Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

静的ソース NAT

IPv4ネットワークでの静的ソース変換の設定

変換タイプを basic-nat44 として設定するには、NAT プールとルール、サービス インターフェイスを使用したサービス セット、トレース オプションを設定する必要があります。このトピックは、以下のタスクで構成されています。

サーバー プールNATの構成

NAT、ルール、および条件を設定するには、以下の手順に従います。

  1. 設定モードで、階層レベルに [edit services nat] 移動します。
  2. アドレスを使用NAT プールを設定します。

    次の例では、プール名 は src_pool で 、アドレスは 10.10.10.2/32 です

  3. NATと方向を設定します。

    次の例では、ルール名NAT rule-basic-nat44 であり、一致方向を入力 します

  4. ステートメントで送信元アドレスを設定 from します。

    次の例では、名前は t1 で、入力条件は送信元アドレス 3.1.1.2/32です

  5. 変換トラフィックNAT条件アクションおよびプロパティを設定します。

    次の例では、action という語が変換され、変換されたトラフィックのプロパティは送信元プール インターフェイスsrc_pool。

  6. 変換タイプを設定します。

    次の例では、変換タイプは basic-nat44 です

  7. 階層レベルで コマンドを使用 show して設定を [edit services nat] 検証します。
メモ:

トラフィックに対してステートフル ファイアウォール(SFW)ルールを設定しない場合、各パケットにはデフォルトのステートフル ファイアウォール ルールが適用されます。

  • 内部から外部まで、有効なパケットを許可します。

  • パケット 5 要素に基づいて、転送フローとリターン フローを作成します。

  • 外部から内部へのリターン フローに一致する有効なパケットのみ許可します。

ステートフル ファイアウォールのパケット有効性チェックについては、 ステートフル ファイアウォール 異常 チェック in Junos Network Secure 概要 をJunos Network Secure説明しています。パケットがステートフル ファイアウォールの有効性チェックに合格したが、NAT ルールと一致しない場合、パケットは変換されません。NAT ノードがパケットの宛先 IP アドレスへの有効なルートを持っている場合、パケットが転送される可能性があります。

メモ:

from階層レベルでステートメント(NAT [edit services service-set service-set-name nat-rules rule-name term term- name] ルール条件の一致条件)内のパラメーターを追加または削除すると、この設定変更により、NAT ポリシー(サービス セットの非アクティブ化およびアクティブ化に相当)の削除と追加がトリガーされ、既存のすべての NAT マッピングが削除されます。セッションは NAT ポリシーの変更によって閉じられます。そのため、この動作により、セッションが終了した直後にマッピングがタイムアウトになります。この動作は想定され、デバイスにJunos OSされた拡張プロバイダ パッケージの場合にのみ適用されます。アクセス ポリシー NAT削除して再設定すると、EIM マッピングのみ削除されます。このNATポリシーの変更は、サービス セットの非アクティブ化とアクティブ化ではありません。サービス セットは、リリース 14.2 以前のリリースで、このようなシナリオで無効Junos OSアクティブ化することをお勧めします。

サービス セットのNAT

サービス セットを設定するには、以下の手順にNAT。

  1. 設定モードで、階層レベルに [edit services] 移動します。
  2. サービス セットを設定します。

    次の例では、サービス セット名は s1 です

  3. s1 サービス セットでは、階層レベルで設定されたNATルールへのリファレンスを[edit services nat]設定します。

    次の例では、ルール名は rule-basic-nat44 です

  4. サービス インターフェイスを設定します。

    次の例では、サービス インターフェイス名は ms-1/2/0です

    メモ:

    Trio ベースのライン カードがある場合は、そのカード上でインライン サービス インターフェイスを設定できます。

  5. 階層レベルで コマンドを使用 show して設定を [edit services] 検証します。
  6. NAT セットをインターフェイスに関連付 xe- ける:
  7. 階層レベルで コマンドを使用 show して設定を [edit interfaces] 検証します。

トレース オプションの設定

trace オプションを設定するには、次の手順に示します。

  1. 設定モードで、階層レベルに [edit services adaptive-services-pics] 移動します。
  2. trace オプションを設定します。

    次の例では、トレース パラメーターはすべてです。

  3. 階層レベルで コマンドを使用 show して設定を [edit services] 検証します。

サンプル構成 - アドレス プレフィックスNATアドレス範囲を持つ静的プールを使用した静的ソース ソース アプリケーション

サンプル構成 - プライベート サブネットとパブリック サブネット間の 1 対 1 マッピングの静的ソース Nat

IPv6ネットワークでの静的ソース変換の設定

変換タイプをとして basic-nat66設定するには、NATとルール、サービス インターフェイスを使用したサービス セット、および trace オプションを設定する必要があります。MS-MPC basic-nat66 または MS-MIC を使用している場合、変換タイプは使用できません。

このトピックは、以下のタスクで構成されています。

サーバー プールNATの構成

NAT、ルール、および条件を設定するには、以下の手順に従います。

  1. 設定モードで、階層レベルに [edit services nat] 移動します。
  2. アドレスを使用NAT プールを設定します。

    次の例では、プール名 は src_poolで 、アドレスは 10.10.10.2/32 です

  3. NATと方向を設定します。

    次の例では、ルール名は rule-basic-nat66 で、一致方向を入力 します

  4. ステートメントで送信元アドレスを設定 from します。

    以下では、名前の名前は t1 で、入力条件は送信元アドレス 2001:db8:10::0/96です。

  5. 変換トラフィックNAT条件アクションおよびプロパティを設定します。

    次の例では、action という語が変換され、変換されたトラフィックのプロパティは送信元プールインターフェイスsrc_pool。

  6. 変換タイプを設定します。

    次の例では、変換タイプは basic-nat66 です

  7. 階層レベルで コマンドを使用 show して設定を [edit services] 検証します。

サービス セットのNAT

サービス セットを設定するには、以下の手順にNAT。

  1. 設定モードで、階層レベルに [edit services] 移動します。
  2. サービス セットを設定します。

    次の例では、サービス セット名は s1 です

  3. s1 サービス セットでは 、階層レベルで設定されたNATクラス ルールへのリファレンスを [edit services nat] 設定します。

    次の例では、ルール名は rule-basic-nat66 です

  4. サービス インターフェイスを設定します。

    次の例では、サービス インターフェイス名は sp-1/2/0です

  5. 階層レベルで コマンドを使用 show して設定を [edit services] 検証します。

トレース オプションの設定

階層レベルでトレース オプションを設定するには、以下の手順に [edit services adaptive-services-pics] 示します。

  1. 設定モードで、階層レベルに [edit services adaptive-services-pics] 移動します。
  2. trace オプションを設定します。

    次の例では、トレース パラメーターはすべてです。

  3. 階層レベルで コマンドを使用 show して設定を [edit services] 検証します。

次の例では、変換タイプを basic-nat66 として設定しています

例: 基本的な NAT44 の設定

この例では、基本的な NAT44 設定を実装する方法について説明します。

要件

この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。

  • サービスMX シリーズPICユニバーサル ルーティング プラットフォーム5G DPCまたはM SeriesサービスPICを使用したマルチM Seriesサービス エッジ ルーターとの間の接続

  • ドメイン ネーム サーバー(DNS)

  • Junos OS 11.4 以上

概要

この例では、完全な CGN NAT44 設定と高度なオプションを示しています。

基本的な NAT44 の設定

シャーシ構成

手順

レイヤー 3 サービス パッケージでサービス PIC(FPC 5 スロット 0)を設定するには、次の手順に示します。

  1. [シャーシの 編集] 階層レベルに 移動します。

  2. レイヤー 3 サービス パッケージを設定します。

インターフェイスの設定

手順

プライベート ネットワークおよびパブリック インターネットへのインターフェイスを設定するには、次の手順に示します。

  1. プライベート ネットワークへのインターフェイスを定義します。

  2. パブリック インターネットへのインターフェイスを定義します。

  3. ネットワーク処理のサービス インターフェイスNATします。

結果

例: マルチキャスト トラフィックNAT設定

図 1 は、マルチサービス PIC に送信されるトラフィックのIP マルチキャスト設定を示しています。

図 1:マルチキャスト トラフィックNATの設定 Configuring NAT for Multicast Traffic

ランデブー ポイントの構成

ランデブー ポイント(RP)では、 192.168.254.0/27 のマルチキャスト ソースから受信したトラフィックすべてが静的 NAT プール mcast_pool に送信され、ソースは 20.20.20.0/27 に変換されます。サービス セット nat_ss は、ネクストホップ サービス セットで、IP マルチキャスト トラフィックをマルチサービス PIC またはDPCサービス PIC に送信できます。PICの内部インターフェイスは ms-1/1/0.1 で、外部インターフェイスは ms-1/1/0.2です。

ギガビット イーサネット インターフェイス ge-0/3/0 は、RP からルーター 1 にトラフィックを運び出します。マルチサービス インターフェイスms-1/1/0には2つの論理インターフェイスがあります。ユニット1はネクストホップサービスの内部インターフェイスであり、ユニット2はネクストホップサービスの外部インターフェイスです。マルチキャスト ソース トラフィックは、ファイアウォール フィルター fbf が受信トラフィックに適用される Fast Ethernet インターフェイス fe-1/2/1 に送信されます。

マルチキャスト パケットは、ネクストホップ サービス セットを使用DPCマルチサービス インターフェイスまたはマルチサービスPICにのみ転送できます。仮想ネットワークの場合NAT VPNルーティングおよび転送インスタンス(VRF)も設定する必要があります。そのため、ルーティング インスタンス ステージは「ダミー」転送インスタンスとして作成されます。受信パケットをステージに転送するには、fbf と呼ばれるファイアウォール フィルターを使用してフィルターベースの転送を設定します。このフィルタは、受信インターフェイス fe-1/2/1 に適用されます。ルックアップは stage.inet.0 で実行されます。これは、PIC の内部インターフェイスを指すネクスト ホップがインストールされたマルチキャストスタティック ルートを持っています。このルートに一致するすべてのマルチキャスト トラフィックがPICに送信されます。

ルーティング インスタンス ステージ は、マルチIP マルチキャストまたはマルチサービスPIC上の内部インターフェイス ms-1/1/0.1 にトラフィックを転送DPCします。

RPにOSPF出るトラフィックの間で、高速イーサネットおよびギガビット イーサネットの論理インターフェイスで、PIM(プロトコル独立マルチキャストIP マルチキャストとプロトコル独立マルチキャスト)を有効にします。また、ネクストホップ サービス セットの外部インターフェイス(ms-1/1/0.2)で PIM を有効にすることもできます。

フィルターベースの転送設定と同様に、転送インスタンス ステージの静的ルートに到達可能なネクスト ホップを設定するには、すべてのインターフェイス ルートが転送インスタンスの inet.0 から ルーティング テーブル にコピーされるのを確認するために、ルーティング テーブル グループを設定する必要があります。ルーティング テーブル inet.0stage.inet.0fbf_rib_group のメンバーとして設定して、すべてのインターフェイス ルートが両方のテーブルにインポートされます。

ソース パケットが適用されているマルチキャスト グループでは、RPF(リバース パス フォワーディング)チェックNAT必要があります。特定のマルチキャスト グループに対する RPF チェックを無効にするには、次の例に示す例のようにポリシーを設定します。この場合、 no_rpf、224.0.0.0/4 に属するマルチキャスト グループの RPF チェックを無効にします。

ルーター 1 の構成

ルーター 1 における IGMP(Internet Group Management Protocol)、OSPF、PIM 設定は次のとおりです。IGMP スタティック グループ設定により、ホスト メンバーからメンバーシップ レポートを受信せずに、トラフィックは fe-3/0/0.0 から マルチキャスト レシーバに転送されます。

ルーティング オプションは、RP 上でルーティング プール NATルートmcast_pool作成します。

リリース履歴テーブル
リリース
説明
14.2
サービス セットは、リリース 14.2 以前のリリースで、このようなシナリオで無効Junos OSアクティブ化することをお勧めします。