Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ユーザー論理システムのルーティング、インターフェイス、NAT

ユーザー論理システムでは、ルーティングプロトコル、インターフェイス、NATを設定できます。ルーティングプロトコルはすべてのルーティングメッセージを処理します。NAT とは、パケットがインターネットに送信される際に、コンピューターまたはコンピューターのグループの IP アドレスを単一のパブリック アドレスに変換するメカニズムです。詳細については、以下のトピックを参照してください。

論理システムのネットワーク アドレス変換について

ネットワーク アドレス変換(NAT)は、パケット ヘッダー内のネットワーク アドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれかまたは両方が変換される場合があります。NATには、ポート番号とIPアドレスの変換を含めることができます。

ルートまたはユーザー論理システムでは、静的 NAT、宛先 NAT、ソース NAT の任意の組み合わせを設定できます。論理システムでの NAT の設定は、ルート システムでの NAT の設定と同じです。プライマリ管理者は、プライマリ論理システムおよびユーザー論理システムの NAT を設定および監視できます。

Junos OSリリース18.2R1以降、NAT機能は、SRX1500、SRX5400、SRX5600、SRX5800デバイスでの既存のサポートに加えて、SRX4100デバイスおよびSRX4200デバイスの論理システムでサポートされています。

各ユーザー論理システムに対して、プライマリ管理者は以下の NAT リソースに対して最大および予約済みの番号を設定できます。

  • ソース NAT プールと宛先 NAT プール

  • ポートアドレス変換の有無にかかわらず、ソースNATプール内のIPアドレス

  • 送信元、宛先、静的 NAT のルール

  • 永続的 NAT バインディング

  • ポートオーバーロードをサポートするIPアドレス

ユーザー論理システムから、ユーザー論理システム管理者は、 運用コマンド show system security-profile と NAT オプションを使用して、ユーザー論理システムに割り当てられた NAT リソースの数を表示できます。

メモ:

プライマリ管理者は、プライマリ論理システムに適用されるNATリソースの最大数と予約数を指定するプライマリ論理システムのセキュリティプロファイルを設定できます。デバイスで利用可能なNATリソースの最大数に向けて、プライマリ論理システムで設定されたリソース数。

ユーザー論理システムから、ユーザー論理システム管理者は、 コマンドを show security nat 使用して、ユーザー論理システムの NAT に関する情報を表示できます。プライマリ論理システムから、1 次管理者は同じコマンドを使用して、1 次論理システム、特定のユーザー論理システム、またはすべての論理システムの情報を表示できます。

例:ユーザー論理システムのネットワークアドレス変換の設定

この例では、ユーザー論理システムに静的 NAT を設定する方法を示します。

要件

開始する前に、以下を行います。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示す ls-product-design ユーザー論理システムを設定します。

ls-product-design-untrustゾーンのデバイスは、アドレス12.1.1.200/32を使用して、ls-product-design-trustゾーンの特定のホストにアクセスします。宛先 IP アドレス 12.1.1.200/32 を持つ ls-product-design-untrust ゾーンから ls-product-design 論理システムに入るパケットの場合、宛先 IP アドレスは 12.1.1.100/32 に変換されます。この例では、 表 1 で説明する静的 NAT を設定します。

表 1:ユーザー論理システムの静的 NAT 設定

機能

名前

設定パラメータ

静的 NAT ルール セット

rs1

  • ルール r1 は、宛先アドレス 12.1.1.200/32 を持つ ls-product-design-untrust ゾーンからのパケットを照合します。

  • 一致するパケットの宛先 IP アドレスは、12.1.1.100/32 に変換されます。

プロキシー ARP

インターフェイスlt-0/0/0.3のアドレス12.1.1.200。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザー論理システムでNATを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. 静的 NAT ルール セットを設定します。

  3. パケットと一致し、パケット内の宛先アドレスを変換するルールを設定します。

  4. プロキシARPを設定します。

結果

設定モードから、 コマンドを入力して設定を show security nat 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

静的 NAT 設定の検証

目的

静的 NAT ルール セットに一致するトラフィックがあることを確認します。

アクション

動作モードから、 コマンドを show security nat static rule 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。

トラフィックへのNATアプリケーションの検証

目的

NAT が指定されたトラフィックに適用されていることを確認します。

アクション

動作モードから、 コマンドを show security flow session 入力します。

例:ユーザー論理システムのインターフェイスとルーティングインスタンスの設定

この例では、テナントシステムのインターフェイスとルーティングインスタンスを設定する方法を示しています。

要件

開始する前に、以下を行います。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示す ls-product-design ユーザー論理システムを設定します。

この例では、 表 2 で説明されているインターフェイスとルーティング インスタンスを設定します。

表 2:ユーザー論理システム インターフェイスとルーティング インスタンスの設定

機能

名前

設定パラメータ

インターフェイス

ge-0/0/5.1

  • IP アドレス 12.1.1.1/24

  • VLAN ID 700

ルーティング インスタンス

pd-vr1

  • インスタンス タイプ:仮想ルーター

  • インターフェイスge-0/0/5.1およびlt-0/0/0.3を含む

  • 静的ルート:

    • 13.1.1.0/24 ネクストホップ 10.0.1.3

    • 14.1.1.0/24 ネクストホップ 10.0.1.4

    • 12.12.1.0/24 ネクストホップ 10.0.1.1

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザー論理システムでインターフェイスとルーティングインスタンスを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ユーザー論理システムの論理インターフェイスを設定します。

  3. ルーティングインスタンスを設定し、インターフェイスを割り当てます。

  4. 静的ルートを設定します。

結果

設定モードから、 および show routing-instances コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

メモ:

プライマリ管理者は、lt-0/0/0.3インターフェイスを設定します。したがって、この項目を設定していない場合でも、lt-0/0/0.3コンフィギュレーションが出力に表示されます show interfaces

デバイスの設定が完了したら、設定モードから を入力します commit

例:ユーザー論理システム向けOSPFルーティングプロトコルの設定

この例では、ユーザー論理システムに OSPF を設定する方法を示します。

要件

開始する前に、以下を行います。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、相互接続論理システムの作成」で示す、ls-product-design ユーザー論理システムに OSPF を設定します。

この例では、ls-product-designユーザー論理システムのge-0/0/5.1およびlt-0/0/0.3インターフェイスでOSPFルーティングを有効にします。以下のルーティングポリシーを設定して、Junos OSルーティングテーブルからpd-vr1ルーティングインスタンス内のOSPFにルートをエクスポートします。

  • ospf-redist-direct — 直接接続されたインターフェイスから学習したルート。

  • ospf-redist-static— スタティック ルート。

  • ospf- to-ospf — OSPF から学習したルート。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

ユーザー論理システムに OSPF を設定するには:

  1. ユーザー論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ルートを受け入れるルーティング ポリシーを作成します。

  3. ルーティング ポリシーを、Junos OS ルーティング テーブルから OSPF にエクスポートされたルートに適用します。

  4. 論理インターフェイスでOSPFを有効にします。

結果

設定モードから、 および show routing-instances コマンドを入力して設定をshow policy-options確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみが含まれています。システム上の他の設定はすべて省略記号(...)で置き換えられました。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

OSPF インターフェイスの検証

目的

OSPF 対応インターフェイスを検証します。

アクション

CLI から、 コマンドを show ospf interface instance pd-vr1 入力します。

OSPF ネイバーの検証

目的

OSPF ネイバーを検証します。

アクション

CLI から、 コマンドを show ospf neighbor instance pd-vr1 入力します。

OSPF ルートの検証

目的

OSPF ルートを検証します。

アクション

CLI から、 コマンドを show ospf route instance pd-vr1 入力します。