Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

次世代サービスステートフルNAT64の設定

次世代サービスステートフルNAT64を設定するには、次の手順を実行します。

ステートフルNATのソースプールの設定64

ステートフルNAT64のソースプールを設定するには:

  1. ソース プールを作成します。
  2. 送信元アドレスが変換されるアドレスまたはサブネットを定義します。

    または

    設定を指定 automatic (random-allocation | round-robin) しないすべての NAT プールに対するラウンドロビン ポート割り当てを無効にするには、グローバル設定を構成します。

  3. プールに割り当てるポートの範囲を設定するには、以下を実行します。
    メモ:

    割り当てるポートの範囲を指定した場合、 automatic ステートメントは無視されます。

    1. ポートの低および高の値を指定します。自動ポート割り当てを設定しない場合は、ポートの範囲を設定する必要があります。
    2. ランダムアロケーションまたはラウンドロビン割り当てを指定します。ラウンドロビン割り当てがデフォルトです。
  4. 受信ポートと同じ範囲内のポート(0~1023 または 1024~65,535)を割り当てます。ポートブロック割り当てを設定した場合、この機能は使用できません。
  5. 受信ポートと同じパリティ(偶数または奇数)のポートを割り当てます。ポートブロック割り当てを設定した場合、この機能は使用できません。
  6. ポート変換を使用する NAT プールのグローバルデフォルトポート範囲を設定します。このポート範囲は、NAT プールがポート範囲を指定せず、自動ポート割り当てを指定していない場合に使用されます。グローバル ポート範囲は 1024~65,535 です。
  7. ポート変換なしでソースプールを設定します。
  8. 各ホストに割り当てられるポートの最大数を設定します。範囲は2~65,535です。
  9. 使用する各加入者にポートのブロックを割り当てる場合は、ポートブロック割り当てを設定します
    1. ブロック内のポート数を設定します。範囲は 1~64,512 で、デフォルトは 128 です。
    2. ブロックがアクティブな間隔を秒単位で設定します。タイムアウトの後、アクティブ・ブロックでポートが使用可能であっても、新しいブロックが割り振られます。タイムアウトを 0 に設定すると、新しいポート ブロックが割り当てられる前にポート ブロックが完全に満杯になり、最後のポート ブロックは無期限にアクティブのままになります。範囲は 0~86,400 で、デフォルトは 0 です。
    3. NATプールを使用するアドレスプーリングペアマッピングのタイムアウト期間を指定します。範囲は120~86,400秒で、デフォルトは300です。この時間にわたり非アクティブなマッピングはドロップされます。

      エンドポイントに依存しない変換に設定 ei-mapping-timeout しない場合、 mapping-timeout その値はエンドポイントに依存しない変換に使用されます。

    4. ユーザーアドレスに割り当てられるブロックの最大数を設定します。範囲は1~512で、デフォルトは8です。
    5. アクティブなポートブロックと、ライブセッションを持つ非アクティブなポートブロックに対して、中間システムログを送信する頻度を指定します。これにより、システム ログの信頼性が高まり、UDP ベースであり、ネットワークで損失が出る可能性があります。範囲は 1800~86,400 秒で、デフォルトは 0(暫定ログは無効)です。
  10. 指定された NAT プールを使用するエンドポイント非依存変換のタイムアウト期間を指定します。この時間にわたり非アクティブなマッピングはドロップされます。範囲は120~86,400秒です。を設定 ei-mapping-timeoutしない場合、 mapping-timeout エンドポイント非依存変換には値が使用されます。
  11. NATプールを使用するアドレスプーリングペアマッピングのタイムアウト期間を指定します。範囲は120~86,400秒で、デフォルトは300です。この時間にわたり非アクティブなマッピングはドロップされます。

    エンドポイントに依存しない変換に設定 ei-mapping-timeout しない場合、 mapping-timeout その値はエンドポイントに依存しない変換に使用されます。

  12. NAT ソース プールの IP アドレスが、他のサービス セットで使用されるプール内の IP アドレスと重複できるようにするには、 を設定します allow-overlapping-pools

ステートフル NAT の NAT ルールの設定64

ステートフル NAT64 では、ソース ルールと宛先ルールを設定する必要があります。ステートフルNAT64のNATルールを設定するには:

  1. ソース NAT ルール名を設定します。
  2. NAT ルール セットが適用されるトラフィック方向を指定します。
  3. NAT ルールによって変換される IPv6 ソース アドレスを指定します。
  4. 一致する宛先アドレスを 0.0.0.0/0 として設定します。
  5. NAT ルールが適用する 1 つ以上のアプリケーション プロトコルを指定します。ルールに記載されているアプリケーションの数は 3072 を超えてはなりません。
  6. 変換されたソース アドレスのアドレスを含む NAT ソース プールを指定します。
  7. エンドポイントに依存しないマッピングを設定し、同じ外部アドレスとポートが特定のホストからのすべての接続に割り当てられていることを確認します。
    1. マッピングタイプをエンドポイントに依存しないものとして設定します。
    2. エンドポイント非依存マッピングを使用してインバウンド接続を確立できるホストを含むプレフィックスリストを指定します。(プレフィックスリストは 階層レベルで[edit policy-options]設定されます
    3. エンドポイント非依存マッピングで同時に許可されるインバウンド フローの最大数を指定します。
    4. アクティブなエンドポイント非依存マッピングを更新する方向を指定します。デフォルトでは、インバウンドとアウトバウンドのアクティブフローの両方に対してマッピングが更新されます。
  8. 宛先 NAT ルール名を設定します。
  9. 宛先 NAT ルール セットが適用されるトラフィック方向を指定します。
  10. 宛先 NAT ルールによって変換される IPv6 プレフィックス送信元アドレスを指定します。NAT ソース ルールと同じ値を使用します。
  11. IPv4 宛先アドレスを IPv6 宛先アドレスに埋め込むのに使用するプレフィックスを指定します。
  12. 一致させる IPv6 宛先アドレスを設定します。これは、 を使用して destination-prefixIPv6に埋め込まれたIPv4宛先アドレスです。
  13. トラフィックがNATルールの条件に一致した場合のsyslogの生成を設定します。

ステートフル NAT のサービス セットの設定64

ステートフルNAT64のサービスセットを設定するには:

  1. サービス セットを定義します。
  2. 単一のサービスインターフェイスを必要とするインターフェイスサービス、または内部および外部のサービスインターフェイスを必要とするネクストホップサービスのいずれかを設定します。

    または

  3. サービス セットで使用する NAT ルール セットを指定します。

ビットをフラグメント化しない

1280 バイト未満の IPv4 パケットを変換する際に、IPv6 フラグメント化ヘッダーが不要に作成されるのを防ぐために、パケット長が 1280 バイト未満の場合、IPv4 パケット ヘッダーの DF(Don't fragment)ビットがクリアされるように指定できます。