IPv6 NAT
IPv6 NATは、IPv4アドレスをネットワークデバイスのIPv6アドレスに変換するのに役立ちます。また、IPv6 NAT は、IPv6 ホスト間のアドレス変換にも役立ちます。IPv6 NAT は、ソース NAT、ディスティネーション NAT、スタティック NAT をサポートします。
IPv6 NAT の概要
IPv6 は、枯渇が迫っている IPv4 アドレス空間よりも、非常に大きなアドレス空間を持っています。IPv4 は、NAT(ネットワーク アドレス変換)などの技術を使用して拡張されました。この技術では、プライベート アドレスの範囲を単一のパブリック アドレスで表したり、一時的なアドレスを割り当てることができます。従来の IPv4 ホストがインターネットへの接続を維持するための移行メカニズムを提供する技術は数多く存在します。IPv6 NATは、IPv4とIPv6アドレス対応ネットワークデバイス間のアドレス変換を提供します。また、IPv6 ホスト間のアドレス変換も提供します。IPv6ホスト間のNATは、IPv4 NATと同様の方法で行われます。
Junos OS の IPv6 NAT は、以下の NAT タイプを提供します。
NAT-Src
ディスティネーション NAT
静的 NAT
IPv6 NAT でサポートされるソース NAT 変換
ソースNATとは、ジュニパーネットワークスデバイスから離れるパケットの送信元IPアドレスの変換のことです。ソース NAT は、プライベート IP アドレスを持つホストがパブリック ネットワークにアクセスできるようにするために使用されます。
Junos OS の IPv6 NAT は、以下のソース NAT 変換をサポートしています。
ポートアドレス変換を行うことなく、1つのIPv6サブネットを別のIPv6サブネットに変換
IPv4 アドレスから IPv6 プレフィックス + IPv4 アドレスへの変換
ポートアドレス変換の有無にかかわらず、IPv6ホストをIPv6ホストに変換
ポートアドレス変換の有無にかかわらず、IPv6ホストをIPv4ホストに変換
ポートアドレス変換の有無にかかわらず、IPv4ホストをIPv6ホストに変換
IPv6 NAT でサポートされるディスティネーション NAT マッピング
宛先 NAT は、ジュニパーネットワークス デバイスに入るパケットの宛先 IP アドレスの変換です。宛先 NAT は、仮想ホスト宛てのトラフィック(元の宛先 IP アドレスで識別されます)を実際のホスト(変換された宛先 IP アドレスで識別)にリダイレクトするために使用されます。
Junos OS の IPv6 NAT は、以下の宛先 NAT 変換をサポートします。
IPv4 と IPv6 のプレフィックス変換
1つのIPv6サブネットを別のIPv6サブネットにマッピング
1 つの IPv6 サブネットを IPv6 ホストにマッピングする
1つのIPv6サブネットを1つのIPv4サブネットにマッピング
1つのIPv4サブネットを1つのIPv6サブネットにマッピング
1つのIPv6ホスト(およびオプションのポート番号)を1つの特別なIPv6ホスト(およびオプションのポート番号)にマッピングする
1つのIPv6ホスト(およびオプションのポート番号)を1つの特別なIPv4ホスト(およびオプションのポート番号)にマッピングする
1つのIPv4ホスト(およびオプションのポート番号)を1つの特別なIPv6ホスト(およびオプションのポート番号)にマッピングする
IPv6 NAT でサポートされるスタティック NAT マッピング
静的NATは、あるIPサブネットから別のIPサブネットへの1対1マッピングを定義します。マッピングには、一方向への宛先 IP アドレス変換と逆方向の送信元 IP アドレス変換が含まれます。NAT デバイスから、元の宛先アドレスは仮想ホスト IP アドレスで、マッピングされた宛先アドレスは実際のホスト IP アドレスです。
Junos OS の IPv6 NAT は、次の静的 NAT 変換をサポートしています。
1つのIPv6サブネットを別のIPv6サブネットに変換
1つのIPv6ホストを別のIPv6ホストに変換
1 つの IPv4 アドレス a.b.c.d から IPv6 アドレスへの変換プレフィックス::a.b.c.d
IPv4 ホストから IPv6 ホストへの変換
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用したIPv6ノードへのIPv4開始接続の設定を参照してください。
IPv6 ホストから IPv4 ホストへの変換
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用したIPv4ノードへのIPv6開始接続の設定を参照してください。
1つのIPv6プレフィックスを1つのIPv4プレフィックスにマッピング
1 つの IPv4 プレフィックスから 1 つの IPv6 プレフィックスへのマッピング
IPv6 NAT PT の概要
Junos OS リリース 20.2R1 以降、MX240、MX480、MX960 ルーターで IPv6 NAT-PT 次世代サービスを実行できるようになりました。
IPv6ネットワークアドレス変換プロトコル変換(NAT-PT)は、IPv4とIPv6アドレス対応ネットワークデバイス間のアドレス割り当てとプロトコル変換を提供します。変換プロセスは、ステートレス IP/ICMP 変換(SIIT)方法に基づいています。ただし、各通信の状態とコンテキストは、セッションの有効期間中に保持されます。IPv6 NAT-PTは、ICMP(インターネット制御メッセージプロトコル)、TCP、UDPパケットをサポートしています。
IPv6 NAT-PTは、以下のタイプのNAT-PTをサポートしています。
従来の NAT-PT—従来の NAT-PT では、セッションは単方向で、IPv6 ネットワークから送信されます。従来の NAT-PT では、IPv6 ネットワーク内のホストが IPv4 ネットワーク内のホストにアクセスできます。従来の NAT-PT には、基本的な NAT-PT と NAPT-PT の 2 種類があります。
基本的なNAT-PTでは、IPv4インターフェイスにおけるIPv4アドレスのブロックは、IPv4ホストへのセッションを開始する際に、アドレスをIPv6ホストとして変換するために脇に置きます。基本的な NAT-PT は、送信元 IP アドレスと、IPv6 ドメインから送信されるパケットの IP、TCP、UDP、ICMP ヘッダー チェックサムなどの関連フィールドを変換します。インバウンド パケットでは、宛先 IP アドレスとチェックサムを変換します。
ネットワーク アドレス ポート変換プロトコル変換(NAPT-PT)を基本的な NAT-PT と組み合わせることが可能なため、外部アドレスのプールをポート変換と組み合わせて使用できます。NAPT-PT では、一連の IPv6 ホストで 1 つの IPv4 アドレスを共有できます。NAPT-PT は、IPv6 ネットワークから送信されるパケットに対して、送信元 IP アドレス、送信元トランスポート識別子、および IP、TCP、UDP、ICMP ヘッダー チェックサムなどの関連フィールドを変換します。トランスポート識別子には、TCP/UDPポートまたはICMPクエリIDを使用できます。インバウンド パケットの場合、宛先 IP アドレス、宛先トランスポート識別子、IP およびトランスポート ヘッダー チェックサムを変換します。
双方向NAT-PT—双方向NAT-PTでは、IPv4ネットワークおよびIPv6ネットワーク内のホストからセッションを開始できます。IPv6ネットワークアドレスは、静的または動的にIPv4アドレスにバインドされ、どちらの方向にも接続が確立されます。静的設定は、静的 NAT 変換と似ています。アドレス解決に DNS を使用して、IPv6 レルム内の IPv4 レルムのホストにアクセスします。DNS ALGは、名前からアドレスへのマッピングを容易にするために、双方向NAT-PTと組み合わせて採用する必要があります。特に、DNS ALG は、DNS クエリーや応答の IPv6 アドレスを IPv4 アドレス バインディングに変換できなければなりません。また、DNS パケットが IPv6 と IPv4 のレルム間を通過する場合も同様です。
メモ:デバイスは、双方向NAT-PT仕様を部分的にサポートしています。IPv6 アドレスと動的に割り当てられた IPv4 アドレスの間にマッピングを伝達する方法が他にあると仮定して、双方向トラフィックのフローをサポートします。例えば、アドレスを識別するために、IPv4ノードにマッピングされたエントリーでローカルDNSを設定することができます。
NAT- PT 動作—デバイスは従来の NAT-PT をサポートし、ユーザーが IPv4 から IPv6 に通信するための静的マッピングを可能にします。ユーザーは、ホスト名のIPv4アドレスでDNSサーバーを静的に設定し、デバイス上でIPv6のみのノードに静的NATを作成して、IPv4専用ノードからDNSに基づくIPv6専用ノードに通信する必要があります。
「」も参照
IPv6 NAT-PT 通信の概要
NAT-PT communication with static mapping— ネットワーク アドレス変換プロトコル変換(NAT-PT)は、IPv6 から IPv4 まで、またはその逆の 2 方向で実行できます。各方向について、宛先ホストをローカル アドレスにマッピングするために静的 NAT を使用し、送信元アドレス NAT を使用して送信元アドレスを変換します。静的 NAT とソース NAT マッピングには、1 対 1 マッピングとプレフィックスベース マッピングの 2 種類があります。
NAT- PT communication with DNS ALG—DNS ベースのメカニズムが、IPv6 アドレスを IPv4 専用サーバーに動的にマッピングします。NAT-PT は DNS ALG を使用して変換を透過的に実行します。たとえば、内部 IPv6 ネットワークを使用している企業は、IPv6 アドレスがまだない外部 IPv4 サーバーと通信できる必要があります。
動的アドレス バインディングをサポートするには、名前解決に DNS を使用する必要があります。IPv4ホストは、ローカルに設定されたIPv4 DNSサーバーでIPv6ノードの名前を検索し、NAT-PTを使用するデバイスを介してIPv6 DNSサーバーにクエリーを渡します。
NATデバイスのDNS ALG:
IPv6 アドレス解決を IPv4 アドレス解決に戻します。
マッピングに IPv6 アドレスを割り当てます。
割り当てられたIPv4アドレスのマッピングをIPv6アドレス解決で返されたIPv6アドレスに格納し、任意のIPv4ホストからIPv6ホストにセッションを確立できるようにします。
「」も参照
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用したIPv6ノードへのIPv4開始接続の設定
この例では、デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv6ノードへのIPv4開始接続を設定する方法を示します。
要件
開始する前に、インターフェイスを設定してセキュリティ ゾーンに割り当てます。
概要
以下の例では、インターフェイスに静的マッピング126ベースのIPv6アドレスを定義し、デバイスに静的マッピング/126を設定するIPv6ノードへのIPv4開始接続を設定する方法を説明します。この例では、IPv4 アドレスにマッピングされる IPv6 アドレスが、IPv6 アドレス・スペースの一部である IPv4 アドレスを作っていることを想定しています。
IPv4からIPv6ノードへのIPv4開始接続の設定は、IPv4ネットワーク上のデバイスをIPv6ネットワーク上のデバイスと相互接続する必要がある場合や、IPv4ネットワークをIPv6ネットワークに移行する際に便利です。このマッピングは、IPv6アドレスからのIPv4アドレスの逆ルックアップに対して、DNS ALGに対して、IPv6ネットワークから開始されたトラフィックに対して使用できます。また、このプロセスは、NAT/PTデバイスの反対側にあるIPv6ノードとのIPv4ノードから開始されるセッションの接続も提供します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。
静的宛先アドレス1対1マッピングを使用して、IPv6ノードへのIPv4開始接続を設定するには:
-
インターフェイスに静的 NAT ルール セットを設定します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
宛先アドレスプレフィックスに一致するルールを定義します。
メモ:一致ルールの宛先アドレス番号は、static-nat プレフィックス範囲と同じ数値にする必要があります。
一致ルールの送信元アドレス番号に制限はありません。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
デバイスの静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
IPv6 アドレスプレフィックスでソース NAT プールを設定します。
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
インターフェイスにソースNATルールセットを設定します。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
IPv6 ソース NAT 送信元アドレスを設定します。
メモ:一致ルールの送信元アドレス番号は、送信元プール範囲と同じアドレス番号にする必要があります。たとえば、^2(32 – 30) = 2^(128 – 126) = >。
一致ルールの宛先アドレス番号には制限はありません。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
IPv6 ソース NAT 宛先アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
ルールで設定されたソース NAT IPv6 プールを定義します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
結果
設定モードから、 コマンドを入力して設定を show security nat
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
source { pool myipv6_prefix { address { 2001:db8::/126; } } rule-set myipv6_rs { from interface ge-0/0/0.0; to interface ge-0/0/1.0; rule ipv6_rule { match { source-address 10.1.1.45/30; destination-address 2001:db8::/96; } then { source-nat { pool { myipv6_prefix; } } } } } } static { rule-set test_rs { from interface ge-0/0/0.0; rule test_rule { match { destination-address 10.1.1.0/30; } then { static-nat { prefix { 2001:db8::/126; } } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 コマンドを show security nat static
入力します。
例:静的宛先アドレス1対1マッピングを使用したIPv6ノードへのIPv4開始接続の設定
この例では、静的宛先アドレス1対1マッピングを使用して、IPv6ノードへのIPv4開始接続を設定する方法を示します。
要件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティ ゾーンに割り当てます。
概要
以下の例では、デバイス上で1対1の静的NATを使用してIPv6ノードと通信するようにIPv4ノードを設定する方法を説明します。
IPv4 ノードと IPv6 ノードの通信は、IPv6 サーバーにアクセスする IPv4 ホスト、IPv6 のみをサポートし、IPv6 ネットワークに接続する必要がある新しいサーバー、およびほとんどのマシンがすでに IPv6 に移行している場合に古いホストを新しいサーバーに移行する場合に便利です。例えば、この機能を使用して、IPv4専用ノードをIPv6専用プリンターに接続することができます。このマッピングは、IPv6ネットワークから開始されるトラフィックのIPv6アドレスからIPv4アドレスを逆ルックアップするためにDNS ALGに使用することもできます。
この例では、プレフィックス10.10.10.1/30に一致する送信元IPv4アドレスがIPv6プレフィックス2001:db8::/96に追加され、 送信元 IPv6 アドレスと宛先 IPv4 アドレス 10.1.1.25/32 は、IPv6 アドレス 2001:db8::25/128 に変換されます。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
静的宛先アドレス1対1マッピングを使用して、IPv6ノードへのIPv4開始接続を設定するには:
インターフェイスに静的 NAT ルール セットを設定します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
ルールと宛先アドレスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
IPv6 プレフィックス アドレスを使用してソース NAT プールを設定します。
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
ソース NAT ルール セットを設定します。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
ソース NAT 送信元アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
ソース NAT 宛先アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
ルールで設定されたソース NAT IPv6 プールを定義します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
結果
設定モードから、 コマンドを入力して設定を show security nat
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security nat source { pool myipv6_prefix { address { 2001:db8::/96; } } rule-set myipv6_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv6_rule { match { source-address 10.10.10.1/30; destination-address 2001:db8::25; } then { source-nat { pool { myipv6_prefix; } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 10.1.1.25/32; } then { static-nat prefix 2001:db8::25/128; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 コマンドを show security nat static
入力します。
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用した、IPv4ノードへのIPv6開始接続の設定
この例では、デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv4ノードへのIPv6開始接続を設定する方法を示します。この例では、逆方向に NAT 変換を設定する方法については説明しません。
要件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティ ゾーンに割り当てます。
概要
以下の例では、デバイスで定義されたプレフィックスベースの静的NATを持つIPv4ノードとのIPv6ノードの通信について説明します。静的NATは、IPv4ネットワークが特別なIPv6ネットワーク(つまり、IPv4にマッピングされたIPv6ネットワーク)であると仮定し、IPv6プレフィックスの背後にIPv4ネットワーク全体を隠します。
IPv6 ノードと IPv4 ノードの通信は、ネットワークで IPv6 を使用し、IPv4 ネットワークに接続する必要がある場合、またはネットワークで IPv4 と IPv6 の両方を使用し、移行中に 2 つのネットワークを相互接続するためのメカニズムが必要な場合に便利です。また、NAT/PTデバイスの反対側にあるIPv4ノードとのIPv6ノードから開始されるセッションにも接続できます。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv4ノードへのIPv6開始接続を設定するには:
インターフェイスに静的 NAT を設定します。
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
デバイスで定義された静的NAT変換のプレフィックスでルールと宛先アドレスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
静的 NAT を inet として定義し、IPv4 アドレスに変換します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
IPv4 ソース NAT プール アドレスを設定します。
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
ソース NAT ルール セットを設定します。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
IPv4 ソース NAT 宛先アドレスを設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
デバイスで定義されたソースNATのプレフィックスで送信元アドレスを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
ルールで設定されたソース NAT IPv4 プールを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
結果
設定モードから、 コマンドを入力して設定を show security nat
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security nat source { pool myipv4 { address { 203.0.113.2/32 to 203.0.113.5/32; } } rule-set myipv4_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv4_rule { match { source-address 2001:db8::/96; destination-address 10.1.1.15/30; } then { source-nat { pool { myipv4; } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 2001:db8::1/96; } then { static-nat inet; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 コマンドを show security nat static rule
入力します。
user@host> show security nat static rule test_rule Static NAT rule: test_rule Rule-set: test_rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/1.0 Destination addresses : 2001:db8::1 Host addresses : 0.0.0.0 Netmask : 96 Host routing-instance : N/A Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
ソースNATが設定されていることを確認する
目的
ソース NAT が設定されているかどうかを確認します。
アクション
動作モードから、 コマンドを show security nat source rule
入力します。
user@host> show security nat source rule ipv4_rule source NAT rule: ipv4_rule Rule-set: myipv4_rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/1.0 To interface : ge-0/0/2.0 Match Source addresses : 2001:db8:: - 2001:db8::ffff:ffff Destination addresses : 10.1.1.15 - 10.1.1.15 Action : myipv4 Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
動作モードから、 コマンドを show security nat source pool
入力します。
user@host> show security nat source pool myipv4 Pool name : myipv4 Pool id : 5 Routing instance : default Host address base : 0.0.0.0 Port : [1024, 63487] Twin port : [63488, 65535] Port overloading : 1 Address assignment : no-paired Total addresses : 4 Translation hits : 0 Address range Single Ports Twin Ports 203.0.113.2 - 203.0.113.5 0 0
例:静的宛先アドレス1対1マッピングを使用したIPv4ノードへのIPv6開始接続の設定
この例では、静的宛先アドレス1対1マッピングを使用して、IPv4ノードへのIPv6開始接続を設定する方法を示します。
要件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティ ゾーンに割り当てます。
概要
以下の例では、デバイスで定義された1対1の静的NATアドレスを持つIPv4ノードとのIPv6ノードの通信について説明します。IPv6 ノードと IPv4 ノードの通信により、IPv6 ホストは、どちらのデバイスもデュアル スタックを持たず、通信に NAT/PT デバイスに依存する必要がある場合に IPv4 サーバーにアクセスできます。これにより、一部の IPv4 レガシー サーバー アプリケーションは、ネットワークが IPv6 に移行した後でも機能します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
静的宛先アドレス1対1マッピングを使用して、IPv4ノードへのIPv6開始接続を設定するには:
インターフェイスに静的 NAT ルール セットを設定します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
宛先アドレスと一致するルールを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
ルールに静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
IPv4 アドレスを使用してソース NAT プールを設定します。
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
インターフェイスのIPv4アドレスを設定します。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
IPv4 ソース NAT アドレスに送信元アドレスを設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
IPv4 ソース NAT アドレスに宛先アドレスを設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
ルールで設定されたソース NAT IPv4 プールを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
結果
設定モードから、 コマンドを入力して設定を show security nat
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security nat source { pool myipv4 { address { 203.0.113.2/32 to 203.0.113.3/32; } } rule-set myipv4_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv4_rule { match { source-address 2001:db8::/96; destination-address 10.2.2.15/32; } then { source-nat { pool { myipv4; } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 2001:db8::15/128; } then { static-nat prefix 10.2.2.15/32; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで設定されているかどうかを確認します。
アクション
動作モードから、 コマンドを show security nat static
入力します。