Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ステートフルNAT64

ステートフル NAT64 の設定

ステートフル NAT64 を設定するには、送信元アドレスを動的に変換し、宛先アドレスを静的に変換するルール [edit services nat] を 階層レベルで設定する必要があります。

ベスト プラクティス:

NATルールを含むサービスセットを設定する場合は、階層レベルで を含め set stateful-nat64 clear-dont-fragment-bit ます [edit services service-set service-set-name] 。これにより、1280 バイト未満の IPv4 パケットを変換するときに IPv6 フラグメンテーション ヘッダーが不必要に作成されるのを防ぐために、DF(フラグメント化しない)ビットがクリアされます。RFC 6145, IP/ICMP 変換アルゴリズム では、DF フラグを使用したフラグメント化ヘッダーの生成を制御する方法について詳細に説明しています。NAT のサービス セットの詳細については、 ネットワーク アドレス変換用のサービス セットの設定を参照してください。

ステートフル NAT64 を設定するには:

  1. 設定モードで、 階層レベルに移動します [edit services nat]
  2. ダイナミック変換に使用する送信元アドレスのプールを定義します。

    例えば:

    メモ:

    Junos OS リリース 14.2 以降、sequentialポートの順次割り当てを設定できるオプションが導入されました。sequential階層レベルで ステートメント[edit services nat pool nat-pool-name]で使用できる port automatic オプションrandom-allocationと は、相互に排他的です。順次割り当てのオプションとrandom-allocationポートのランダム委任のオプションを含めることができますsequential。デフォルトでは、ポートの順次割り当ては、 階層レベルで ステートメント[edit services nat pool nat-pool- name]のみport automaticを含める場合に行われます。このオプションはauto非表示になっており、Junos OS Release 14.2 以降では非推奨となっており、下位互換性のためだけに維持されています。将来のソフトウェア リリースで完全に削除される可能性があります。
  3. 送信元アドレスを変換するNATルールを定義します。ルールのステートメントをmatch-direction入力として設定します。次に、前の手順で定義したプールのアドレスを変換する変換タイプとして、stateful-nat64 を使用する用語を定義します。

    例えば:

次に、動的送信元アドレス(IPv6 から IPv4)と静的宛先アドレス(IPv6 から IPv4)への変換を設定する例を示します。

メモ:

2 つの NAT64 ルールを設定し、ステートフル ファイアウォール ルールとともに同じサービス セットに関連付け、2 つの VLAN タグ付きインターフェイスにサービス セットを適用すると、両方の NAT ルールに一致するトラフィックが送信されると、2 番目の NAT ルール宛てのトラフィックは破棄されます。このシナリオでは、トラフィック フローはルーティング エンジンでドロップされません。2 番目の NAT ルールによるトラフィック ドロップのこの動作は予期されるものです。Junos OS 拡張プロバイダーパッケージがデバイスにインストールされている場合、エンドポイント依存マッピング(EIM)がサポートされていないため、VLAN単位またはNATルール条件ごとのEIM。ここで説明する設定シナリオの 2 番目の NAT ルールによってドロップされる 2 番目のセッションは、次の一連のイベントが原因で作成されません。

  1. いずれかの規則に一致する最初のパケットが、EIM およびセッションを作成します。

  2. 2 番目のパケットは最初のパケットと同じ送信元 IP アドレスおよびポートで (ただし宛先アドレスは異なる) で送信されるため、2 番目のパケットは EIM 項目と一致します。

この条件により、同じパブリック IP アドレスとポートが最初のパケットとして 2 番目のパケットに割り当てられ (再利用) されます。このセッションの逆フローには、最初のセッションの逆フローと同じ 5 タプル データがあります。この動作は、同じサービス セット内の重複フローが許可されないため、フロー追加エラーが発生します。

この問題を回避するには、両方の NAT 規則で EIM を使用不可にして、両方のセッションが正しく確立および処理されるようにします。あるいは、この問題を回避するには、EIM を使用可能にして、メディア・インターフェースの異なる装置に構成された異なるサービス・セットに NAT 規則を指定して、両方のセッションを正常に確立します。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
14.2
Junos OS リリース 14.2 以降、 sequential ポートの順次割り当てを設定できるオプションが導入されました。