次世代サービス向けネットワーク アドレス ポート変換の設定
NAPT のソース プールの設定
NAPT のソース プールを構成するには、次の手順を実行します。
- ソース プールを作成します。
user@host# edit services nat source pool nat-pool-name
- 送信元アドレスが変換されるアドレスまたはサブネットを定義します。
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
又は
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- プールの自動ポート割り当てを構成するには、ランダム割り当てまたはラウンドロビン割り当てのいずれかを指定します。ラウンドロビン割り当てがデフォルトです。
[edit services nat source pool nat-pool-name port] user@host# set automatic (random-allocation | round-robin)
ランダム割り当ては、ポート変換ごとに 1024 〜 65535 の範囲のポートをランダムに割り当てます。ラウンドロビン割り当てでは、最初にポート 1024 が割り当てられ、次に高いポートが連続するポート割り当てごとに使用されます。
automatic (random-allocation | round-robin)設定を指定しないすべての NAT プールに対してラウンドロビン ポート割り当てを無効にするには、グローバル設定を行います。[edit services nat source] user@host# set port-round-robin disable
- プールに割り当てるポートの範囲を設定するには、以下の手順を実行します。
手記:
割り当てるポートの範囲を指定した場合、
automaticステートメントは無視されます。- ポートの下限値と上限値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- ランダム割り当てまたはラウンドロビン割り当てのいずれかを指定します。ラウンドロビン割り当てがデフォルトです。
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- ポートの下限値と上限値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
- 受信ポートと同じ範囲(0〜1023または1024〜65,535)でポートを割り当てます。この機能は、ポートブロック割り当てを設定した場合には使用できません。
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 受信送信元ポートと同じパリティ(偶数または奇数)を持つポートを割り当てます。この機能は、ポートブロック割り当てを設定した場合には使用できません。
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- ポート変換を使用するNATプールのグローバルなデフォルトポート範囲を設定します。このポート範囲は、NAT プールでポート範囲が指定されておらず、自動ポート割り当ても指定されていない場合に使用されます。グローバルポートの範囲は1024〜65,535です。
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- NAPT に使用する各加入者にポートのブロックを割り当てる場合は、ポートブロックの割り当てを設定します。
- ブロック内のポート数を設定します。範囲は 1 から 64,512 で、デフォルトは 128 です。
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- ブロックがアクティブになる間隔を秒単位で設定します。タイムアウト後、アクティブなブロックでポートが使用可能な場合でも、新しいブロックが割り当てられます。タイムアウトを 0 に設定すると、新しいポート ブロックが割り当てられる前にポート ブロックが完全にいっぱいになり、最後のポート ブロックは無期限にアクティブなままになります。範囲は 0 〜 86,400 で、デフォルトは 0 です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- NAT プールを使用するアドレスプールペアマッピングのタイムアウト時間を指定します。範囲は 120 〜 86,400 秒で、デフォルトは 300 です。この時間だけ非アクティブなマッピングはドロップされます。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
エンドポイントに依存しない翻訳に
ei-mapping-timeoutを設定しない場合、エンドポイントに依存しない翻訳にはmapping-timeout値が使用されます。 - ユーザーアドレスに割り当てることができるブロックの最大数を設定します。範囲は 1 から 512 で、デフォルトは 8 です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- アクティブなポートブロックとライブセッションの非アクティブなポートブロックの中間システムログを送信する頻度を指定します。これにより、UDPベースであり、ネットワーク内で失われる可能性のあるシステムログの信頼性が向上します。範囲は 1800 〜 86,400 秒で、デフォルトは 0 です (仮ログは無効です)。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- ブロック内のポート数を設定します。範囲は 1 から 64,512 で、デフォルトは 128 です。
- 指定された NAT プールを使用するエンドポイントに依存しない変換のタイムアウト時間を指定します。この時間だけ非アクティブなマッピングはドロップされます。範囲は 120 秒から 86,400 秒です。
ei-mapping-timeoutを設定しない場合、エンドポイントに依存しない翻訳にmapping-timeout値が使用されます。[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- NAT プールを使用するアドレスプールペアマッピングのタイムアウト時間を指定します。範囲は 120 〜 86,400 秒で、デフォルトは 300 です。この時間だけ非アクティブなマッピングはドロップされます。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
エンドポイントに依存しない翻訳に
ei-mapping-timeoutを設定しない場合、エンドポイントに依存しない翻訳にはmapping-timeout値が使用されます。 - SNMPトラップをトリガーするNAT プール使用率レベルを定義します。
raise-thresholdは、トラップをトリガーするプール使用率で、範囲は 50 から 100 です。clear-thresholdは、トラップをクリアするプール使用率で、範囲は 40〜100 です。ポートブロック割り振りを使用するプールの場合、使用率は使用されるポート数に基づきます。ポートブロック割り当てを使用しないプールの場合、使用率は使用されているアドレス数に基づきます。[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
pool-utilization-alarmを設定しない場合、トラップは作成されません。 - NAT プールのIPアドレスが、他のサービスセットで使用されているプールのIPアドレスと重複できるようにするには、
allow-overlapping-poolsを設定します。ただし、ポートブロック割り当てを設定するプールは、他のプールと重複してはなりません。[edit services nat] user@host# set allow-overlapping-pools
NAPT の NAT 送信元ルールの設定
NAPT の NAT ソースルールを設定するには、次の手順に従います。
- NAT ルール名を構成します。
[edit services nat source] user@host# edit rule-set rule-set-name rule rule-name
- NAT ルール セットを適用するトラフィックの方向を指定します。
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 送信元 NAT ルールによって変換された送信元アドレスを指定します。
アドレスまたはプレフィックス値を 1 つ指定するには、次のようにします。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
アドレスの範囲を指定するには、目的のアドレス範囲でアドレス帳グローバルアドレスを設定し、そのグローバルアドレスをNAT ルールに割り当てます。
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
ユニキャストアドレスを指定するには:
[edit services nat source rule-set rule-set-name rule rule-name rule rule-name] user@host# set match source-address any-unicast
- NAT ルールが適用されるアプリケーション プロトコルを 1 つ以上指定します。ルールにリストされているアプリケーションの数は、3072を超えてはなりません。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 変換されたトラフィックのアドレスを含むNAT プールを指定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 同じ内部ホストから発信されるすべてのセッションに同じ外部IPアドレスが割り当てられるようにする場合は、アドレスプーリングペア機能を設定します。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling
- 特定のホストからのすべての接続に同じ外部アドレスとポートが割り当てられるようにするには、エンドポイントに依存しないマッピングを設定します。
- マッピングタイプをエンドポイントに依存しないように設定します。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- エンドポイントに依存しないマッピングを使用してインバウンド接続を確立できるホストを含むプレフィックスリストを指定します。(プレフィックスリストは
[edit policy-options]階層レベルで設定されます)。[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- エンドポイントに依存しないマッピングで同時に許可されるインバウンドフローの最大数を指定します。
[edit services nat source rule-set rule-set-name rule rule-name filtering-type then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- アクティブなエンドポイント非依存マッピングが更新される方向を指定します。既定では、マッピングはインバウンドとアウトバウンドの両方のアクティブ フローに対して更新されます。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- マッピングタイプをエンドポイントに依存しないように設定します。
- トラフィックが NAT ルール条件に一致した場合の syslog の生成を設定します。
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
NAPT のサービス セットの設定
NAPT のサービス セットを設定するには、次の手順に従います。
- サービスセットを定義します。
[edit services] user@host# edit service-set service-set-name
- 単一のサービス インターフェイスを必要とするインターフェイス サービス、または内部および外部サービス インターフェイスを必要とするネクストホップ サービスを設定します。
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
又は
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- サービス セットで使用する NAT ルール セットを指定します。
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name