました
サービス・セット内に多数の EIM マッピングを含むスケーリングされた環境では、大量のメッセージが生成され、このプロセスにはある程度の時間がかかります。サービス セットの削除が完了したことを示すコンソール メッセージが表示されるまで待ってから、サービス セットを再アクティブ化することをお勧めします。
NAPTのセキュアなポートブロックの割り当て
ポートブロックの割り当ては、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。ポートブロックの割り当ては、Junos OSリリース14.2R2以降のMS-MPCおよびMS-MICを搭載したMXシリーズルーターでサポートされています。
通信事業者は、IPアドレス(RADIUSまたはDHCP)ログを使用して加入者を追跡します。NAPT を使用する場合、IP アドレスは複数の加入者によって共有され、キャリアは NAT ログの一部である IP アドレスとポートを追跡する必要があります。ポートは非常に高い割合で使用および再利用されるため、ログを使用した加入者の追跡は、アーカイブと関連付けが困難なメッセージの数が多いため、困難になります。ブロック単位でのポートの割り当てを有効にすることで、ポートブロックの割り当てによってログ数が大幅に削減され、加入者の追跡が容易になります。
NAPTのセキュアなポートブロックの割り当て
セキュア ポート ブロック割り当ては、変換タイプ napt-44 と stateful-nat64に使用できます。
ポートのブロックを割り当てる場合、最後に割り当てられたブロックが現在のアクティブなブロックになります。NAT ポートの新しい要求は、アクティブなブロックから処理されます。ポートは、現在のアクティブなブロックからランダムに割り当てられます。
セキュア ポート ブロック割り当てを設定する場合、以下を指定できます。
block-sizemax-blocks-per-addressactive-block-timeout
ポートブロック割り当ての暫定ロギング
ポートブロックの割り当てにより、加入者に割り当てられたポートのセットごとに1つのsyslogログが生成されます。これらのログはUDPベースであり、特に実行時間の長いフローの場合、ネットワークで失われる可能性があります。暫定ロギングは、ブロックの少なくとも1つのポートにトラフィックがあるアクティブブロックに対して、設定された間隔で上記のログを再送信するようにトリガーします。
暫定ロギングは、sp-インターフェイスのservices-optionsの下にpba-interim-logging-intervalステートメントを含めることでアクティブになります。
参照
NAPT実装方法の比較
表 1 は、使用可能な NAPT 実装方法の機能比較を示しています。
特徴/機能 |
ダイナミックポート割り当て |
セキュアなポートブロックの割り当て |
決定論的なポートブロックの割り当て |
|---|---|---|---|
IP あたりのユーザー数 |
高い |
中程度 |
低い |
セキュリティ リスク |
低い |
中程度 |
中程度 |
ログ使用率 |
高い |
低い |
なし(ログは不要) |
セキュリティリスクの低減 |
ランダム割り当て |
アクティブブロックタイムアウト 機能 |
該当なし |
IPあたりのユーザー数の増加 |
該当なし |
小さなポートブロックを複数構成して、ユーザー/パブリックIPを最大化します |
アルゴリズムに基づくポート割り当て |
IPv4 ネットワークでの NAPT の設定
ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。このセクションでは、IPv4 ネットワークで NAPT を設定する手順について説明します。
NAPT を設定するには、送信元 IPv4 アドレスを動的に変換するためのルールを [edit services nat] 階層レベルで設定する必要があります。
IPv4 ネットワークで NAPT を設定するには、次の手順に従います。
次の例では、変換タイプを napt-44 として設定します。
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
NAT へのフォールバックによる小規模プールへの動的アドレス変換
次の設定では、大きなプレフィックスから小さなプールへのアドレス変換を行い、 /24 サブネットを 10 個のアドレスのプールに変換しています。送信元プール(src-pool)のアドレスが枯渇すると、NAPT オーバーロード プール(pat-pool)によって NAT が提供されます。
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
小規模プールでの動的アドレス変換
次の設定では、大きなプレフィックスから小さなプールへのアドレス変換を行い、 /24 サブネットを 10 個のアドレスのプールに変換しています。最初の 10 個のホスト セッションからのセッションには、先着順でプールからアドレスが割り当てられ、それ以降の要求は拒否されます。NAT が割り当てられた各ホストは、複数のセッションに参加できます。
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
IPv6 ネットワークでの NAPT の設定
ネットワーク アドレス ポート変換 (NAPT) は、多数のネットワーク アドレスとその TCP/UDP ポートを 1 つのネットワーク アドレスとその TCP/UDP ポートに変換する方法です。この変換は、IPv4 と IPv6 の両方のネットワークで設定できます。このセクションでは、IPv6 ネットワークで NAPT を設定する手順について説明します。MS-MPC または MS-MIC を使用している場合、IPv6 ネットワークでの NAPT の設定はサポートされません。IPv4 ネットワークでの NAPT の設定については、 IPv4 ネットワークでの NAPT の設定を参照してください。
NAPT を設定するには、送信元 IPv6 アドレスを動的に変換するためのルールを [edit services nat] 階層レベルで設定する必要があります。
IPv6 ネットワークで NAPT を設定するには、次の手順に従います。
次に、IPv6 ネットワークの動的送信元(アドレスおよびポート)変換(NAPT)を設定する例を示します。
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
例:ポート変換による NAT の設定
この例では、ポート変換を使用してNATを設定する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
サービスDPCを搭載したMXシリーズ5Gユニバーサルルーティングプラットフォーム、またはサービスPICを搭載したM Seriesマルチサービスエッジルーター
ドメイン・ネーム・サーバー (DNS)
Junos OS リリース 11.4 以降
概要
この例では、完全な CGN NAT44 設定と詳細オプションを示します。
ポート変換による NAT の設定
プロシージャ
手順
サービスセットを設定するには、次の手順に従います。
-
サービスセットを設定します。
user@host# edit services service-set ss2 -
設定モードで、
[edit services nat]階層レベルに移動します。[edit] user@host# edit services nat
-
ダイナミック変換に使用する必要のある送信元アドレスのプールを定義します。NAPT の場合は、ソース プールを構成するときにポート番号も指定します。
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
例えば:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
使用する NAT ルールを指定します。
[edit services service-set ss2]host# set nat-rules r1 - 送信元アドレスを変換するためのNAT ルールを定義します。これを行うには、ルールの
match-directionステートメントをinputに設定します。さらに、前のステップで定義したプールのアドレスを変換するための変換タイプとしてnapt-44を使用する条件を定義します。[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
例えば:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
インターフェイスサービスを指定します。
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
業績
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
例:インターフェイス サービス セットを使用した MS-MPC での NAPT 設定
この例では、MS-MPC(マルチサービス モジュラー ポート コンセントレータ)をサービス インターフェイス カードとして使用し、MXシリーズルーターでポート変換(NAPT)によるネットワーク アドレス変換を設定する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MXシリーズルーター
MS-MPC(マルチサービス モジュラー ポート コンセントレータ)
Junos OS リリース 13.2R1 以降
概要
サービスプロバイダは、新しい加入者に対応するためのNATサービスを提供するプラットフォームとしてMS-MPCを選択しました。
構成
MS-MPC をサービス インターフェイス カードとして使用して NAPT44 を設定するには、次のタスクを実行します。
- CLIクイック構成
- インターフェイスの設定
- 許容可能なアプリケーショントラフィックのアプリケーションセットの設定
- ステートフル ファイアウォール ルールの設定
- NAT プールとルールの設定
- サービス セットの設定
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
インターフェイスの設定
手順
NAT 処理に必要なインターフェイスを設定します。次のインターフェイスが必要になります。
顧客との間のトラフィックを処理する、顧客向けのインターフェイス。
インターネットに面したインターフェイス。
顧客向けインターフェイスにNATおよびステートフルファイアウォールサービスを提供するサービスインターフェイス
顧客向けインターフェイスのインターフェイスを設定します。
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
インターネットに接続するインターフェイスのインターフェイスを設定します。
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
顧客向けインターフェイスにサービスを接続するサービスセットのインターフェイスを設定します。この例では、インターフェイスはMS-MPCに存在します。
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
許容可能なアプリケーショントラフィックのアプリケーションセットの設定
手順
受信トラフィックで受け入れ可能なアプリケーションを特定します。
許容可能な受信アプリケーショントラフィックを含むアプリケーションセットを指定します。
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
業績
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
ステートフル ファイアウォール ルールの設定
手順
すべての受信トラフィックを受け入れるステートフル ルールオプションは、ファイアウォールルールを構成します。
すべての入力と出力に対するファイアウォール マッチングの指定
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
顧客向けインターフェイスからの送信元アドレスと許容可能なアプリケーショントラフィックを特定します。
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
業績
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
NAT プールとルールの設定
手順
自動ポート割り当てによるアドレス変換のNAT プールとルールを設定します。
自動ポート割り当てでNAT プールを設定します。
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
定義されたNAT プールを使用して、翻訳タイプ
napt-44を適用するNAT ルールを設定します。user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
業績
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
サービス セットの設定
手順
インターフェイスタイプのサービス セットを設定します。
お客様のトラフィックに適用するNATおよびステートフルファイアウォールルールを指定します。
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
お客様のトラフィックにルールを適用するサービスインターフェイスを指定します。
set services service-set sset1 interface-service service-interface ms-3/0/0
業績
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
[edit services nat pool nat-pool-name]階層レベルで
port automaticステートメントに
sequentialオプションを含めることができます。
auto オプションは非表示になり、非推奨となり、下位互換性のためにのみ維持されています。
sequential オプションが導入されました。