Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ステートフルNAT64

ステートフルNAT64の設定

ステートフルNAT64を設定するには、送信元アドレスを動的に変換し、宛先アドレスを静的に変換するためのルールを [edit services nat] 階層レベルで設定する必要があります。

ベストプラクティス:

NATルールを含むサービスセットを設定する場合、[edit services service-set service-set-name]階層レベルにset stateful-nat64 clear-dont-fragment-bitを含めます。これにより、1280バイト未満のIPv4パケットを変換する際にIPv6 フラグメント化ヘッダーが不要に作成されないように、DF(フラグメント化しない)ビットがクリアされます。RFC 6145、IP/ICMP変換アルゴリズムでは、DFフラグを使用してフラグメント化ヘッダーの生成を制御する方法について十分に説明しています。NATのサービスセットの詳細については、ネットワークアドレス変換用のサービスセットの設定を参照してください。

ステートフルNAT64を設定するには:

  1. 設定モードで、 [edit services nat] 階層レベルに移動します。
  2. 動的変換に使用する送信元アドレスのプールを定義します。

    例えば:

    注:

    Junos OSリリース14.2以降、ポートの順次割り当てを設定できるようにsequentialオプションが導入されます。[edit services nat pool nat-pool-name]階層レベルのport automaticステートメントで使用できるsequentialオプションとrandom-allocationオプションは相互に排他的です。順次割り当てにはsequentialオプションを含め、ポートのランダム委任にはrandom-allocationオプションを含めることができます。デフォルトでは、[edit services nat pool nat-pool- name]階層レベルにport automaticステートメントのみを含めると、ポートの順次割り当てが行われます。autoオプションは非表示になっており、Junos OSリリース14.2以降では非推奨であり、後方互換性のためにのみ維持されます。将来のソフトウェアリリースで完全に削除される可能性があります。
  3. 送信元アドレスを変換するための NAT ルールを定義します。ルールの match-direction ステートメントを 入力として設定します。次に、前のステップで定義したプールのアドレスを変換するための変換タイプとして stateful-nat64 を使用する用語を定義します。

    例えば:

次の例では、動的送信元アドレス(IPv6-to-IPv4)と静的宛先アドレス(IPv6-to-IPv4)変換を設定します。

注:

2つのNAT64ルールを設定し、ステートフルファイアウォールルールとともに同じサービスセットに関連付け、2つのVLANタグ付きインターフェイスにサービスセットを適用した場合、両方のNATルールに一致して送信されるトラフィックに対して、2番目のNATルールを宛先とするトラフィックは破棄されます。このようなシナリオでは、トラフィックフローはルーティングエンジンでドロップされません。2 番目の NAT ルールによってトラフィックがドロップされるこの動作は想定されます。デバイスにJunos OS拡張プロバイダパッケージがインストールされている場合、エンドポイント独立マッピング(EIM)がサポートされていないため、VLANごとのEIM、またはNATルール条件ごとのEIMここで説明する設定シナリオの 2 番目の NAT ルールによってドロップされる 2 番目のセッションは、以下の一連のイベントにより作成されません。

  1. いずれかのルールに一致する最初のパケットが、EIM とセッションを作成します。

  2. 2番目のパケットは最初のパケットと同じ送信元IPアドレスとポート(ただし宛先アドレスは異なる)で送信されるため、2番目のパケットはEIMエントリと一致します。

この条件により、最初のパケットと同じパブリックIPアドレスとポートが2番目のパケットに割り当て(再利用)されます。このセッションの逆フローには、最初のセッションの逆フローと同じ 5 タプルのデータがあります。この動作では、同じサービスセット内でフローの重複が許可されないため、フロー追加に失敗します。

この問題を回避するには、両方の NAT 規則で EIM を使用不可にします。これにより、両方のセッションが正しく確立および処理されます。または、この問題を回避するには、EIM を有効にしたメディア インターフェイスの異なるユニットに設定された異なるサービス セットで NAT ルールを指定して、両方のセッションを正常に確立します。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
14.2
Junos OSリリース14.2以降、ポートの順次割り当てを設定できるように sequential オプションが導入されました。