静的なソースNAT
IPv4 ネットワークでの静的ソース変換の設定
変換タイプを basic-nat44 として設定するには、NAT プールとルール、サービス インターフェイスを含むサービス セット、および trace オプションを設定する必要があります。このトピックは、次のタスクで構成されています。
- NAT プールとルールの設定
- NAT のサービス セットの設定
- トレース オプションの設定
- 設定例:アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT
- サンプル構成 - プライベート・サブネットとパブリック・サブネット間の1対1マッピング用の静的ソースNAT
NAT プールとルールの設定
NAT プール、ルール、条件を設定するには:
トラフィックにステートフルファイアウォール(SFW)ルールを設定しない場合、各パケットには次のデフォルトのステートフルファイアウォールルールオプションは、ファイアウォールルールが適用されます。
内部から外部への有効なパケットを許可します。
パケット 5 タプルに基づいて転送および復帰フローを作成します。
外部から内部へのリターン フローに一致する有効なパケットのみを許可します。
ステートフルファイアウォールのパケット有効性チェックについては、Junos Network Secure Overviewにおけるステートフルファイアウォールの異常チェックで説明しています。パケットがステートフルファイアウォールの有効性チェックに合格したものの、NAT ルールと一致しない場合、そのパケットは変換されず、NATノードにパケットの宛先IPアドレスへの有効なルートがある場合に転送される可能性があります。
[edit services service-set service-set-name nat-rules rule-name term term- name]階層レベルでfromステートメント(NAT ルール条件一致条件)でパラメーターを追加または削除すると、この設定変更によってNAT ポリシーの削除と追加(サービス セットの非アクティブ化とアクティブ化に相当)がトリガーされ、既存のNATマッピングがすべて削除されます。NAT ポリシーの変更によってセッションは閉じられないため、この動作により、セッションが閉じられた直後にマッピングがタイムアウトします。この動作は予期される動作であり、デバイスにインストールされている Junos OS Extension-Provider パッケージにのみ適用されます。NAT ポリシーを削除して再度追加すると、EIM マッピングのみが削除されます。このNAT ポリシーの変更では、サービスセットは無効化および有効化されません。このようなシナリオでは、Junos OS リリース 14.2 以前でサービス セットを無効化し、再有効化することをお勧めします。
NAT のサービス セットの設定
NATのサービスセットを設定するには、次の手順に従います。
トレース オプションの設定
トレース オプションを設定するには、次の手順に従います。
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
設定例:アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
サンプル構成 - プライベート・サブネットとパブリック・サブネット間の1対1マッピング用の静的ソースNAT
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
IPv6 ネットワークでの静的ソース変換の設定
変換タイプを basic-nat66 として設定するには、NAT プールとルール、サービス インターフェイスを含むサービス セット、および trace オプションを設定する必要があります。 basic-nat66 変換タイプは、MS-MPCまたはMS-MICを使用している場合は使用できません。
このトピックは、次のタスクで構成されています。
NAT プールとルールの設定
NAT プール、ルール、条件を設定するには:
NAT のサービス セットの設定
NATのサービスセットを設定するには、次の手順に従います。
トレース オプションの設定
[edit services adaptive-services-pics] 階層レベルでトレース オプションを設定するには、次のようにします。
次の例では、変換タイプを basic-nat66 として設定します。
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
例:基本的な NAT44 の設定
この例では、NAT44 の基本設定を実装する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
サービスDPCを搭載したMXシリーズ5Gユニバーサルルーティングプラットフォーム、またはサービスPICを搭載したM Seriesマルチサービスエッジルーター
ドメイン・ネーム・サーバー (DNS)
Junos OS リリース 11.4 以降
概要
この例では、完全な CGN NAT44 設定と詳細オプションを示します。
基本的な NAT44 の設定
シャーシ構成
手順
レイヤー3サービスパッケージでサービスPIC(FPC 5スロット0)を設定するには:
階層レベルに [edit chassis] 移動します。
user@host# edit chassisレイヤー3サービスパッケージを設定します。
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
インターフェイス設定
手順
プライベート・ネットワークおよびパブリック・インターネットへのインターフェースを構成するには:
プライベート・ネットワークへのインターフェースを定義します。
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24パブリックインターネットへのインターフェイスを定義します。
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24NAT 処理用のサービス インターフェイスを定義します。
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
業績
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
例:マルチキャスト トラフィックの NAT の設定
図1は、IPマルチキャストトラフィックをマルチサービスPICに送信できるようにする以下の設定のネットワーク設定を示しています。
の NAT の設定
ランデブーポイント設定
ランデブーポイント(RP)では、 192.168.254.0/27 のマルチキャストソースからのすべての受信トラフィックがスタティック NAT プールmcast_poolに送信され、そのソースは 20.20.20.0/27に変換されます。サービス セット nat_ss は、IPマルチキャストトラフィックをマルチサービス DPC またはマルチサービス PIC に送信できるネクストホップ サービス セットです。PIC の内部インターフェイスは ms-1/1/0.1 で、外部インターフェイスは ms-1/1/0.2 です。
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
ギガビット イーサネット インターフェイスge-0/3/0は、RPからルーター1にトラフィックを伝送します。マルチサービス インターフェイス ms-1/1/0 には、ユニット 1 はネクストホップ サービスの内部インターフェイス、ユニット 2 はネクストホップ サービスの外部インターフェイスの 2 つの論理インターフェイスがあります。マルチキャスト ソース トラフィックは、ファイアウォール フィルター fbf が受信トラフィックに適用されているファスト イーサネット インターフェイス fe-1/2/1 で受信されます。
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
マルチキャストパケットは、ネクストホップサービスセットを使用して、マルチサービスDPCまたはマルチサービスPICにのみ送信することができます。NAT の場合、VPN ルーティングおよび転送インスタンス(VRF)も設定する必要があります。そのため、ルーティング インスタンス段階は「ダミー」転送インスタンスとして作成されます。受信パケットをステージングに向けるには、受信インターフェイス fe-1/2/1 に適用される fbf と呼ばれるファイアウォール フィルターを介したフィルターベース転送を設定します。ルックアップは、PICの内部インターフェイスを指すネクストホップでインストールされるマルチキャスト静的ルートを持つstage.inet.0で実行されます。このルートに一致するすべてのマルチキャスト トラフィックがPICに送信されます。
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
ルーティング インスタンス ステージ は、IPマルチキャスト トラフィックをマルチサービス DPC またはマルチサービス PIC 上の内部インターフェイス ms-1/1/0.1 に転送します。
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
IPマルチキャスト トラフィックが RP に出入りするファスト イーサネットとギガビット イーサネットの論理インターフェイスで、OSPF とプロトコル独立マルチキャスト(PIM)を有効にします。また、ネクストホップ サービス セットの外部インターフェイス(ms-1/1/0.2)で PIM を有効にします。
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
フィルターベースの転送設定と同様に、転送インスタンス ステージ の静的ルートに到達可能なネクストホップを確保するためには、すべてのインターフェイスルートが inet.0 から転送インスタンスのルーティングテーブルにコピーされるようにルーティングテーブルグループを設定する必要があります。ルーティング テーブル inet.0 と stage.inet.0 を fbf_rib_group のメンバーとして設定すると、すべてのインターフェイス ルートが両方のテーブルにインポートされます。
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
送信元 NAT が適用されるマルチキャスト グループでは、RPF(リバース パス フォワーディング)チェックを無効にする必要があります。次の例のようなポリシーを設定することで、特定のマルチキャスト グループの RPF チェックを無効にできます。この場合、 no_rpf ポリシーは 224.0.0.0/4 に属するマルチキャスト グループの RPF チェックを無効にします。
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
ルーター 1 の設定
ルーター 1 のインターネット グループ管理プロトコル(IGMP)、OSPF、および PIM の設定は次のとおりです。IGMP 静的グループ設定により、トラフィックはホスト メンバーからメンバーシップ レポートを受信せずに、 fe-3/0/0.0 からマルチキャスト レシーバーに転送されます。
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
ルーティング オプションは、RP 上のNAT プール mcast_poolへの静的ルートを作成します。
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。