ユーザー論理システムのルーティング、インターフェイス、NAT
ユーザー論理システムにより、ルーティングプロトコル、インターフェイス、NATを設定できます。ルーティングプロトコルは、すべてのルーティングメッセージを処理します。NAT は、パケットがインターネットに送信されたときに、コンピュータまたはコンピュータのグループの IP アドレスを単一のパブリックアドレスに変換するメカニズムです。詳細については、次のトピックを参照してください。
論理システムネットワークアドレス変換の理解
ネットワークアドレス変換(NAT)は、パケットヘッダー内のネットワークアドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方を変換できます。NATには、IPアドレスだけでなくポート番号の変換も含めることができます。
静的NAT、宛先NAT、または送信元NATの任意の組み合わせは、ルートまたはユーザーの論理システムで設定できます。論理システムでの NAT の設定は、ルート システムでの NAT の設定と同じです。プライマリ管理者は、プライマリ論理システムと任意のユーザー論理システムでNATを設定および監視できます。
リリース18.2R1 Junos OS、NAT機能は、SRX1500、SRX5400、SRX5600、およびSRX5800デバイスでの既存のサポートに加えて、SRX4100およびSRX4200デバイス上の論理システムでもサポートされます。
プライマリ管理者は、ユーザー論理システムごとに、以下のNATリソースの最大数と予約数を設定できます。
送信元 NAT プールと宛先 NAT プール
ポートアドレス変換あり/なしの送信元NATプール内のIPアドレス
送信元、宛先、静的NATのルール
永続的な NAT バインディング
ポートオーバーロードをサポートするIPアドレス
ユーザー論理システム管理者は、ユーザー論理システムから、NATオプション付きで運用コマンド show system security-profile を使用して、ユーザー論理システムに割り当てられたNATリソース数を表示できます。
プライマリ管理者は、プライマリ論理システムに適用されるNATリソースの最大数と予約数を指定するプライマリ論理システムのセキュリティプロファイルを設定できます。プライマリ論理システムに設定されたリソースの数は、デバイスで使用可能なNATリソースの最大数にカウントされます。
ユーザー論理システム管理者は、ユーザー論理システムから、 show security nat コマンドを使用して、ユーザー論理システムのNATに関する情報を表示することができます。プライマリ管理者は、プライマリ論理システムから同じコマンドを使用して、プライマリ論理システム、特定のユーザー論理システム、またはすべての論理システムの情報を表示できます。
関連項目
例:ユーザー論理システム用のネットワークアドレス変換の設定
この例では、ユーザー論理システムに静的 NAT を設定する方法を示します。
要件
始める前に:
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
show system security-profile nat-static-ruleコマンドを使用して、論理システムに割り当てられている静的NATリソースを確認します。セキュリティポリシーを設定します。 例:ユーザー論理システムにおけるセキュリティポリシーの設定を参照してください。
概要
この例では、例: ユーザー論理システム、その管理者、そのユーザー、および相互接続論理システムの作成に示されている ls-product-design ユーザー論理システムを設定します。
ls-product-design-untrustゾーンのデバイスは、アドレス12.1.1.200/32を介してls-product-design-trustゾーンの特定のホストにアクセスします。宛先IPアドレスが12.1.1.200/32のls-product-design-untrustゾーンからls-product-design論理システムに入るパケットの場合、宛先IPアドレスは12.1.1.100/32に変換されます。この例では、 表 1 で説明する静的 NAT を設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
静的 NAT ルール セット |
RS1 |
|
プロキシARP |
インターフェイスlt-0/0/0.3のアドレス12.1.1.200。 |
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set rs1 from zone ls-product-design-untrust set security nat static rule-set rs1 rule r1 match destination-address 12.1.1.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32 set security nat proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムで NAT を設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
静的 NAT ルール セットを設定します。
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 from zone ls-product-design-untrust
パケットを一致させ、パケット内の宛先アドレスを変換するルールを設定します。
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 match destination-address 12.1.1.200/32 lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32
プロキシARPを設定します。
[edit security nat] lsdesignadmin1@host:ls-product-design# set proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
結果
設定モードから、 show security nat コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsdesignadmin1@host:ls-product-design# show security nat
static {
rule-set rs1 {
from zone ls-product-design-untrust;
rule r1 {
match {
destination-address 12.1.1.200/32;
}
then {
static-nat prefix 12.1.1.100/32;
}
}
}
}
proxy-arp {
interface lt-0/0/0.3 {
address {
12.1.1.200/32;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
静的 NAT 設定の検証
目的
静的NATルールセットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat static rule コマンドを入力します。変換ヒットフィールドを表示して、ルールに一致するトラフィックを確認します。
例:ユーザー論理システム用のインターフェイスとルーティングインスタンスの設定
この例では、テナントシステムのインターフェイスとルーティングインスタンスを設定する方法を示しています。
要件
始める前に:
ユーザー論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
プライマリ管理者がユーザー論理システムに割り当てる論理インターフェイスと、オプションで、どの論理トンネル インターフェイスを決定します。プライマリ管理者は、論理トンネルインターフェイスを設定します。 プライマリ論理システムとプライマリ管理者の役割についてを参照してください。
概要
この例では、例: ユーザー論理システム、その管理者、そのユーザー、および相互接続論理システムの作成に示されている ls-product-design ユーザー論理システムを設定します。
この例では、 表 2 で説明するインターフェイスとルーティングインスタンスを設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
インターフェース |
ge-0/0/5.1 |
|
ルーティングインスタンス |
PD-VR1 |
|
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/5 unit 1 family inet address 12.1.1.1/24 set interfaces ge-0/0/5 unit 1 vlan-id 700 set routing-instances pd-vr1 instance-type virtual-router set routing-instances pd-vr1 interface ge-0/0/5.1 set routing-instances pd-vr1 interface lt-0/0/0.3 set routing-instances pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set routing-instances pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムでインターフェイスとルーティングインスタンスを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ユーザー論理システムの論理インターフェイスを設定します。
[edit interfaces] lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 family inet address 12.1.1.1/24 lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 vlan-id 700
ルーティングインスタンスを設定し、インターフェイスを割り当てます。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 instance-type virtual-router lsdesignadmin1@host:ls-product-design# set pd-vr1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 interface lt-0/0/0.3
スタティックルートを設定します。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
結果
設定モードから、 show interfaces および show routing-instances コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
プライマリ管理者は、lt-0/0/0.3インターフェイスを設定します。したがって、lt-0/0/0.3 設定は、この項目を設定していなくても、 show interfaces 出力に表示されます。
lsdesignadmin1@host:ls-product-design# show interfaces
ge-0/0/5 {
unit 1 {
vlan-id 700;
family inet {
address 12.1.1.1/24;
}
}
}
lt-0/0/0 {
unit 3 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.0.1.2/24;
}
}
}
lsdesignadmin1@host:ls-product-design# show routing-instances
pd-vr1 {
instance-type virtual-router;
interface ge-0/0/5.1;
interface lt-0/0/0.3;
routing-options {
static {
route 13.1.1.0/24 next-hop 10.0.1.3;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システム用の OSPF ルーティングプロトコルの設定
この例では、ユーザー論理システムに OSPF を設定する方法を示します。
要件
始める前に:
ユーザー論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
論理インターフェイスge-0/0/5.1を設定します。pd-vr1ルーティングインスタンスにge-0/0/5.1およびlt-0/0/0.3を割り当てます。 例:ユーザー論理システム用のインターフェイスとルーティングインスタンスの設定を参照してください。
概要
この例では、ユーザー 論理システム、その管理者、そのユーザー、相互接続論理システムの作成に示すように、ls-product-designユーザー論理システムにOSPFを設定します。
この例では、ls-product-designユーザー論理システムのge-0/0/5.1およびlt-0/0/0.3インターフェイスでOSPFルーティングを有効にします。以下のルーティングポリシーを設定して、Junos OSのルーティングテーブルからpd-vr1ルーティングインスタンスのOSPFにルートをエクスポートします。
ospf-redist-direct—直接接続されたインターフェイスから学習したルート。
ospf-redist-static—スタティックルート。
ospf-to-ospf—OSPFから学習したルート。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set policy-options policy-statement ospf-redist-direct from protocol direct set policy-options policy-statement ospf-redist-direct then accept set policy-options policy-statement ospf-redist-static from protocol static set policy-options policy-statement ospf-redist-static then accept set policy-options policy-statement ospf-to-ospf from protocol ospf set policy-options policy-statement ospf-to-ospf then accept set routing-instances pd-vr1 protocols ospf export ospf-redist-direct set routing-instances pd-vr1 protocols ospf export ospf-redist-static set routing-instances pd-vr1 protocols ospf export ospf-to-ospf set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ユーザー論理システムに OSPF を設定するには:
ユーザー論理システム管理者としてユーザー論理システムにログインし、設定モードにします。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ルートを受け入れるルーティング ポリシーを作成します。
[edit policy-options] lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct from protocol direct lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static from protocol static lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf from protocol ospf lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf then accept
Junos OSのルーティングテーブルからOSPFにエクスポートされたルートに、ルーティングポリシーをOSPFに適用します。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-direct lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-static lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-to-ospf
論理インターフェイスで OSPF を有効にします。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
結果
設定モードから、 show policy-options および show routing-instances コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
[edit]
lsdesignadmin1@host:ls-product-design# show policy-options
policy-statement ospf-redist-direct {
from protocol direct;
then accept;
}
policy-statement ospf-redist-static {
from protocol static;
then accept;
}
policy-statement ospf-to-ospf {
from protocol ospf;
then accept;
}
[edit]
lsdesignadmin1@host:ls-product-design# show routing-instances
pd-vr1 {
...
protocols {
ospf {
export [ ospf-redist-direct ospf-to-ospf ospf-redist-static ];
area 0.0.0.1 {
interface lt-0/0/0.3;
interface ge-0/0/5.1;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
OSPFインターフェイスの検証
目的
OSPF対応インターフェイスを検証します。
アクション
CLIから show ospf interface instance pd-vr1 コマンドを入力します。
lsdesignadmin1@host:ls-product-design> show ospf interface instance pd-vr1 Interface State Area DR ID BDR ID Nbrs lt-0/0/0.3 DR 0.0.0.0 10.0.1.2 0.0.0.0 0 ge-0/0/5.1 DR 0.0.0.1 10.0.1.2 0.0.0.0 0
OSPFネイバーの検証
目的
OSPFネイバーを検証します。
アクション
CLIから show ospf neighbor instance pd-vr1 コマンドを入力します。
lsdesignadmin1@host:ls-product-design> show ospf neighbor instance pd-vr1 Address Interface State ID Pri Dead 10.0.1.1 plt0.1 Full 0.0.0.0 128 39
OSPFルートの検証
目的
OSPFルートを検証します。
アクション
CLIから show ospf route instance pd-vr1 コマンドを入力します。
lsdesignadmin1@host:ls-product-design> show ospf route instance pd-vr1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 10.0.1.0/24 Intra Network IP 1 lt-0/0/0.3 12.12.1.0/24 Intra Network IP 1 ge-0/0/5.1