静的ソース NAT
IPv4ネットワークでの静的ソース変換の設定
変換タイプを basic-nat44 として設定するには、NAT プールとルール、サービス インターフェイスを含むサービス セット、およびトレース オプションを設定する必要があります。このトピックは、次のタスクで構成されています。
- NAT プールとルールの設定
- NAT 用のサービス セットの設定
- トレース オプションの設定
- 設定例 - アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT
- サンプル設定 - プライベートサブネットとパブリックサブネット間の1対1マッピング用の静的ソースNAT
NAT プールとルールの設定
NATプール、ルール、条件を設定するには、以下を行います。
トラフィックに対してステートフルファイアウォール(SFW)ルールを設定しない場合、各パケットには次のデフォルトのステートフルファイアウォールルールが適用されます。
内部から外部への有効なパケットを許可します。
パケット 5 タプルに基づいて順方向および戻り方向のフローを作成します。
外部から内部へのリターン フローに一致する有効なパケットのみを許可します。
ステートフルファイアウォールのパケット有効性チェックについては、 Junos Network Secureのステートフルファイアウォール異常チェックの概要で説明しています。パケットがステートフルファイアウォールの有効性チェックに合格しても、NATルールと一致しない場合、パケットは変換されず、NATノードにパケットの宛先IPアドレスへの有効なルートがあれば転送される可能性があります。
階層レベルで ステートメント(NATルール条件の一致条件)のfrom[edit services service-set service-set-name nat-rules rule-name term term- name]パラメータを追加または削除すると、この設定変更により、既存のすべてのNATマッピングを削除するNATポリシー(サービス セットの非アクティブ化およびアクティブ化に相当)の削除と追加がトリガーされます。NAT ポリシーの変更によりセッションが閉じられないため、この動作により、セッションが閉じられた直後にマッピングがタイムアウトします。この動作は予期される動作であり、デバイスにインストールされているJunos OS拡張プロバイダーパッケージにのみ適用されます。NAT ポリシーが削除され、再追加されると、EIM マッピングだけが除去されます。この NAT ポリシーの変更では、サービス セットの非アクティブ化とアクティブ化は行われません。Junos OS リリース 14.2 以前のこのようなシナリオでは、サービス セットを非アクティブ化してから再アクティブ化することをお勧めします。
NAT 用のサービス セットの設定
NATのサービスセットを設定するには
トレース オプションの設定
トレース オプションを設定するには:
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
設定例 - アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
サンプル設定 - プライベートサブネットとパブリックサブネット間の1対1マッピング用の静的ソースNAT
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
IPv6ネットワークでの静的ソース変換の設定
変換タイプ basic-nat66を として設定するには、NATプールとルール、サービスインターフェイスを含むサービスセット、およびトレースオプションを設定する必要があります。 basic-nat66 MS-MPCまたはMS-MICを使用している場合、変換タイプは使用できません。
このトピックは、次のタスクで構成されています。
NAT プールとルールの設定
NATプール、ルール、条件を設定するには、以下を行います。
NAT 用のサービス セットの設定
NATのサービスセットを設定するには
トレース オプションの設定
階層レベルでトレース・オプション [edit services adaptive-services-pics] を設定するには:
次に、変換タイプを basic-nat66 として設定する例を示します。
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
例:基本的な NAT44 の設定
この例では、基本的な NAT44 設定を実装する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
サービスDPCを備えたMXシリーズ5Gユニバーサルルーティングプラットフォーム、またはサービスPICを備えたMシリーズマルチサービスエッジルーター
ドメイン ネーム サーバー (DNS)
Junos OSリリース11.4以上
概要
次の例は、完全なCGN NAT44設定と詳細オプションを示しています。
基本的なNAT44の設定
シャーシ構成
手順
レイヤー3サービスパッケージでサービスPIC(FPC 5スロット0)を設定するには、次の手順に従います。
[editchassis]階層レベルに移動します。
user@host# edit chassisレイヤー 3 サービス パッケージを構成します。
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
インターフェイス設定
手順
プライベートネットワークとパブリックインターネットへのインターフェイスを設定するには:
プライベート ネットワークへのインターフェイスを定義します。
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24パブリックインターネットへのインターフェイスを定義します。
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24NAT 処理用のサービス インターフェイスを定義します。
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
結果
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
例:マルチキャスト トラフィックに NAT を設定する
図1 は、IPマルチキャストトラフィックをマルチサービスPICに送信できるようにする、以下の設定のネットワーク設定を示しています。
の NAT の設定
ランデブーポイント設定
ランデブー ポイント(RP)では、マルチキャスト ソース 192.168.254.0/27 からのすべての着信トラフィックがスタティック NAT プール mcast_poolに送信され、そこでソースが 20.20.20.0/27 に変換されます。サービス セット nat_ssは、IP マルチキャスト トラフィックをマルチサービス DPC またはマルチサービス PIC に送信できるようにするネクストホップ サービス セットです。PIC の内部インターフェイスは ms-1/1/0.1 で、外部インターフェイスは ms-1/1/0.2 です。
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
ギガビット イーサネット インターフェイス ge-0/3/0 は、RP からルーター 1 にトラフィックを伝送します。マルチサービス インターフェイス ms-1/1/0 には、ユニット 1 はネクストホップ サービスの内部インターフェイス、ユニット 2 はネクストホップ サービス用の外部インターフェイスの 2 つの論理インターフェイスがあります。マルチキャスト送信元トラフィックは、受信トラフィックにファイアウォールフィルターfbfが適用されたファストイーサネットインターフェイスfe-1/2/1に着信します。
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
マルチキャストパケットは、ネクストホップサービスセットを使用してのみ、マルチサービスDPCまたはマルチサービスPICに送信できます。NAT の場合は、VPN ルーティングおよび転送インスタンス(VRF)も設定する必要があります。そのため、ルーティングインスタンスステージは「ダミー」転送インスタンスとして作成されます。受信パケットをステージに誘導するには、受信インターフェイスfe-1/2/1に適用されるfbfと呼ばれるファイアウォールフィルターを介してフィルターベースの転送を設定します。ルックアップは stage.inet.0 で実行されます。この stage.inet.0 には、PIC の内部インターフェイスを指すネクストホップと共にインストールされたマルチキャストスタティックルートがあります。このルートに一致するすべてのマルチキャスト トラフィックが PIC に送信されます。
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
ルーティング インスタンス ステージ では、IP マルチキャスト トラフィックをマルチサービス DPC またはマルチサービス PIC の内部インターフェイス ms-1/1/0.1 に転送します。
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
IP マルチキャスト トラフィックが RP に出入りするファスト イーサネットおよびギガビット イーサネットの論理インターフェイスで、OSPF および PIM(プロトコル非依存型マルチキャスト)をイネーブルにします。また、ネクストホップ サービス セットの外部インターフェイス(ms-1/1/0.2)でも PIM をイネーブルにします。
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
他のフィルターベースの転送設定と同様に、転送インスタンス ステージのスタティック ルートが到達可能なネクストホップを持つためには、すべてのインターフェイス ルートが inet.0 から転送インスタンスのルーティング テーブルにコピーされるように、ルーティングテーブルグループを設定する必要があります。ルーティングテーブルinet.0とstage.inet.0をfbf_rib_groupのメンバーとして設定し、すべてのインターフェイスルートが両方のテーブルにインポートされるようにします。
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
リバース パス フォワーディング(RPF)チェックは、送信元 NAT が適用されるマルチキャスト グループに対して無効にする必要があります。以下の例に示すようなポリシーを設定することで、特定のマルチキャストグループのRPFチェックを無効にすることができます。この場合、 no_rpf ポリシーは、 224.0.0.0/4 に属するマルチキャストグループの RPF チェックを無効にします。
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
ルーター 1 の設定
ルーター 1 のインターネット グループ管理プロトコル(IGMP)、OSPF、および PIM の設定は次のようになります。IGMP スタティック グループ設定により、トラフィックはホスト メンバーからメンバーシップ レポートを受信せずに、 fe-3/0/0.0 からマルチキャスト受信者に転送されます。
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
ルーティング オプションは、RP 上の NAT プール mcast_poolへのスタティック ルートを作成します。
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。