Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

静的ソース NAT

IPv4ネットワークでの静的ソース変換の設定

変換タイプを basic-nat44 として設定するには、NAT プールとルール、サービス インターフェイスを含むサービス セット、およびトレース オプションを設定する必要があります。このトピックは、次のタスクで構成されています。

NAT プールとルールの設定

NATプール、ルール、条件を設定するには、以下を行います。

  1. 設定モードで、 階層レベルに移動します [edit services nat]
  2. アドレスを使用して NAT プールを構成します。

    次の例では、プール名が src_pool 、アドレスが 10.10.10.2/32 です。

  3. NATルールと一致方向を設定します。

    次の例では、NAT ルール名は rule-basic-nat44 で、一致方向が 入力されます

  4. ステートメントで from 送信元アドレスを設定します。

    次の例では、条件名は t1 で、入力条件は 送信元アドレス 3.1.1.2/32 です。

  5. 変換されたトラフィックのNAT用語アクションとプロパティを設定します。

    次の例では、用語 アクションが変換され、 変換 されたトラフィックのプロパティが ソースプールsrc_poolです。

  6. 変換タイプを設定します。

    次の例では、変換タイプは basic-nat44 です。

  7. 階層レベルで コマンドを使用して[edit services nat]、構成showを確認します。
メモ:

トラフィックに対してステートフルファイアウォール(SFW)ルールを設定しない場合、各パケットには次のデフォルトのステートフルファイアウォールルールが適用されます。

  • 内部から外部への有効なパケットを許可します。

  • パケット 5 タプルに基づいて順方向および戻り方向のフローを作成します。

  • 外部から内部へのリターン フローに一致する有効なパケットのみを許可します。

ステートフルファイアウォールのパケット有効性チェックについては、 Junos Network Secureステートフルファイアウォール異常チェックの概要で説明しています。パケットがステートフルファイアウォールの有効性チェックに合格しても、NATルールと一致しない場合、パケットは変換されず、NATノードにパケットの宛先IPアドレスへの有効なルートがあれば転送される可能性があります。

メモ:

階層レベルで ステートメント(NATルール条件の一致条件)のfrom[edit services service-set service-set-name nat-rules rule-name term term- name]パラメータを追加または削除すると、この設定変更により、既存のすべてのNATマッピングを削除するNATポリシー(サービス セットの非アクティブ化およびアクティブ化に相当)の削除と追加がトリガーされます。NAT ポリシーの変更によりセッションが閉じられないため、この動作により、セッションが閉じられた直後にマッピングがタイムアウトします。この動作は予期される動作であり、デバイスにインストールされているJunos OS拡張プロバイダーパッケージにのみ適用されます。NAT ポリシーが削除され、再追加されると、EIM マッピングだけが除去されます。この NAT ポリシーの変更では、サービス セットの非アクティブ化とアクティブ化は行われません。Junos OS リリース 14.2 以前のこのようなシナリオでは、サービス セットを非アクティブ化してから再アクティブ化することをお勧めします。

NAT 用のサービス セットの設定

NATのサービスセットを設定するには

  1. 設定モードで、 階層レベルに移動します [edit services]
  2. サービス セットを構成します。

    次の例では、サービス セット名は s1 です。

  3. s1 サービス セットに対して、階層レベルで設定された [edit services nat] NAT ルールへの参照を設定します。

    次の例では、ルール名は rule-basic-nat44 です。

  4. サービス・インターフェースを設定します。

    次の例では、サービス インターフェイス名は ms-1/2/0 です。

    メモ:

    Trio ベースのラインカードがある場合、そのカードでインラインサービスインターフェイスを設定できます。

  5. 階層レベルで コマンドを使用して[edit services]、構成showを確認します。
  6. NAT サービス セットをインターフェイスに関連付け xe- ます。
  7. 階層レベルで コマンドを使用して[edit interfaces]、構成showを確認します。

トレース オプションの設定

トレース オプションを設定するには:

  1. 設定モードで、 階層レベルに移動します [edit services adaptive-services-pics]
  2. トレース オプションを設定します。

    次の例では、トレース パラメーターは all です。

  3. 階層レベルで コマンドを使用して[edit services]、構成showを確認します。

設定例 - アドレスプレフィックスとアドレス範囲を持つ静的プールを使用した静的ソースNAT

サンプル設定 - プライベートサブネットとパブリックサブネット間の1対1マッピング用の静的ソースNAT

IPv6ネットワークでの静的ソース変換の設定

変換タイプ basic-nat66を として設定するには、NATプールとルール、サービスインターフェイスを含むサービスセット、およびトレースオプションを設定する必要があります。 basic-nat66 MS-MPCまたはMS-MICを使用している場合、変換タイプは使用できません。

このトピックは、次のタスクで構成されています。

NAT プールとルールの設定

NATプール、ルール、条件を設定するには、以下を行います。

  1. 設定モードで、 階層レベルに移動します [edit services nat]
  2. アドレスを使用して NAT プールを構成します。

    次の例では、プール名が src_pool 、アドレスが 10.10.10.2/32 です。

  3. NATルールと一致方向を設定します。

    次の例では、ルール名は rule-basic-nat66 で、一致方向が 入力されています

  4. ステートメントで from 送信元アドレスを設定します。

    以下では、条件名は t1 で、入力条件は source-address 2001:db8:10::0/96 です。

  5. 変換されたトラフィックのNAT用語アクションとプロパティを設定します。

    次の例では、用語 アクションが変換され、 変換 されたトラフィックのプロパティが ソースプールsrc_poolです。

  6. 変換タイプを設定します。

    次の例では、変換タイプは basic-nat66 です。

  7. 階層レベルで コマンドを使用して[edit services]、構成showを確認します。

NAT 用のサービス セットの設定

NATのサービスセットを設定するには

  1. 設定モードで、 階層レベルに移動します [edit services]
  2. サービス セットを構成します。

    次の例では、サービス セット名は s1 です。

  3. s1 サービス セットに対して、階層レベルで設定された [edit services nat] NAT ルールへの参照を設定します。

    次の例では、ルール名は rule-basic-nat66 です。

  4. サービス・インターフェースを設定します。

    次の例では、サービス インターフェイス名は sp-1/2/0 です。

  5. 階層レベルで コマンドを使用して[edit services]、構成showを確認します。

トレース オプションの設定

階層レベルでトレース・オプション [edit services adaptive-services-pics] を設定するには:

  1. 設定モードで、 階層レベルに移動します [edit services adaptive-services-pics]
  2. トレース オプションを設定します。

    次の例では、トレース パラメーターは all です。

  3. 階層レベルで コマンドを使用して[edit services]、構成showを確認します。

次に、変換タイプを basic-nat66 として設定する例を示します。

例:基本的な NAT44 の設定

この例では、基本的な NAT44 設定を実装する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • サービスDPCを備えたMXシリーズ5Gユニバーサルルーティングプラットフォーム、またはサービスPICを備えたMシリーズマルチサービスエッジルーター

  • ドメイン ネーム サーバー (DNS)

  • Junos OSリリース11.4以上

概要

次の例は、完全なCGN NAT44設定と詳細オプションを示しています。

基本的なNAT44の設定

シャーシ構成

手順

レイヤー3サービスパッケージでサービスPIC(FPC 5スロット0)を設定するには、次の手順に従います。

  1. [editchassis]階層レベルに移動します。

  2. レイヤー 3 サービス パッケージを構成します。

インターフェイス設定

手順

プライベートネットワークとパブリックインターネットへのインターフェイスを設定するには:

  1. プライベート ネットワークへのインターフェイスを定義します。

  2. パブリックインターネットへのインターフェイスを定義します。

  3. NAT 処理用のサービス インターフェイスを定義します。

結果

例:マルチキャスト トラフィックに NAT を設定する

図1 は、IPマルチキャストトラフィックをマルチサービスPICに送信できるようにする、以下の設定のネットワーク設定を示しています。

図 1: マルチキャストトラフィック Configuring NAT for Multicast Trafficの NAT の設定

ランデブーポイント設定

ランデブー ポイント(RP)では、マルチキャスト ソース 192.168.254.0/27 からのすべての着信トラフィックがスタティック NAT プール mcast_poolに送信され、そこでソースが 20.20.20.0/27 に変換されます。サービス セット nat_ssは、IP マルチキャスト トラフィックをマルチサービス DPC またはマルチサービス PIC に送信できるようにするネクストホップ サービス セットです。PIC の内部インターフェイスは ms-1/1/0.1 で、外部インターフェイスは ms-1/1/0.2 です。

ギガビット イーサネット インターフェイス ge-0/3/0 は、RP からルーター 1 にトラフィックを伝送します。マルチサービス インターフェイス ms-1/1/0 には、ユニット 1 はネクストホップ サービスの内部インターフェイス、ユニット 2 はネクストホップ サービス用の外部インターフェイスの 2 つの論理インターフェイスがあります。マルチキャスト送信元トラフィックは、受信トラフィックにファイアウォールフィルターfbfが適用されたファストイーサネットインターフェイスfe-1/2/1に着信します。

マルチキャストパケットは、ネクストホップサービスセットを使用してのみ、マルチサービスDPCまたはマルチサービスPICに送信できます。NAT の場合は、VPN ルーティングおよび転送インスタンス(VRF)も設定する必要があります。そのため、ルーティングインスタンスステージは「ダミー」転送インスタンスとして作成されます。受信パケットをステージに誘導するには、受信インターフェイスfe-1/2/1に適用されるfbfと呼ばれるファイアウォールフィルターを介してフィルターベースの転送を設定します。ルックアップは stage.inet.0 で実行されます。この stage.inet.0 には、PIC の内部インターフェイスを指すネクストホップと共にインストールされたマルチキャストスタティックルートがあります。このルートに一致するすべてのマルチキャスト トラフィックが PIC に送信されます。

ルーティング インスタンス ステージ では、IP マルチキャスト トラフィックをマルチサービス DPC またはマルチサービス PIC の内部インターフェイス ms-1/1/0.1 に転送します。

IP マルチキャスト トラフィックが RP に出入りするファスト イーサネットおよびギガビット イーサネットの論理インターフェイスで、OSPF および PIM(プロトコル非依存型マルチキャスト)をイネーブルにします。また、ネクストホップ サービス セットの外部インターフェイス(ms-1/1/0.2)でも PIM をイネーブルにします。

他のフィルターベースの転送設定と同様に、転送インスタンス ステージのスタティック ルートが到達可能なネクストホップを持つためには、すべてのインターフェイス ルートが inet.0 から転送インスタンスのルーティング テーブルにコピーされるように、ルーティングテーブルグループを設定する必要があります。ルーティングテーブルinet.0とstage.inet.0fbf_rib_groupのメンバーとして設定し、すべてのインターフェイスルートが両方のテーブルにインポートされるようにします。

リバース パス フォワーディング(RPF)チェックは、送信元 NAT が適用されるマルチキャスト グループに対して無効にする必要があります。以下の例に示すようなポリシーを設定することで、特定のマルチキャストグループのRPFチェックを無効にすることができます。この場合、 no_rpf ポリシーは、 224.0.0.0/4 に属するマルチキャストグループの RPF チェックを無効にします。

ルーター 1 の設定

ルーター 1 のインターネット グループ管理プロトコル(IGMP)、OSPF、および PIM の設定は次のようになります。IGMP スタティック グループ設定により、トラフィックはホスト メンバーからメンバーシップ レポートを受信せずに、 fe-3/0/0.0 からマルチキャスト受信者に転送されます。

ルーティング オプションは、RP 上の NAT プール mcast_poolへのスタティック ルートを作成します。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
14.2
Junos OS リリース 14.2 以前のこのようなシナリオでは、サービス セットを非アクティブ化してから再アクティブ化することをお勧めします。