このページで
NAT-Src
ソース NAT は、プライベート IP アドレスをルーティング可能なパブリック アドレスに変換してホストと通信するために最も一般的に使用されます。ソース NAT は、ルーターを通過するパケットの送信元アドレスを変更します。NAT プールは、クライアント IP アドレスの代わりとして設計されたアドレスのセットです。詳細については、以下のトピックを参照してください。
ソース NAT について
ソースNATとは、ジュニパーネットワークスデバイスから離れるパケットの送信元IPアドレスの変換のことです。ソース NAT は、プライベート IP アドレスを持つホストがパブリック ネットワークにアクセスできるようにするために使用されます。
ソースNATでは、プライベートネットワークからインターネットなど、発信ネットワーク接続に対してのみ接続を開始できます。ソース NAT は、通常、以下の変換を実行するために使用されます。
単一の IP アドレスを別のアドレスに変換します(たとえば、プライベート ネットワーク内の単一のデバイスにインターネットへのアクセスを提供する場合など)。
アドレスの連続したブロックを、同じサイズのアドレスの別のブロックに変換します。
アドレスの連続したブロックをより小さいサイズのアドレスの別のブロックに変換します。
ポート変換を使用して、連続したアドレスブロックを単一のIPアドレスまたは小規模なアドレスブロックに変換します。
アドレスの連続したブロックをエグレス インターフェイスのアドレスに変換します。
エグレスインターフェイスのアドレスへの変換には、アドレスプールは必要ありません。他のすべてのソース NAT 変換にはアドレス プールの設定が必要です。同じサイズのアドレス・ブロックに対する 1 対 1 および多対多の変換では、変換されるすべてのアドレスに対してプール内に使用可能なアドレスがあるため、ポート変換は必要ありません。
アドレス プールのサイズが変換されるアドレス数よりも小さい場合、変換可能な同時アドレスの総数は、アドレス プールのサイズによって制限されるか、ポート変換を使用する必要があります。例えば、253 個のアドレスのブロックが 10 個のアドレスのアドレス プールに変換された場合、ポート変換を使用しない限り、同時に最大 10 台のデバイスを接続できます。
以下のタイプのソースNATがサポートされています。
元のソースIPアドレスをエグレスインターフェイスのIPアドレス(インターフェイスNATとも呼ばれる)に変換します。ポートアドレス変換は常に実行されます。
ポート アドレス変換を行うことなく、ユーザー定義のアドレス プールから元の送信元 IP アドレスを IP アドレスに変換する。元の送信元 IP アドレスと変換されたソース IP アドレスとの関連付けは動的です。ただし、一度アソシエーションが存在すると、同じNATルールに一致する新しいトラフィックに対して、同じ元の送信元IPアドレスに同じアソシエーションが使用されます。
ポート アドレス変換を使用して、ユーザー定義のアドレス プールから元の送信元 IP アドレスを IP アドレスに変換します。元の送信元 IP アドレスと変換されたソース IP アドレスとの関連付けは動的です。関連付けが存在する場合でも、同じ NAT ルールに一致する新しいトラフィックに対して、同じ元の送信元 IP アドレスが別のアドレスに変換される可能性があります。
IP アドレスをシフトすることで、元の送信元 IP アドレスをユーザー定義のアドレス プールから IP アドレスに変換します。このタイプの変換は、1対1で静的であり、ポートアドレス変換はありません。元の送信元 IP アドレス範囲がユーザー定義プールの IP アドレス範囲よりも大きい場合、未変換パケットは破棄されます。
NAT の中央ポイント アーキテクチャの強化について
システム セッションの容量とセッションのランプアップ レートは、中央ポイント メモリの容量と CPU 容量によって制限されます。Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降、NAT の中央ポイント アーキテクチャが強化され、SRX5000 シリーズのシステム セッション容量とセッション アップ レートが向上しました。そのため、中央ポイントのワークロードが減少し、セッション容量が増え、より多くのセッションをサポートして、より高い 1 秒あたりの接続(CPS)を実現できます。Junos OSリリース17.4R1以降、中央ポイントアーキテクチャで処理されるソースNATリソースは、SPC番号が4つ以上の場合にSPUにオフロードされ、その結果、リソース割り当てが効率化されました。次のリストは、パフォーマンスを向上させる NAT の強化について説明します。
中心ポイント アーキテクチャは、もはや中央ポイント セッションをサポートしません。そのため、NATトラッカーを維持して、IPアドレスやポートの割り当てと使用状況を追跡する必要があります。NATトラッカーは、SPUセッションIDからNATへのIPまたはNATリソースの管理に使用されるポートマッピングのグローバルアレイです。
デフォルトでは、中央ポイント システムの各セッション トリガーに基づいて統計情報を更新する代わりに、NAT ルール アラームとトラップ統計カウンター更新メッセージがサービス処理ユニット(SPU)から中央ポイントに 1 秒間隔で送信されます。
NAT後の5タプルハッシュがNAT前の元の5タプルハッシュと同じように割り当てられた特定のNAT IPアドレスまたはポートをサポートするには、特定の計算によって元のハッシュと同じハッシュになるNATポートを選択します。そのため、転送セッションが減少します。NAT を使用すると、リバース ウィングは別の SPU にハッシュされます。リバース トラフィックをセッション SPU に転送するには、フォワード セッションをインストールする必要があります。NAT は、ハッシュ アルゴリズムで使用できるポートを選択して、リバース ウィングを最初のウィングと同じ SPU にハッシュしようとします。そのため、このアプローチによりNATのパフォーマンスとスループットの両方が向上します。
NAT パフォーマンスを向上させるために、IP シフト プール(非 PAT プール)管理は中央ポイントから SPU に移動されるため、NAT リクエストを中央ポイントに送信する代わりに、そのプールのすべてのローカル NAT リソースがローカルに管理されます。そのため、IP アドレスシフト NAT プール接続数/秒とスループットが向上します。
ソース NAT パフォーマンスの最適化
ソース NAT は、機能とパフォーマンスのニーズに応じて最適化できます。
ポートランダム化モード(デフォルト)
プールベースのソースNATとインターフェイスNATでは、ポートランダム化モードが有効になり、デフォルトで使用されます。
このモードでは、デバイスはラウンドロビン方式で IP アドレスを選択し、ポート選択はランダムです。つまり、デバイスが NAT 変換を実行すると、まずラウンド ロビンによって IP アドレスを選択し、その IP アドレスに使用されるポートをランダム化によって選択します。
ランダムポート数の割り当ては、DNSポイズニング攻撃などのセキュリティ脅威からの保護を提供することができますが, それは、関連する計算やNATテーブルのリソースのためにパフォーマンスとメモリ使用量に影響を与える可能性があります.
ラウンドロビンモード
リソースを多く消費する NAT 変換方法は、ラウンドロビン割り当て方式のみを使用します。ランダム化には割り当てられたポートごとに計算作業が必要ですが、ラウンド ロビン方式ではポートを順番に選択するだけです。
このモードでは、デバイスは IP アドレスとポートの両方をラウンド ロビン方式で選択します。つまり、デバイスが NAT 変換を実行すると、まず IP アドレスをラウンド ロビンで選択し、その IP アドレスに使用されるポートをラウンド ロビンで選択します。
例えば、送信元プールに 1 つの IP アドレスのみが含まれている場合、
フローの最初のパケットが到着(セッションを作成)すると、IP1、ポート N に変換されます。そのフロー内の後続のパケットは同じ IP/ポートに割り当てられます。
新しいフローの最初のパケットが到着すると、IP1、ポート N+1 などが変換されます。
送信元プールに 2 つの IP アドレスが含まれている場合:
フローの最初のパケットが到着(セッションを作成)すると、そのパケットはIP1、ポートXに変換されます。そのフロー内の後続のパケットは、同じIP/ポートに割り当てられます。
2 つ目のフローの最初のパケットが到着すると、IP2、ポート X に変換されます。
3 つ目のフローの最初のパケットが到着すると、IP1、ポート X+1 に変換されます。
4つ目のフローの最初のパケットが到着すると、IP2、ポートX+1などが変換されます。
構成
ラウンドロビンモードはデフォルトで有効になっていますが、ポートランダム化モード(も有効)は高い優先度です。ラウンドロビンモードを使用するには、以下のように、優先度の高いポートのランダム化モードを無効にします。
user@host# set security nat source port-randomization disable
ラウンドロビンモードを無効にし、ポートのランダム化を再有効化するには、次のように設定ステートメントを削除します。
user@host# delete security nat source port-randomization disable
セッション アフィニティ モード
Junos OSリリース15.1X49-D30およびJunos OSリリース17.3R1以降、「セッションアフィニティ」モードを使用して、SRX5000シリーズデバイスのNATパフォーマンスとスループットをさらに向上させることができます。
上記のモードでは、特定のセッションは、5 タプル(ソース IP、dest IP、ソース ポート、dest ポート、プロトコル)ハッシュに基づいて、インバウンド SPU によって処理されます。NAT が関係する場合、5 タプルハッシュはセッションのアウトバウンド部分とセッションの戻り部分で異なります。そのため、アウトバウンド NAT セッション情報は 1 つの SPU 内にあり、リターン(リバース)NAT セッション情報は別の SPU にある場合があります。セッション アフィニティ モードの目標は、同じ SPU 上のアウトバウンド トラフィックとリターン トラフィックの両方の転送セッション情報を維持することです。
このモードでは、デバイスは、IP とポートの選択に「リバース NAT 強化」変換アルゴリズムを使用して、NAT セッションとスループットのパフォーマンスを向上させます。NAT モジュールは、ハッシュ アルゴリズムで使用できる IP アドレスとポートの選択を試み、アウトバウンドとリターン フローの要素に対して選択された SPU が同一であることを確認します。
構成
セッションアフィニティモードはデフォルトで有効になっていますが、ポートのランダム化とラウンドロビンモード(も有効)の両方の優先度が高くなります。セッション アフィニティ モードを使用するには、次のようにポートのランダム化とラウンドロビン モードの両方を無効にします。
user@host# set security nat source port-randomization disable user@host# set security nat source port-round-robin disable
セッションアフィニティモードを無効にし、ラウンドロビンモードまたはポートランダム化モードのいずれかを再び有効にするには、次のように設定ステートメントの1つまたは両方を削除します。
user@host# delete security nat source port-round-robin disable user@host# delete security nat source port-randomization disable
使用上の注意
セッション アフィニティ モードの注意事項とガイドラインは次のとおりです。
大規模な NAT ポート プールを可能な限り使用する(以下のセキュリティ上の考慮事項を参照)
アルゴリズムは、設定されたポート範囲内からポートを選択します。ポートが利用できない場合、ランダムな選択に基づいてNATポートが割り当てられます。
スタティック NAT とディスティネーション NAT はアフィニティ モードを使用できません。
セキュリティに関する考慮事項
セッション アフィニティは転送セッションを統合することでパフォーマンスが向上しますが、アルゴリズムは純粋なランダム化ではなく、事前に定義されたアルゴリズムに基づいて IP アドレスとポートを選択するため、セキュリティをある程度低下させます。とは言え、通常、アルゴリズムの対象となるポートが複数あるため、ある程度のランダム化が残っています。
セキュリティ リスクを軽減する最善の方法は、使用される送信元ポート番号の予測可能性を低くすることです。つまり、一時的なポートが選択される NAT プール リソースの範囲が大きいほど、攻撃者が選択したポート番号を推測する可能性が小さくなります。これを考えると、可能な限り大きなNATポートプールを設定することをお勧めします。
ソース NAT 情報の監視
目的
NAT(送信元ネットワークアドレス変換)ルール、プール、永続的NAT、およびペアアドレスに関する設定情報を表示します。
アクション
J-Web ユーザー インターフェイスで [Monitor>NAT>Source NAT ] を選択するか、次の CLI コマンドを入力します。
show security nat source summary
show security nat source pool pool-name
show security nat source persistent-nat-table
show security nat source paired-address
表 1 は、ソース NAT を監視するための使用可能なオプションを示しています。
フィールド |
説明 |
アクション |
|---|---|---|
| ルール | ||
ルールセット名 |
ルール セットの名前。 |
すべてのルール セットまたは表示する特定のルール セットを一覧から選択します。 |
ルールの合計 |
設定されたルールの数。 |
– |
Id |
ルール ID 番号。 |
– |
名前 |
ルールの名前. |
– |
差出人 |
パケットがフローするルーティング インスタンス/ゾーン/インターフェイスの名前。 |
– |
宛先 |
パケットがフローするルーティング インスタンス/ゾーン/インターフェイスの名前。 |
– |
送信元アドレス範囲 |
送信元プールの送信元 IP アドレス範囲。 |
– |
宛先アドレス範囲 |
送信元プールの宛先 IP アドレス範囲。 |
– |
送信元ポート |
送信元ポート番号。 |
– |
IP プロトコル |
IPプロトコル。 |
– |
アクション |
ルールに一致するパケットに対して実行されたアクション。 |
– |
永続的 NAT タイプ |
永続的 NAT タイプ。 |
– |
非アクティブタイムアウト |
永続的 NAT バインディングの非アクティブタイムアウト間隔。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
|
最大セッション数 |
最大セッション数。 |
– |
セッション(Succ/Failed/Current) |
成功、失敗、現在のセッション。
|
– |
ヒットした翻訳 |
- ソース NAT ルールに変換テーブル内の変換が使用される回数。 |
– |
| プール | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
プールの合計 |
プールの合計が追加されました。 |
– |
Id |
プールの ID。 |
– |
名前 |
ソース プールの名前。 |
– |
アドレス範囲 |
送信元プールの IP アドレス範囲。 |
– |
シングル/ツイン ポート |
割り当てられたシングル ポートおよびツイン ポートの数。 |
– |
ポート |
プール内の送信元ポート番号。 |
– |
アドレス割り当て |
アドレス割り当てのタイプを表示します。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
– |
ポート過負荷係数 |
ポート過負荷容量。 |
– |
ルーティング インスタンス |
ルーティング インスタンスの名前。 |
– |
総アドレス数 |
IP アドレス、IP アドレス セット、またはアドレス帳エントリーの合計。 |
– |
ホストアドレスベース |
元の送信元 IP アドレス範囲のホスト ベース アドレス。 |
– |
翻訳のヒット |
- ソース NAT に変換テーブル内の変換が使用される回数。 |
– |
| 翻訳ヒットトップ 10 | ||
グラフ |
翻訳がヒットした上位 10 件のグラフを表示します。 |
– |
| 永続的 NAT | ||
| 永続的 NAT テーブル統計情報 | ||
バインディングの合計 |
FPC の永続的 NAT バインディングの総数を表示します。 |
– |
使用中のバインディング |
FPC に使用されている永続的 NAT バインディングの数。 |
– |
enode の合計 |
FPC の永続的 NAT enode の総数。 |
– |
使用中の enode |
FPC に使用されている永続的 NAT enode の数。 |
– |
| 永続的 NAT テーブル | ||
ソース NAT プール |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
内部 IP |
内部 IP アドレス。 |
リストから表示するすべての IP アドレスまたは特定の IP アドレスを選択します。 |
内部ポート |
システムに設定された内部ポートを表示します。 |
リストから表示するポートを選択します。 |
内部プロトコル |
内部プロトコル. |
リストから表示するすべてのプロトコルまたは特定のプロトコルを選択します。 |
内部 IP |
内部から外部への発信セッションの内部トランスポート IP アドレス。 |
– |
内部ポート |
内部から外部への発信セッションの内部トランスポート ポート番号。 |
– |
内部プロトコル |
内部から外部への発信セッションの内部プロトコル。 |
– |
リフレクティブ IP |
送信元 IP アドレスの変換された IP アドレス。 |
– |
リフレクティブ ポート |
ポートの変換された番号を表示します。 |
– |
リフレクティブ プロトコル |
翻訳されたプロトコル。 |
– |
ソース NAT プール |
永続的 NAT が使用されるソース NAT プールの名前。 |
– |
型 |
永続的 NAT タイプ。 |
– |
左側時間/Conf 時間 |
残る非アクティブタイムアウト期間と、設定済みのタイムアウト値。 |
– |
現在のセッション数/最大セッション数 |
永続的NATバインディングに関連付けられた現在のセッション数と最大セッション数。 |
– |
ソース NAT ルール |
この永続的 NAT バインディングが適用するソース NAT ルールの名前。 |
– |
| 外部ノード テーブル | ||
内部 IP |
内部から外部への発信セッションの内部トランスポート IP アドレス。 |
– |
内部ポート |
内部から外部への発信セッションの内部ポート番号。 |
– |
外部 IP |
内部から外部への発信セッションの外部 IP アドレス。 |
– |
外部ポート |
内部から外部への発信セッションの外部ポート。 |
– |
ゾーン |
内部から外部への発信セッションの外部ゾーン。 |
– |
| ペアアドレス | ||
プール名 |
プールの名前。 |
リストから表示するすべてのプールまたは特定のプールを選択します。 |
指定されたアドレス |
IPアドレス。 |
すべてのアドレスを選択するか、表示する内部または外部の IP アドレスを選択して IP アドレスを入力します。 |
プール名 |
選択したプールまたはプールを表示します。 |
– |
内部アドレス |
内部 IP アドレスを表示します。 |
– |
外部アドレス |
外部 IP アドレスを表示します。 |
– |
| リソースの使用 | ||
| すべてのソース プールの利用 | ||
プール名 |
プールの名前。 |
ポートアドレス変換(PAT)プールの追加情報を表示するには、プール名を選択します。この情報は、指定されたプールのポート使用率の詳細の下に表示されます。 |
プールタイプ |
プール タイプ:PAT または非 PAT |
– |
ポート過負荷係数 |
PAT プールのポート過負荷容量。 |
– |
アドレス |
プール内のアドレス。 |
– |
使用 |
プール内の使用リソースの数。 非 PAT プールの場合、使用された IP アドレスの数が表示されます。 PAT プールの場合、使用されたポート数が表示されます。 |
– |
利用 可能 |
プール内の使用可能なリソースの数。 非 PAT プールでは、使用可能な IP アドレスの数が表示されます。 PAT プールの場合、使用可能なポート数が表示されます。 |
– |
合計 |
プール内で使用および使用可能なリソースの数。 非 PAT プールの場合、使用された IP アドレスと使用可能な IP アドレスの総数が表示されます。 PAT プールの場合、使用されたポートと使用可能なポートの総数が表示されます。 |
– |
使用 |
使用されたリソースの割合。 非 PAT プールの場合、使用された IP アドレスの割合が表示されます。 PAT プールの場合、シングル ポートとツイン ポートを含むポートの割合が表示されます。 |
– |
ピーク使用量 |
ピーク日時に使用されたリソースの割合。 |
– |
| 指定されたプールのポート使用率の詳細 | ||
アドレス名 |
PAT プール内の IP アドレス。 |
詳細な使用状況情報を表示する IP アドレスを選択します。 |
要因インデックス |
インデックス番号。 |
– |
ポート範囲 |
一度に割り当てられたポート数を表示します。 |
– |
使用 |
使用されたポート数を表示します。 |
– |
利用 可能 |
使用可能なポート数を表示します。 |
– |
合計 |
使用されたポートと使用可能なポートの数を表示します。 |
– |
使用 |
ピーク時に使用されたポートの割合を表示します。 |
– |
ソース NAT 構成の概要
ソース NAT の主な設定タスクは次のとおりです。
例:エグレスインターフェイス変換のためのソースNATの設定
この例では、エグレスインターフェイスのパブリックアドレスにプライベートアドレスのソースNATマッピングを設定する方法を説明します。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 1 では、trust ゾーンのプライベート アドレスを持つデバイスは、エグレス インターフェイス ge-0/0/0 を介してパブリック ネットワークにアクセスします。untrustゾーンの宛先アドレスを持つtrustゾーンからジュニパーネットワークスのセキュリティデバイスに入るパケットの場合、送信元IPアドレスはエグレスインターフェイスのIPアドレスに変換されます。
エグレスインターフェイスを使用するソースNATには、ソースNATプールは必要ありません。プロキシARPは、エグレスインターフェイスに設定する必要はありません。
この例では、以下の設定について説明します。
trust ゾーンから untrust ゾーンへのパケットを一致させるルール
r1を使用して設定rs1された NAT ソース ルールです。一致するパケットの場合、送信元アドレスはエグレス インターフェイスの IP アドレスに変換されます。trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat interface set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
ソースNAT変換をエグレスインターフェイスに設定するには:
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをエグレス インターフェイスのアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat interface
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:シングルアドレス変換のソースNATの設定
この例では、単一のプライベートアドレスのソースNATマッピングをパブリックアドレスに設定する方法を説明します。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 2 では、trust ゾーンのプライベート アドレス 192.168.1.200 を持つデバイスがパブリック ネットワークにアクセスします。デバイスによって untrust ゾーンの宛先アドレスに送信されたパケットの場合、ジュニパーネットワークスのセキュリティ デバイスは、送信元 IP アドレスをパブリック IP アドレス 203.0.113.200/32 に変換します。
この例では、以下の設定について説明します。
IP アドレス 203.0.113.200/32 を含むソース NAT プール
src-nat-pool-1。ソース NAT ルールは、trust ゾーンから untrust ゾーンに送信元 IP アドレス 192.168.1.200/32 を持つパケットを一致させるルール
r1で設定rs1されています。一致するパケットの場合、送信元アドレスはプール内の IP アドレスにsrc-nat-pool-1変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.200 のプロキシー ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 203.0.113.200/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.200/32 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
単一の IP アドレスに対してソース NAT 変換を設定するには:
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.200/32
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.200/32 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.200/32;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT プールの使用状況の確認
目的
ソースNATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:ソースおよびディスティネーション NAT 変換の設定
この例では、送信元と宛先の両方のNATマッピングを設定する方法を説明します。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 3 では、ジュニパーネットワークスのセキュリティ デバイスでは、以下の変換が実行されます。
trustゾーンのプライベートアドレス192.168.1.200で untrustゾーン内のアドレスに送信されたパケットの送信元IPアドレスは、203.0.113.10~203.0.113.14の範囲のパブリックアドレスに変換されます。
trust ゾーンから untrust ゾーンに送信されたパケットの宛先 IP アドレス 203.0.113.100/32 は、アドレス 10.1.1.200/32 に変換されます。
この例では、以下の設定について説明します。
IP アドレス範囲 203.0.113.10~203.0.113.14 を含むソース NAT プール
src-nat-pool-1。ソース NAT ルールは、trust ゾーンから untrust ゾーンへのパケットを一致させるルール
r1で設定rs1されています。一致するパケットの場合、送信元アドレスはプール内の IP アドレスにsrc-nat-pool-1変換されます。IP アドレス 10.1.1.200/32 を含む宛先 NAT プール
dst-nat-pool-1。宛先 NAT ルールは、trust ゾーンからのパケットを宛先 IP アドレス 203.0.113.100 と一致させるルール
r1で設定rs1されます。一致するパケットの場合、宛先アドレスはプール内の IP アドレスにdst-nat-pool-1変換されます。インターフェイス ge-0/0/0/0.0 のアドレス 203.0.113.10~203.0.113.100/32 のプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trust ゾーンから untrust ゾーンへのトラフィックを許可するセキュリティ ポリシー。
untrustゾーンからtrustゾーンの変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 203.0.113.10/32 to 203.0.113.14/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat destination pool dst-nat-pool-1 address 10.1.1.200/32 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.100/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.10/32 to 203.0.113.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.100/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security address-book global address dst-nat-pool-1 10.1.1.200/32 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match destination-address dst-nat-pool-1 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
ソースおよびディスティネーション NAT 変換を設定するには:
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.10 to 203.0.113.14
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをソースNATプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 10.1.1.200/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
パケットを照合し、宛先 NAT プール内のアドレスに宛先アドレスを変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.100/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.10 to 203.0.113.14 user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.100
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
グローバル アドレス帳でアドレスを設定します。
[edit security address-book global] user@host# set address dst-nat-pool-1 10.1.1.200/32
untrustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-1-access match source-address any destination-address dst-nat-pool-1 application any user@host# set policy dst-nat-pool-1-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.10/32 to 203.0.113.14/32;
}
}
rule-set rs1 {
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
destination {
pool dst-nat-pool-1 {
address 10.1.1.200/32;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.100/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.10/32 to 203.0.113.14/32;
203.0.113.100/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
}
policy internet-access {
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-1-access {
match {
source-address any;
destination-address dst-nat-pool-1;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT プールの使用状況の確認
目的
ソースNATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
宛先 NAT プールの使用状況の検証
目的
宛先NATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
ソース NAT ルールについて
ソース NAT ルールは、2 つのレイヤーの一致条件を指定します。
トラフィック方向 — 、
from zoneまたはto zonefrom routing-instanceto interfaceのfrom interface組み合わせを指定できます。to routing-instance異なるルール セットに同じfromコンテキストをto設定することはできません。パケット情報—送信元と宛先の IP アドレスまたはサブネット、送信元ポート番号またはポート範囲、宛先ポート番号またはポート範囲、プロトコル、アプリケーションなどです。
FTP を除くすべての ALG トラフィックでは、 ルール オプションを source-port 使用しないことをお勧めします。IP アドレスとランダムな値である送信元ポート値がルールに一致しない可能性があるため、このオプションを使用すると、データ セッションの作成が失敗する可能性があります。
さらに、 オプションまたは オプションを ALG トラフィックのdestination-portapplication一致条件として使用しないことをお勧めします。これらのオプションを使用すると、アプリケーション ペイロードのポート値が IP アドレスのポート値と一致しない可能性があるため、変換が失敗する可能性があります。
一致条件で複数のソース NAT ルールが重複する場合、最も具体的なルールが選択されます。例えば、ルールAとBが同じ送信元と宛先のIPアドレスを指定しているが、ルールAがゾーン1からゾーン2へのトラフィックを指定し、ルールBがゾーン1からインターフェイスge-0/0/0へのトラフィックを指定する場合、ルールBはソースNATを実行するために使用されます。インターフェイスの一致は、ルーティングインスタンスの一致よりも具体的なゾーン一致よりも具体的であると見なされます。
ソース NAT ルールに対して指定できるアクションは次のとおりです。
off — ソース NAT を実行しません。
pool—指定されたユーザー定義アドレスプールを使用して、ソースNATを実行します。
インターフェイス—エグレスインターフェイスのIPアドレスを使用して、ソースNATを実行します。
ソース NAT ルールは、フローまたは ALG のファスト パスで処理される最初のパケットのトラフィックに適用されます。ソース NAT ルールは、静的 NAT ルール、ディスティネーション NAT ルール、静的 NAT ルールのリバース マッピングの後、ルートおよびセキュリティ ポリシー ルックアップの後に処理されます。
ルールセットの下でゾーンが設定されていない場合、アクティブソースNATで「送信元」の必須ステートメントが欠落して構成されている場合、コミット 「必須ステートメントの欠落:'from'エラー:設定チェックアウト失敗」 を実行し、設定チェックアウトが失敗した場合、次のメッセージが表示されます。
例:複数のルールを使用したソース NAT の設定
この例では、ソース NAT マッピングを複数のルールで設定する方法を説明します。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 4 では、Trust ゾーンから untrust ゾーンへのトラフィックに対する NAT マッピングのソースに対して、ジュニパーネットワークスのセキュリティ デバイスで以下の変換が実行されます。
10.1.1.0/24 および 10.1.2.0/24 サブネットによって untrust ゾーンの任意のアドレスに送信されたパケットの送信元 IP アドレスは、ポート変換で 192.0.2.1 から 192.0.2.24 までの範囲のパブリック アドレスに変換されます。
192.168.1.0/24 サブネットから untrust ゾーン内の任意のアドレスに送信されたパケットの送信元 IP アドレスは、192.0.2.100 から 192.0.2.249 までのパブリック アドレスに変換され、ポート変換は行われません。
192.168.1.250/32 ホスト デバイスから送信されたパケットの送信元 IP アドレスは変換されません。
を持つソース NAT
この例では、以下の設定について説明します。
IP アドレス範囲 192.0.2.1~192.0.2.24 を含むソース NAT プール
src-nat-pool-1。IP アドレス範囲 192.0.2.100~192.0.2.249 を含むソース NAT プール
src-nat-pool-2で、ポート アドレス変換は無効です。メモ:ポートアドレス変換が無効になっている場合、 オプションが有効になっていない限り、ソースNATプールが同時にサポートできる変換数は、プール内のアドレス数に
address-shared制限されます。ソースNATプールに利用可能なアドレスがない場合、パケットは破棄されます。元のソース NAT プールで使用可能なアドレスがない場合に、IP アドレスとポート番号を割り当てるオーバーフロー プールをオプションで指定できます。trust ゾーンから untrust ゾーンへのパケットを一致するよう設定
rs1されたソース NAT ルール。ルール セットrs1には複数のルールが含まれます。10.1.1.0/24 または 10.1.2.0/24 サブネット内の送信元 IP アドレスを持つパケットを照合するルール
r1です。一致するパケットの場合、送信元アドレスはプール内の IP アドレスにsrc-nat-pool-1変換されます。送信元IPアドレスが192.168.1.250/32のパケットを照合するルール
r2。一致するパケットの場合、NAT変換は実行されません。192.168.1.0/24 サブネット内の送信元 IP アドレスを持つパケットを照合するルール
r3。一致するパケットの場合、送信元アドレスはプール内の IP アドレスにsrc-nat-pool-2変換されます。メモ:トラフィックに一致するルール セットの最初のルールが使用されるため、ルール セット内のルールの順序は重要です。そのため、特定の IP アドレスを一致させるルール
r2は、デバイスが配置されているサブネットと一致するルールr3の前に配置する必要があります。
インターフェイス ge-0/0/0.0 上のアドレス 192.0.2.1~192.0.2.24 および 192.0.2.100~192.0.2.249 のプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
SRX4600デバイスでは、ソースNATルールまたはプールをインターフェイスまたはサービスセットとしてルール名またはプール名で設定すると 、構文エラー(<data>を想定)というエラーメッセージが表示されます。
という名前
interfaceのソースNATルールがある場合、 コマンドを使用してルールをshow security nat source rule interface表示することはできません。という名前
service-setのソースNATルールがある場合、 コマンドを使用してルールをshow security nat source rule service-set表示することはできません。という名前
interfaceのソースNATプールがある場合、 コマンドを使用してプールをshow security nat source pool interface表示することはできません。という名前
service-setのソースNATプールがある場合、 コマンドを使用してプールをshow security nat source pool service-set表示することはできません。という名前
interfaceのソースNATプールがある場合、 コマンドを使用してペアアドレスをshow security nat source paired-address pool-name interface表示することはできません。という名前
service-setのソースNATプールがある場合、 コマンドを使用してペアアドレスをshow security nat source paired-address pool-name service-set表示することはできません。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 192.0.2.1/32 to 192.0.2.24/32 set security nat source pool src-nat-pool-2 address 192.0.2.100/32 to 192.0.2.249/32 set security nat source pool src-nat-pool-2 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat source rule-set rs1 rule r2 match source-address 192.168.1.250/32 set security nat source rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r2 then source-nat off set security nat source rule-set rs1 rule r3 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.1/32 to 192.0.2.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.100/32 to 192.0.2.249/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
ルールセットに複数のソースNATルールを設定するには:
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 192.0.2.1 to 192.0.2.24
ポート変換なしのソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-2 address 192.0.2.100 to 192.0.2.249 user@host# set pool src-nat-pool-2 port no-translation
メモ:エグレスインターフェイスを使用するための
src-nat-pool-2オーバーフロープールを設定するには:[edit security nat source] user@host# set pool src-nat-pool-2 overflow-pool interface
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
送信元アドレスが変換されないパケットを照合するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r2 match source-address 192.168.1.250/32 user@host# set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r2 then source-nat off
パケットを照合し、ポート変換なしで送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r3 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.1 to 192.0.2.24 user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.100 to 192.0.2.249
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
192.0.2.1/32 to 192.0.2.24/32;
}
}
pool src-nat-pool-2 {
address {
192.0.2.100/32 to 192.0.2.249/32;
}
port no-translation;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [ 10.1.1.0/24 10.1.2.0/24 ];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
rule r2 {
match {
source-address 192.168.1.250/32;
destination-address 0.0.0.0/0;
}
then {
source-nat {
off;
}
}
}
rule r3 {
match {
source-address 192.168.1.0/24;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-2;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
192.0.2.1/32 to 192.0.2.24/32;
192.0.2.100/32 to 192.0.2.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT プールの使用状況の確認
目的
ソースNATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
ソース NAT プールについて
NAT プールは、変換に使用されるユーザー定義の IP アドレスのセットです。静的NATとは異なり、一方向への宛先IPアドレス変換と逆方向のソースIPアドレス変換を含む1対1のマッピングがあり、ソースNATでは、元のソースIPアドレスをアドレスプール内のIPアドレスに変換します。
NAT(送信元ネットワーク アドレス変換)アドレス プールの場合、以下を指定します。
ソース NAT アドレス プールの名前。
最大 8 個のアドレスまたはアドレス範囲。
メモ:1 つのルーティング インスタンス内で、ソース NAT、ディスティネーション NAT、スタティック NAT の NAT アドレスを重複させません。
ルーティングインスタンス-プールが属するルーティングインスタンス(デフォルトはメイン inet.0 ルーティングインスタンス)。
ポート —送信元プールの PAT(ポート アドレス変換)。デフォルトでは、ソース NAT で PAT が実行されます。 変換なし オプションを指定した場合、ソースNATプールがサポートできるホスト数は、プール内のアドレス数に制限されます。を指定
block-allocationした場合、個別のポートが割り当てられるのではなく、ポートのブロックが変換に割り当てられます。を指定deterministicした場合、受信(送信元)IP アドレスとポートは、あらかじめ定義された決定論的 NAT アルゴリズムに基づいて、必ず特定の宛先アドレスとポート ブロックにマッピングされます。を指定port-overloadingした場合、ソースNATでポートオーバーロード容量を設定できます。を指定rangeした場合、プール内の各アドレスにアタッチされたポート番号の範囲と、ソース NAT プールのツイン ポート範囲を指定できます。オーバーフロープール(オプション)—指定されたソースNATプールに利用可能なアドレスがない場合、パケットは破棄されます。 ポート未変換 オプションが設定されている場合にこれが起こらないようにするには、オーバーフロー プールを指定します。元の NAT プールからのアドレスが枯渇すると、IP アドレスとポート番号がオーバーフロー プールから割り当てられます。ユーザー定義のソースNATプールまたはエグレスインターフェイスをオーバーフロープールとして使用できます。(オーバーフロー プールを使用する場合は、アドレスとともにプール ID が返されます)。
IP アドレスのシフト(オプション)— 元の送信元 IP アドレスの範囲は、IP アドレスをシフトすることで別の範囲の IP アドレスまたは単一の IP アドレスにマッピングできます。元の送信元IPアドレス範囲のベースアドレスで、 ホスト アドレスベースオプションを指定します。
アドレス共有(オプション)— 複数の内部 IP アドレスを同じ外部 IP アドレスにマッピングできます。このオプションは、ソースNATプールがポート変換なしで設定されている場合にのみ使用できます。ソース NAT プールで
address-shared使用できる外部 IP アドレスが少ない場合、または外部 IP アドレスが 1 つだけの場合は、 オプションを指定します。多対 1 マッピングでは、このオプションを使用すると NAT リソースが増加し、トラフィックが向上します。アドレスプーリング(オプション)—アドレスプーリングは、ペアまたはノーペアとして設定できます。1つの内部IPアドレスに関連付けられたすべてのセッションを、セッション期間中に同じ外部IPアドレスにマッピングすることを必要とするアプリケーションを指定
address-pooling pairedします。これは、同じ内部アドレスがpersistent-address毎回同じ外部アドレスに変換されるというオプションとは異なります。ラウンドロビン方式で IP アドレスを割り当てることができるアプリケーションを指定address-pooling no-pairedします。またはaddress-pooling no-pairedがaddress-pooling pairedPAT があるソース NAT プールに設定されている場合、永続的アドレス オプションは無効になります。PAT なしのソース NAT プールで設定されている場合address-sharedは、persistent-addressオプションが有効になります。とaddress-pooling pairedの両方address-sharedは、PAT なしで同じソース NAT プール上で設定できます。プール使用率アラーム(オプション)—ソースNATに レイズ閾値 オプションが設定されている場合、ソースNATプールの使用率がこのしきい値を超えた場合、SNMPトラップがトリガーされます。オプションの clear-threshold オプションが設定されている場合、ソース NAT プールの使用率がこのしきい値を下回ると、SNMP トラップがトリガーされます。 clear-threshold が設定されていない場合、デフォルトでは しきい値 の80%に設定されます。
show security natリソース使用ソースプールコマンドを使用して、PATなしのソースNATプールにおけるアドレス使用を表示し、PATを使用したソースNATプールのポート使用を表示できます。
ソース NAT プール容量の理解
SRX300、SRX320、SRX340、SRX345、SRX650 デバイスの送信元プールと IP アドレスの最大容量は次のとおりです。
プール/PAT 最大アドレス容量 |
SRX300SRX320 |
SRX340SRX345 |
SRX650 |
|---|---|---|---|
ソース NAT プール |
1024 |
2048 |
1024 |
ポート変換をサポートする IP アドレス |
1024 |
2048 |
1024 |
PAT ポート番号 |
6,400 万 |
6,400 万 |
6,400 万 |
SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 デバイスの最大容量は次のとおりです。
プール/PAT 最大アドレス容量 |
SRX1400SRX1500 |
SRX3400SRX3600 |
SRX4100SRX4200 |
SRX5400SRX5600SRX5800 |
|---|---|---|---|---|
ソース NAT プール |
8192 |
10,240 |
10,240 |
12,288 |
ポート変換をサポートする IP アドレス |
8192 |
12,288 |
12,288 |
100 万 |
PAT ポート番号 |
2,560 万 |
3億8,400万 |
3億8,400万 |
3億8,400万 |
リリース 12.3X48-D40 およびリリース 15.1X49-D60 以降のリリースでは、[] 階層レベルでサポートされている ステートメントedit security nat sourceを使用してport-scaling-enlargement、SRX5400、SRX5600、SRX5600、SRX5800 デバイスのソース NAT ポート容量を 2.4G に増やすことができます。
プラットフォームのサポートは、インストールされているJunos OSリリースによって異なります。
構成内のプール数を増やしたり、プールあたりの容量または IP アドレスを増やしたりすることで、ソース NAT に使用される IP アドレスの総数を増やすと、ポート割り当てに必要なメモリが消費されます。ソース NAT プールと IP アドレスの制限に達した場合、ポート範囲は再割り当てする必要があります。つまり、IP アドレスとソース NAT プールの数が増えた場合、各 IP アドレスのポート数を減らす必要があります。これにより、NATがメモリを消費しすぎないようにします。
例えば、SRX5000デバイスのソースNATプールでは、ポート変換をサポートするIPアドレスの数が100万に達すると、PATポートの総数は64Gとなり、384Mの制限を超えます。これは、デフォルトでは、各 IP アドレスが 64,512 ポートをサポートしているためです。PAT ポート番号が容量内であることを確認するには、PAT ポートの総数を減らすよう、各 IP のポート範囲を設定する必要があります。
特定のプールにrange新しいポート範囲またはツインポート範囲を割り当てるには、 階層レベルで [edit security nat source pool port] と range twin-port オプションを使用します。すべてのソース NAT プールのpool-default-port-rangepool-default-twin-port-rangeグローバルデフォルトポート範囲またはツインポート範囲を指定するには、 階層レベルで [edit security nat source] と のオプションを使用します。
ポートオーバーロードの設定は、ソースNATプールが増加した場合にも慎重に行う必要があります。
範囲(63,488~65,535)の PAT を持つソース プールでは、SIP、H.323、RTSP などの RTP/RTCP アプリケーションに 2 つのポートが一度に割り当てられます。これらのシナリオでは、各 IP アドレスは PAT をサポートし、ALG モジュール用に 2048 ポート(63,488~65,535)を占有します。
ソースNATプールの永続的アドレスについて
デフォルトでは、ポートアドレス変換はソースNATで実行されます。ただし、元の送信元アドレスは、同じホストから発信された異なるトラフィックに対して同じ IP アドレスに変換されない場合があります。ソースNAT address-persistent オプションにより、複数の同時セッションに対して、ソースNATプールから特定のホストに同じIPアドレスが割り当てられます。
このオプションは、アドレス・プーリング・ペア・オプションとは異なり、内部アドレスはプール内の外部アドレスに先着順でマッピングされ、セッションごとに異なる外部アドレスにマッピングされる場合があります。
例:PAT を使用したソース NAT プールの容量の設定
この例では、デフォルトのポート範囲が設定されていない場合、またはオーバーライドする場合に、ポートアドレス変換(PAT)を使用してソースNATプールの容量を設定する方法を説明します。各 IP アドレスに対して変換が設定されます。ソース プールが増加した場合、現在のポート番号が制限を超えた場合、ポートの再割り当てを行う必要があります。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、各 IP アドレスに対して 32,000 ポートで 2048 個の IP アドレスの PAT プールを設定する方法を示します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
[edit security nat source] set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32 set pool-default-port-range 2001 set pool-default-port-range to 32720
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用してソース NAT プールの容量を設定するには:
PAT と IP アドレス範囲を使用してソース NAT プールを指定します。
[edit security nat source] user@host# set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 user@host#set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32
ソースプールのデフォルトポート範囲を指定します。
[edit security nat source] user@host# set pool-default-port-range 2001 user@host# set pool-default-port-range to 32720
結果
設定モードから、 コマンドを入力して設定を show security nat-source-summary 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host> run show security nat source summary Total port number usage for port translation pool: 16515072 Maximum port number for port translation pool: 134217728 Total pools: 1 Pool Address Routing PAT Total Name Range Instance Address pool2 203.0.113.1 - 203.0.113.3 default yes 2048 Name Range Instance Address pool1 198.51.100.0 - 198.51.100.255 default yes 256 Total rules: 1 Rule name Rule set From To Action rule 1 ruleset1 ge-2/2/2.0 ge-2/2/3.0 pool1 rule 1 ge-2/2/4.0 ge-2/2/5.0
デバイスの設定が完了したら、設定モードから を入力します commit 。
アドレス プーリングを使用したソース NAT プールについて
ホストがNATを必要とするポリシーに一致する複数のセッションを開始し、ポートアドレス変換が有効になっているソースプールからIPアドレスが割り当てられた場合、セッションごとに異なる送信元IPアドレスが使用されます。
一部のアプリケーションではセッションごとに同じソース IP アドレスが必要な場合があるため、この機能を address-pooling paired 使用して、1 つの内部 IP アドレスに関連付けられたすべてのセッションを有効にし、セッション期間中は同じ外部 IP アドレスにマップすることができます。セッションが終了すると、内部 IP アドレスと外部 IP アドレス間のマッピングが停止します。ホストが次回セッションを開始する際に、プールから別のIPアドレスが割り当てられる場合があります。
これは、マッピングを静的に維持するソースNAT address-persistent 機能とは異なり、常に同じ内部IPアドレスが同じ外部IPアドレスにマッピングされます。また、特定のプールに address-persistent 対して設定されている address-pooling paired 機能とは異なります。この address-persistent 機能は、すべてのソース プールに適用されるグローバル構成です。
アドレスシフトによるソースNATプールの理解
ソース NAT ルール セットの一致条件では、アドレス範囲を指定できません。ルールで指定できるのはアドレスプレフィックスのみです。ソースNATプールを設定する場合、 オプションを host-base-address 指定できます。このオプションは、元の送信元IPアドレス範囲が開始するIPアドレスを指定します。
変換される元のソース IP アドレスの範囲は、ソース NAT プール内のアドレス数によって決定されます。例えば、ソース NAT プールに 10 個の IP アドレスの範囲が含まれている場合、最大 10 個の元のソース IP アドレスを、指定されたベース アドレスから変換できます。このタイプの変換は、1対1で静的であり、ポートアドレス変換はありません。
ソース NAT ルールの一致条件により、ソース NAT プールで指定されたアドレス範囲よりも大きなアドレス範囲が定義される場合があります。例えば、一致条件では、256個のアドレスを含むアドレスプレフィックスを指定することもできますが、送信元NATプールには、数個のIPアドレスの範囲のみ、またはIPアドレスが1つだけ含まれている場合があります。パケットの送信元 IP アドレスはソース NAT ルールと一致できますが、送信元 IP アドレスがソース NAT プールで指定されたアドレス範囲内にない場合、送信元 IP アドレスは変換されません。
例:アドレスシフトによるソースNATプールの設定
この例では、プライベートアドレス範囲のソースNATマッピングをパブリックアドレスに設定し、オプションでアドレスシフトする方法を説明します。このマッピングは、元のソース IP アドレスと変換された IP アドレスの間に 1 対 1 で行われます。
ソース NAT ルール セットの一致条件では、アドレス範囲を指定できません。ルールで指定できるのはアドレスプレフィックスのみです。ソースNATプールを設定する場合、 オプションを host-base-address 指定できます。このオプションは、元の送信元IPアドレス範囲が開始するIPアドレスを指定し、ポート変換を無効にします。
変換される元のソース IP アドレスの範囲は、ソース NAT プール内のアドレス数によって決定されます。例えば、ソース NAT プールに 10 個の IP アドレスの範囲が含まれている場合、最大 10 個の元のソース IP アドレスを、指定されたベース アドレスから変換できます。
ソース NAT ルールの一致条件により、ソース NAT プールで指定されたアドレス範囲よりも大きなアドレス範囲が定義される場合があります。例えば、一致条件では、256個のアドレスを含むアドレスプレフィックスを指定することもできますが、送信元NATプールには10個のIPアドレスの範囲しか含んでありません。パケットの送信元 IP アドレスはソース NAT ルールと一致できますが、送信元 IP アドレスがソース NAT プールで指定されたアドレス範囲内にない場合、送信元 IP アドレスは変換されません。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 5 では、trust ゾーンのプライベート アドレスの範囲は、untrust ゾーン内の一連のパブリック アドレスにマッピングされています。trustゾーンからtrustゾーンに送信されたパケットの場合、 192.168.1.10/32~192.168.1.20/32 の範囲の送信元 IP アドレスは、203.0.113.30/32~203.0.113.40/32 の範囲のパブリック アドレスに変換されます。
によるソース NAT
この例では、以下の設定について説明します。
IP アドレス範囲 203.0.113.30/32~203.0.113.40/32 を含むソース NAT プール
src-nat-pool-1。このプールでは、元の送信元 IP アドレス範囲の先頭は 192.168.1.10/32 で、host-address-baseオプションで指定されます。ソースNATルールは、trustゾーンから192.168.1.0/24サブネット内の送信元IPアドレスを持つ untrustゾーンにパケットを一致させるルール
r1で設定rs1されています。設定でsrc-nat-pool-1指定された送信元IPアドレス範囲内にある一致パケットの場合、送信元アドレスはプール内src-nat-pool-1のIPアドレスに変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.30/32~203.0.113.40/32 のプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32 set security nat source pool src-nat-pool-1 host-address-base 192.168.1.10/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
アドレスシフトによるソースNATマッピングを設定するには:
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32
元の送信元 IP アドレス範囲の開始を指定します。
[edit security nat source] user@host# set pool src-nat-pool-1 host-address-base 192.168.1.10/32
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.30/32 to 203.0.113.40/32;
}
host-address-base 192.168.1.10/32;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 192.168.1.0/24;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.30/32 to 203.0.113.40/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT プールの使用状況の確認
目的
ソースNATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
PAT を使用したソース NAT プールについて
Junos OSは、PAT(ポートアドレス変換)を使用して送信元プールを使用して、送信元IPアドレスとパケットのポート番号の両方を変換します。PAT を使用すると、複数のホストが同じ IP アドレスを共有できます。
Junos OSでは、どのセッションがどのホストに属しているのかを区別するために、割り当てられたポート番号のリストを保持しています。PAT を有効にすると、最大 63,488 個のホストが 1 つの IP アドレスを共有できます。各ソース プールには、複数の IP アドレス、複数の IP アドレス範囲、またはその両方を含めることができます。PAT を使用するソース プールの場合、Junos OS は、送信元プールまたは Junos OS に永続的アドレス機能またはペアのアドレス プーリング機能が有効になっていない限り、異なる同時セッションに対して 1 つのホストに異なるアドレスを割り当てることができます。
PAT を使用したインターフェイスソースプールとソースプールでは、IPアドレスごとのポート番号マッピングで範囲(1024、65535)を使用できます。範囲内(1024、63487)内では、1 つのポートが一度に割り当てられ、合計 62,464 ポートになります。範囲(63488、65535)では、SIP、H.323、RTSP などの RTP/RTCP アプリケーションに 2 個のポートが同時に割り当てられ、合計 2,048 ポートになります。
ホストがネットワークアドレス変換を必要とするポリシーに一致する複数のセッションを開始し、PATが有効になっているソースプールからアドレスが割り当てられた場合、デバイスはセッションごとに異なる送信元IPアドレスを割り当てます。このようなランダム アドレスの割り当ては、セッションごとに同じ送信元 IP アドレスを必要とする複数のセッションを作成するサービスでは問題が発生する可能性があります。たとえば、AOL AIM(インスタント メッセージ)クライアントを使用する場合、複数のセッションに同じ IP アドレスを設定することが重要です。
ルーターが複数の同時セッションに対してソースプールから同じIPアドレスをホストに割り当てるため、ルーターごとに永続的IPアドレスを有効にすることができます。デバイスが単一のセッション期間中にソースプールからホストに同じIPアドレスを割り当てられるようにするには、ペアのアドレスプーリングを有効にします。
例:PAT を使用した複数アドレスのソース NAT の設定
この例では、ポートアドレス変換を使用して、プライベートアドレスブロックのソースNATマッピングをより小さなパブリックアドレスブロックに設定する方法を説明します。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 6 では、trust ゾーンから untrust ゾーンに送信されたパケットの送信元 IP アドレスは、203.0.113.1/32~203.0.113.24/32 の範囲のより小さなパブリック アドレスのブロックにマッピングされています。ソースNATアドレスプールのサイズは、変換が必要となる可能性のある潜在的なアドレスの数よりも小さいため、ポートアドレス変換が使用されます。
ポートアドレス変換には、送信元IPアドレスマッピングを持つ送信元ポート番号が含まれます。これにより、プライベートネットワーク上の複数のアドレスをより少ない数のパブリックIPアドレスにマッピングできます。ソース NAT プールでは、ポート アドレス変換がデフォルトで有効になっています。
を使用した複数アドレス
この例では、以下の設定について説明します。
IP アドレス範囲 203.0.113.1/32~203.0.113.24/32 を含むソース NAT プール
src-nat-pool-1。trustゾーンからtrustゾーンへのすべてのパケットを照合するように設定
rs1されたソースNATルール。一致するパケットの場合、送信元IPアドレスはプール内のIPアドレスにsrc-nat-pool-1変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.1/32~203.0.113.24/32 のプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用して、プライベート アドレス ブロックから小規模なパブリック アドレス ブロックへのソース NAT マッピングを設定するには:
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT プールの使用状況の確認
目的
ソースNATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
PAT なしのソース NAT プールについて
ソース プールを定義すると、Junos OS はデフォルトで PAT を有効にします。PAT を無効にするには、ソース プールを定義する際にポート変換なしを指定する必要があります。
PAT なしのソース プールを使用する場合、Junos OS は、送信元ポート番号の PAT を実行せずに、IP アドレスの送信元ネットワーク アドレス変換を実行します。特定のソース ポート番号を固定したままにする必要があるアプリケーションでは、PAT を使用せずにソース プールを使用する必要があります。
送信元プールには、複数の IP アドレス、複数の IP アドレス範囲、またはその両方を含めることができます。PAT なしのソース プールの場合、Junos OS は、アドレスプール非ペア オプションが有効になっていない限り、すべての同時セッションに対して 1 つの変換された送信元アドレスを同じホストに割り当てます。
PAT なしのソース NAT プールがサポートできるホストの数は、プール内のアドレス数に制限されます。1 つの IP アドレスを持つプールがある場合は、1 つのホストのみをサポートでき、他のホストからのトラフィックは利用可能なリソースがないためブロックされます。NAT リソース割り当てがシャーシ クラスタのアクティブバックアップ モードにない場合、PAT なしのソース NAT プールに単一の IP アドレスが設定されている場合、ノード 1 を介したトラフィックはブロックされます。
PAT なしの各ソース プールのプール使用率が計算されます。アラームしきい値を設定することで、プール使用率アラームを有効にすることができます。SNMP トラップは、プールの使用率がしきい値を超え、しきい値を下回るたびにトリガーされます。
静的 NAT ルールを 1 対 1 の IP 変換に使用する場合は、アドレス共有のないソース no-pat プールを使用する場合は、ルールを宛先ルールとソース ルールに分割しないようにしてください。ルールを分割することを選択した場合は、単一のIPを持つソースパットプールまたは複数のIPを持つソースノーパットプールを使用する必要があります。
例:PAT なしのソース NAT プール内の単一 IP アドレスの設定
この例では、ポートアドレス変換を行うことなく、ソースNATプール内の単一のパブリックアドレスにプライベートアドレスブロックを設定する方法を説明します。
ソース NAT プールでは、PAT がデフォルトで有効になっています。PAT が無効になっている場合、ソース NAT プールが同時にサポートできる変換の数は、プール内のアドレス数に制限されます。ソースNATプールに利用可能なアドレスがない場合、パケットは破棄されます。ただし、 オプションを address-shared 使用すると、トラフィックが異なるソースポートから送信されている限り、その1つのプライベートIPアドレスを単一のパブリックIPアドレスにマッピングできます。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。trustゾーンからuntrustゾーンに送信されたパケットの送信元IPアドレスは、単一のパブリックアドレスにマッピングされます。
この例では、以下の設定について説明します。
IP アドレス 203.0.113.1/30 を含むソース NAT プール
src-nat-pool-1。プールにはport no-translation、address sharedオプションと オプションが指定されています。trustゾーンからtrustゾーンへのすべてのパケットを照合するように設定
rs1されたソースNATルール。一致するパケットの場合、送信元IPアドレスはプール内のIPアドレスにsrc-nat-pool-1変換されます。trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/30 set security nat source pool src-nat-pool-1 port no-translation set security nat source pool-src-nat-pool-1 address-shared set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule1 match source address 192.0.2.0/24 set security nat source rule-set rs1 rule r1 then source src-nat-pool-1
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
PAT を使用せずに、プライベート アドレス ブロックから単一のパブリック アドレスにソース NAT マッピングを設定するには:
共有アドレスに対して単一の IP アドレスを持つソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1/30
オプションを指定します
port no-translation。[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
オプションを指定します
address-shared。[edit security nat source] user@host# set pool pool-src-nat-pool-1 address-shared
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.0.2.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat source pool確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/30
}
port no-translation;
}
address-shared;
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address [192.0.2.0/24]
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
共有アドレスの検証
目的
ソース ポートが異なる 2 つの内部 IP アドレスが、1 つの外部 IP アドレスを共有していることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool 入力します。 [アドレス割り当て ] フィールドを表示して、共有されていることを確認します。
例:PAT を使用しないソース NAT プール内の複数アドレスの設定
この例では、ポートアドレス変換を行うことなく、プライベートアドレスブロックのソースNATマッピングをより小さなパブリックアドレスブロックに設定する方法を説明します。
ソース NAT プールでは、ポート アドレス変換がデフォルトで有効になっています。ポートアドレス変換が無効になっている場合、ソースNATプールが同時にサポートできる変換数は、プール内のアドレス数に制限されます。ソースNATプールに利用可能なアドレスがない場合、パケットは破棄されます。元のソース NAT プールで使用可能なアドレスがない場合に、IP アドレスとポート番号を割り当てるオーバーフロー プールをオプションで指定できます。
要件
開始する前に、以下を行います。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティ ゾーンについてを参照してください。
概要
この例では、プライベート アドレス 空間に trust セキュリティ ゾーンを使用し、パブリック アドレス スペースには untrust セキュリティ ゾーンを使用します。 図 7 では、trust ゾーンから untrust ゾーンに送信されたパケットの送信元 IP アドレスは、203.0.113.1/32~203.0.113.24/32 の範囲のより小さなパブリック アドレスのブロックにマッピングされています。
なしのソース NAT 複数アドレス
この例では、以下の設定について説明します。
IP アドレス範囲 203.0.113.1/32~203.0.113.24/32 を含むソース NAT プール
src-nat-pool-1。このport no-translationオプションはプールに対して指定されます。trustゾーンからtrustゾーンへのすべてのパケットを照合するように設定
rs1されたソースNATルール。一致するパケットの場合、送信元IPアドレスはプール内のIPアドレスにsrc-nat-pool-1変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.1/32~203.0.113.24/32 のプロキシ ARP。これにより、ジュニパーネットワークスのセキュリティ デバイスは、そのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシー。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source pool src-nat-pool-1 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
手順
以下の例では、設定階層内のさまざまなレベルを移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
プライベート アドレス ブロックから PAT なしの小規模なパブリック アドレス ブロックへのソース NAT マッピングを設定するには:
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
オプションを指定します
port no-translation。[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
パケットと一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
trustゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-pool-1 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
port no-translation;
}
rule-set rs1 {
from zone trust;
to zone untrust;
rule r1 {
match {
source-address 0.0.0.0/0;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
src-nat-pool-1;
}
}
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.24/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ソース NAT プールの使用状況の確認
目的
ソースNATプールからのIPアドレスを使用したトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source pool all 入力します。[Translation hits]フィールドを表示して、プールからのIPアドレスを使用してトラフィックを確認します。
ソース NAT ルールの使用の確認
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[翻訳がヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
NAT セッションの持続性について
NAT(ネットワーク アドレス変換)セッションの保持は、NAT 設定に変更があった場合に既存のセッションを消去するのではなく、保持する手段を提供します。セッションの持続性が有効になっている場合、保持されたセッションは、時間とリソースが影響を受けたセッションを再構築するのに最適に使用される際に、パケットの処理と転送を継続します。したがって、一部またはすべてのセッションでNAT設定が変更されても、パケット転送は停止しません。
Junos OS リリース 18.3R1 以降では、NAT セッション保持のサポートにより、パケット転送エンジンがセッションをスキャンし、セッションを維持するか、セッションをクリアするかを決定します。Junos OSリリース18.3R1以前のリリースでは、NAT設定に変更がある場合、NATセッションはクリアされます。
パケット転送エンジンは、セッションを保持するかドロップするかを決定するために、以下の2種類のスキャンを実行します。
Source NAT pool session persistence scan—パケット転送エンジンは、既存のセッションIPアドレスと送信元プールアドレス範囲を比較します。既存のセッションIPアドレスが指定されたソースプールアドレス範囲にある場合、セッションは生き続け、それ以外の場合はセッションがクリアされます。
Source NAT rule session persistence scan—パケット転送エンジンは、ルール ID を使用して、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、および宛先ポートを新旧の設定と比較します。新しい設定と古い設定が同じ場合、セッションは生き続け、それ以外の場合はセッションがクリアされます。
静的 NAT およびディスティネーション NAT では、NAT セッション持続性はサポートされていません。
PAT プールがアドレスパーシステント、アドレス プーリングペア、送信元アドレスパーシスタント、ポート ブロック割り当て、ポート決定論的、永続的 nat、ポート オーバーロード ファクタ フィールドで設定されている場合、NAT セッションの持続性はサポートされません。
NAT セッション持続性は、以下のシナリオではソース NAT に対してのみサポートされます。
送信元プール—ポートアドレス変換(PAT)プールのアドレス範囲を変更します。
送信元ルール — アドレス帳、アプリケーション、宛先 IP アドレス、宛先ポート、送信元 IP アドレス、宛先ポート情報の照合条件を変更します。
NAT セッションの持続性スキャンを有効にするには、 階層レベルで ステートメントを[edit security nat source]含session-persistence-scanめます。
また、CLI コマンドを使用して、タイムアウト値を設定して、指定した期間のセッションを set security nat source session-drop-hold-down 保持することもできます。オプションの値の session-drop-hold-down 範囲は30~28,800秒(8時間)です。セッションは、設定されたタイムアウト期間の後に期限切れになります。
NAT セッション保持の制限事項
NAT ソース プールで IP アドレスに変更が発生した場合、新しく設定された IP アドレスが NAT ソース プールに追加されます。NAT ソース プールの再構築後、新しい IP アドレスは既存の IP アドレスと同じではありません。NAT ソース プールの IP アドレスの違いは、NAT ソース プールから IP アドレスを選択するラウンドロビン モードに影響を与えます。
スキャン タイプによって、タイムアウトしないセッション(つまり、値が設定されていないセッションまたは 8 時間として設定されているセッション
session-drop-hold-down)が識別された場合、パケット転送エンジンはこれらのセッションを無視し、セッションは保持されます。
ポート ブロック割り当てサイズの設定
開始する前に、以下を行います。
ポートブロック割り当てを設定するためのガイドラインを理解する。 セキュア ポート ブロック割り当ての設定に関するガイドラインを参照してください。
NAT加入者にポートのブロックを割り当てるセキュアなポートブロック割り当てを設定できます。ポートブロック割り当てでは、加入者に割り当てられたポートのセットごとに1つのsyslogログを生成します。ポートブロック割り当てサイズを設定するには、次の手順を使用します。
NATセッションホールドタイムアウトとNATセッション持続性スキャンの設定
この設定は、NATセッションホールドタイムアウトとNATセッション持続性を設定する方法を示しています。
Configuring NAT Session Hold Timeout
以下の設定は、NATセッションホールドタイムアウトを設定する方法を示しています。
NATセッションホールドタイムアウト期間を設定するには:
[edit security nat source] user@host#
set session-drop-hold-down time;時間変数の値の範囲は30~28,800秒(8時間)です。セッションは、設定されたタイムアウト期間の後に期限切れになります。
Results
設定モードから、 コマンドを入力して設定を show security 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security
nat {
source {
session-drop-hold-down 28800;
}
}
Configuring NAT Session Persistence Scan
以下の設定は、NATセッション持続性スキャンを設定する方法を示しています。
NAT セッションの持続性スキャンを有効にするには、以下の手順にしたがっています。
[edit security nat source] user@host#
set session-persistence-scan
Results
設定モードから、 コマンドを入力して設定を show security 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security
nat {
source {
session-persistence-scan;
}
}
再ルート後のエグレスインターフェイスでのNAT設定チェックについて
NAT(ネットワークアドレス変換)設定は、多くの場合、より多くのユーザーに対応し、トラフィック転送の最短ルートを強化するために変更されます。トラフィックの再ルーティングが原因でエグレスインターフェイスが変更された場合、 コマンドを set security flow enable-reroute-uniform-link-check nat 使用して既存のNAT設定とルールを保持できます。
コマンドが enable-reroute-uniform-link-check nat 有効な場合:
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンに存在し、一致したNATルールに変更がない場合、または再ルーティングの前後にルールが適用されない場合、セッションは既存のNATルールで保持されます。
新しいエグレスインターフェイスと以前のエグレスインターフェイスが同じセキュリティゾーンで、一致したNATルールが変更された場合、セッションは期限切れになります。
コマンドが enable-reroute-uniform-link-check nat 無効になっている場合:
新しいエグレス インターフェイスと以前のエグレス インターフェイスが同じセキュリティ ゾーンにある場合、トラフィックは新しいエグレス インターフェイスに転送されます。
Configuration
リルーティングによりエグレスインターフェイスに変更が発生した場合、既存のセッションのNAT設定を有効にするには、次のコマンドを使用します。
[edit] user@host# set security flow enable-reroute-uniform-link-check nat設定変更をコミットすると、新しい設定が適用されます。
は enable-reroute-uniform-link-check nat command デフォルトで無効になっています。
Limitations
コマンドを使用したNAT設定の set security flow enable-reroute-uniform-link-check nat 保持には、以下の制限があります。
TCP同期では、新しいセッションがトラフィックを転送することはできません。新しいセッションでのトラフィックの転送を許可するには、TCP同期を無効にする必要があります。
3 方向のハンドシェイクを使用して通信を初期化した後に再ルートを開始すると、パケット情報が失われる可能性があります。新しいセッションのトラフィック転送を許可するには、ALG(アプリケーションレイヤーゲートウェイ)などのJunos OSサービスフレームワーク(JSF)を無効にする必要があります。
edit security nat sourceを使用して
port-scaling-enlargement、SRX5400、SRX5600、SRX5600、SRX5800 デバイスのソース NAT ポート容量を 2.4G に増やすことができます。