次世代サービスステートフルNAT64の設定
次世代サービスステートフルNAT64を設定するには、次の手順を実行します。
ステートフルNATのソースプールの設定64
ステートフルNAT64のソースプールを設定するには:
- ソース プールを作成します。
user@host# edit services nat source pool nat-pool-name
- 送信元アドレスが変換されるアドレスまたはサブネットを定義します。
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
または
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
設定を指定
automatic (random-allocation | round-robin)
しないすべての NAT プールに対するラウンドロビン ポート割り当てを無効にするには、グローバル設定を構成します。[edit services nat source] user@host# set port-round-robin disable
- プールに割り当てるポートの範囲を設定するには、以下を実行します。
メモ:
割り当てるポートの範囲を指定した場合、
automatic
ステートメントは無視されます。- ポートの低および高の値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- ランダムアロケーションまたはラウンドロビン割り当てを指定します。ラウンドロビン割り当てがデフォルトです。
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- ポートの低および高の値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
- 受信ポートと同じ範囲内のポート(0~1023 または 1024~65,535)を割り当てます。ポートブロック割り当てを設定した場合、この機能は使用できません。
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 受信ポートと同じパリティ(偶数または奇数)のポートを割り当てます。ポートブロック割り当てを設定した場合、この機能は使用できません。
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- ポート変換を使用する NAT プールのグローバルデフォルトポート範囲を設定します。このポート範囲は、NAT プールがポート範囲を指定せず、自動ポート割り当てを指定していない場合に使用されます。グローバル ポート範囲は 1024~65,535 です。
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- ポート変換なしでソースプールを設定します。
[edit services nat source pool nat-pool-name] user@host# set address-pooling no-paired
- 各ホストに割り当てられるポートの最大数を設定します。範囲は2~65,535です。
[edit services nat source pool nat-pool-name] user@host# set limit-ports-per-host number
- 使用する各加入者にポートのブロックを割り当てる場合は、ポートブロック割り当てを設定します。
- ブロック内のポート数を設定します。範囲は 1~64,512 で、デフォルトは 128 です。
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- ブロックがアクティブな間隔を秒単位で設定します。タイムアウトの後、アクティブ・ブロックでポートが使用可能であっても、新しいブロックが割り振られます。タイムアウトを 0 に設定すると、新しいポート ブロックが割り当てられる前にポート ブロックが完全に満杯になり、最後のポート ブロックは無期限にアクティブのままになります。範囲は 0~86,400 で、デフォルトは 0 です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- NATプールを使用するアドレスプーリングペアマッピングのタイムアウト期間を指定します。範囲は120~86,400秒で、デフォルトは300です。この時間にわたり非アクティブなマッピングはドロップされます。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
エンドポイントに依存しない変換に設定
ei-mapping-timeout
しない場合、mapping-timeout
その値はエンドポイントに依存しない変換に使用されます。 - ユーザーアドレスに割り当てられるブロックの最大数を設定します。範囲は1~512で、デフォルトは8です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- アクティブなポートブロックと、ライブセッションを持つ非アクティブなポートブロックに対して、中間システムログを送信する頻度を指定します。これにより、システム ログの信頼性が高まり、UDP ベースであり、ネットワークで損失が出る可能性があります。範囲は 1800~86,400 秒で、デフォルトは 0(暫定ログは無効)です。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- ブロック内のポート数を設定します。範囲は 1~64,512 で、デフォルトは 128 です。
- 指定された NAT プールを使用するエンドポイント非依存変換のタイムアウト期間を指定します。この時間にわたり非アクティブなマッピングはドロップされます。範囲は120~86,400秒です。を設定
ei-mapping-timeout
しない場合、mapping-timeout
エンドポイント非依存変換には値が使用されます。[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- NATプールを使用するアドレスプーリングペアマッピングのタイムアウト期間を指定します。範囲は120~86,400秒で、デフォルトは300です。この時間にわたり非アクティブなマッピングはドロップされます。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
エンドポイントに依存しない変換に設定
ei-mapping-timeout
しない場合、mapping-timeout
その値はエンドポイントに依存しない変換に使用されます。 - NAT ソース プールの IP アドレスが、他のサービス セットで使用されるプール内の IP アドレスと重複できるようにするには、 を設定します
allow-overlapping-pools
。[edit services nat] user@host# set allow-overlapping-pools
ステートフル NAT の NAT ルールの設定64
ステートフル NAT64 では、ソース ルールと宛先ルールを設定する必要があります。ステートフルNAT64のNATルールを設定するには:
- ソース NAT ルール名を設定します。
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- NAT ルール セットが適用されるトラフィック方向を指定します。
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- NAT ルールによって変換される IPv6 ソース アドレスを指定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
- 一致する宛先アドレスを 0.0.0.0/0 として設定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match destination-address 0.0.0.0/0
- NAT ルールが適用する 1 つ以上のアプリケーション プロトコルを指定します。ルールに記載されているアプリケーションの数は 3072 を超えてはなりません。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 変換されたソース アドレスのアドレスを含む NAT ソース プールを指定します。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- エンドポイントに依存しないマッピングを設定し、同じ外部アドレスとポートが特定のホストからのすべての接続に割り当てられていることを確認します。
- マッピングタイプをエンドポイントに依存しないものとして設定します。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- エンドポイント非依存マッピングを使用してインバウンド接続を確立できるホストを含むプレフィックスリストを指定します。(プレフィックスリストは 階層レベルで
[edit policy-options]
設定されます。[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- エンドポイント非依存マッピングで同時に許可されるインバウンド フローの最大数を指定します。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- アクティブなエンドポイント非依存マッピングを更新する方向を指定します。デフォルトでは、インバウンドとアウトバウンドのアクティブフローの両方に対してマッピングが更新されます。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- マッピングタイプをエンドポイントに依存しないものとして設定します。
- 宛先 NAT ルール名を設定します。
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- 宛先 NAT ルール セットが適用されるトラフィック方向を指定します。
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 宛先 NAT ルールによって変換される IPv6 プレフィックス送信元アドレスを指定します。NAT ソース ルールと同じ値を使用します。
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match source-address address
- IPv4 宛先アドレスを IPv6 宛先アドレスに埋め込むのに使用するプレフィックスを指定します。
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat destination-prefix destination-prefix
- 一致させる IPv6 宛先アドレスを設定します。これは、 を使用して
destination-prefix
IPv6に埋め込まれたIPv4宛先アドレスです。[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
- トラフィックがNATルールの条件に一致した場合のsyslogの生成を設定します。
[edit services nat (source | destination) rule-set rule-set-name rule rule-name then] user@host# set syslog
ステートフル NAT のサービス セットの設定64
ステートフルNAT64のサービスセットを設定するには:
- サービス セットを定義します。
[edit services] user@host# edit service-set service-set-name
- 単一のサービスインターフェイスを必要とするインターフェイスサービス、または内部および外部のサービスインターフェイスを必要とするネクストホップサービスのいずれかを設定します。
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
または
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- サービス セットで使用する NAT ルール セットを指定します。
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name
ビットをフラグメント化しない
1280 バイト未満の IPv4 パケットを変換する際に、IPv6 フラグメント化ヘッダーが不要に作成されるのを防ぐために、パケット長が 1280 バイト未満の場合、IPv4 パケット ヘッダーの DF(Don't fragment)ビットがクリアされるように指定できます。
[edit services nat natv6v4] user@host# set clear-dont-fragment-bit