テナントシステムのNAT
NAT は、パケット ヘッダー内のネットワーク アドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれかまたは両方が変換される場合があります。詳細については、以下のトピックを参照してください。
テナント システムのネットワーク アドレス変換について
Junos OS リリース 18.3R1 以降、論理システムでサポートされるソース NAT、ディスティネーション NAT、スタティック NAT などのネットワーク アドレス変換がテナント システムでサポートされます。
テナントシステムには、テナントシステムにソースNAT、ディスティネーションNAT、静的NATを設定できる管理者(テナント管理者)がいます。テナント管理者は、テナント システムのソース NAT、ディスティネーション NAT、静的 NAT の詳細を表示できます。プライマリ管理者は、テナント システムのソース NAT、ディスティネーション NAT、静的 NAT の統計情報または情報を表示できます。
テナント システムの場合、プライマリ管理者は、次の NAT リソースの最大数と予約数を設定できます。
ソース NAT プールと宛先 NAT プール
ポートアドレス変換の有無にかかわらず、ソースNATプール内のIPアドレス
送信元、宛先、静的 NAT のルール
ルール一致のプレフィックスリスト
NATコーンバインディング
ポートオーバーロードをサポートするIPアドレス
割り当てられた予約済み番号は、指定されたリソース量がテナント システムで常に使用可能であることを保証します。テナント システムの管理者は、 コマンドと show system security-profile NAT オプションを使用して、テナント システムに割り当てられた NAT リソースを表示できます。
「」も参照
例:テナントシステムのネットワークアドレス変換の設定
この例では、特定のテナント システムに対してソース NAT、ディスティネーション NAT、スタティック NAT を設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OS リリース 18.3R1 以降を搭載した SRX シリーズ ファイアウォール。この設定例は、Junos OSリリース18.3R1でテストされています。
テナント システムを作成します。「例:テナント システム、テナント システム管理者、相互接続 VPLS スイッチの作成」
ネットワーク インターフェイスを設定します。「 テナントシステムのルーティングインスタンスの設定」を参照してください。
概要
この例では、まずプライベート アドレス 空間に trust セキュリティ ゾーンを設定し、次にパブリック アドレス スペースに untrust セキュリティ ゾーンを設定します。
untrust ゾーンのデバイスは、宛先 IP アドレス 203.0.113.200/24 を持つ trust ゾーンの特定のホストにアクセスします。この例では、表 1: テナント システム NAT 設定で説明されている NAT を設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
静的 NAT ルール セット、ソース NAT ルール、ディスティネーション NAT ルール セット |
r1 |
|
ソースプール |
Pat |
アドレス 192.0.2.1~192.0.2.24。 |
宛先プール |
h1 |
アドレス 192.168.1.200。 |
プロキシー ARP |
Arp |
アドレス 192.0.2.1~192.0.2.24。 |
トラフィック方向の NAT インターフェイス。 |
|
ge-0/0/0 および ge-0/0/1。 |
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set tenants tn1 security nat source pool pat address 192.0.2.1 to 192.0.2.24 set tenants tn1 security nat source rule-set from_intf from interface ge-0/0/0.0 set tenants tn1 security nat source rule-set from_intf to interface ge-0/0/1.0 set tenants tn1 security nat source rule-set from_intf rule r1 match source-address 192.0.2.0/24 set tenants tn1 security nat source rule-set from_intf rule r1 match destination-address 203.0.113.200/24 set tenants tn1 security nat source rule-set from_intf rule r1 then source-nat pool pat set tenants tn1 security nat static rule-set from_zone from zone trust set tenants tn1 security nat static rule-set from_zone rule r1 match source-address 192.0.2.0/24 set tenants tn1 security nat static rule-set from_zone rule r1 match destination-address 203.0.113.203/24 set tenants tn1 security nat static rule-set from_zone rule r1 then static-nat prefix 192.168.1.203/24 set tenants tn1 security nat destination pool h1 address 192.168.1.200 set tenants tn1 security nat destination rule-set from_zone from zone trust set tenants tn1 security nat destination rule-set from_zone rule r1 match source-address 192.0.2.0/24 set tenants tn1 security nat destination rule-set from_zone rule r1 match destination-address 203.0.113.202/24 set tenants tn1 security nat destination rule-set from_zone rule r1 then destination-nat pool h1 set tenants tn1 security nat proxy-arp interface ge-0/0/1.0 address 192.0.2.1 to 192.0.2.24
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
テナントシステムでNATを設定するには:
テナント システムのセキュリティ NAT ソース プールとルール セットを作成します。
[edit tenant tn1 security nat source] user@host# set tenants tn1 security nat source pool pat address 192.0.2.1 to 192.0.2.24 user@host# set tenants tn1 security nat source rule-set from_intf from interface ge-0/0/0.0 user@host# set tenants tn1 security nat source rule-set from_intf to interface ge-0/0/1.0 user@host# set tenants tn1 security nat source rule-set from_intf rule r1 match source-address 192.0.2.0/24 user@host# set tenants tn1 security nat source rule-set from_intf rule r1 match destination-address 203.0.113.200/24 user@host# set tenants tn1 security nat source rule-set from_intf rule r1 then source-nat pool pat
テナント システムのセキュリティ NAT 静的ルール セットを作成します。
[edit tenants tn1 security nat static] user@host# set tenants tn1 security nat static rule-set from_zone from zone trust user@host# set tenants tn1 security nat static rule-set from_zone rule r1 match source-address 192.0.2.0/24 user@host# set tenants tn1 security nat static rule-set from_zone rule r1 match destination-address 203.0.113.203/24 user@host# set tenants tn1 security nat static rule-set from_zone rule r1 then static-nat prefix 192.168.1.203/24
テナント システムのセキュリティ NAT 宛先プールとルール セットを作成します。
[edit tenants tn1 security nat destination] user@host# set tenants tn1 security nat destination pool h1 address 192.168.1.200 user@host# set tenants tn1 security nat destination rule-set from_zone from zone trust user@host# set tenants tn1 security nat destination rule-set from_zone rule r1 match source-address 192.0.2.0/24 user@host# set tenants tn1 security nat destination rule-set from_zone rule r1 match destination-address 203.0.113.202/24 user@host# set tenants tn1 security nat destination rule-set from_zone rule r1 then destination-nat pool h1
プロキシARP(アドレス解決プロトコル)を設定します。
[edit tenant tn1 security nat] user@host# set tenants tn1 security nat proxy-arp interface ge-0/0/1.0 address 192.0.2.1 to 192.0.2.24
結果
設定モードから、 コマンドを入力して設定を show tenants tn1 security nat 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
source {
pool pat {
address {
192.0.2.1 to 192.0.2.24;
}
}
rule-set from_intf {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule r1 {
match {
source-address 192.168.1.0/24;
destination-address [203.0.113.200/24 ];
}
then {
source-nat {
pool {
pat;
}
}
}
}
}
}
destination {
pool h1 {
address 192.168.1.200;
}
rule-set from_zone {
from zone untrust;
rule r1 {
match {
source-address 192.0.2.0/24;
destination-address 203.0.113.202/24;
}
then {
destination-nat {
pool {
h1;
}
}
}
}
}
}
static {
rule-set from_zone {
from zone untrust;
rule r1 {
match {
source-address 192.0.2.0/24;
destination-address 203.0.113.203/24;
}
then {
static-nat {
prefix {
192.168.1.203/24;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/1.0 {
address {
192.0.2.1 to 192.0.2.24;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT 設定の検証
目的
静的 NAT ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat static rule all tenant tn1 入力します。フィールドを Translation hits 表示して、ルールに一致するトラフィックを確認します。
user@host> show security nat static rule all tenant tn1
サンプル出力
コマンド名
Total static-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Static NAT rule: r1 Rule-set: from_zone
Rule-Id : 1
Rule position : 1
From zone : untrust
Source addresses : 192.0.2.0 - 192.0.2.255
Destination addresses : 203.0.113.203
Host addresses : 192.168.1.203
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
意味
コマンドの出力には、静的NATルールが表示されます。フィールドを Translation hits 表示して、静的ルールに一致するトラフィックを確認します。
ディスティネーション NAT 設定の検証
目的
宛先 NAT ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination rule all tenant tn1 入力します。フィールドを Translation hits 表示して、ルールに一致するトラフィックを確認します。
user@host> show security nat destination rule all tenant tn1
サンプル出力
コマンド名
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: r1 Rule-set: from_zone
Rule-Id : 1
Rule position : 1
From zone : untrust
Match
Source addresses : 192.0.2.0 - 192.0.2.255
Destination addresses : 203.0.113.202 - 203.0.113.202
Action : h1
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
意味
コマンド出力には、宛先 NAT ルールが表示されます。フィールドを Translation hits 表示して、宛先ルールに一致するトラフィックを確認します。
ソースNAT設定の検証
目的
ソース NAT ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all tenant tn1 入力します。フィールドを Translation hits 表示して、ルールに一致するトラフィックを確認します。
user@host> show security nat source rule all tenant tn1
サンプル出力
コマンド名
Total rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 2/0
source NAT rule: r1 Rule-set: from_intf
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.0 - 192.168.1.255
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : pat
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
意味
コマンド出力には、ソースNATルールが表示されます。フィールドを Translation hits 表示して、送信元ルールに一致するトラフィックを確認します。