IPv6 NAT
IPv6 NAT は、ネットワーク デバイスの IPv4 アドレスを IPv6 アドレスに変換するのに役立ちます。IPv6 NAT は、IPv6 ホスト間のアドレス変換にも役立ちます。IPv6 NAT は、送信元 NAT、宛先 NAT、および静的 NAT をサポートします。
NAT64 変換を実行する場合、IPv6 フラグメンテーション ヘッダーの問題を回避するには、 set security nat natv6v4 no-v6-frag-header コマンドを使用します。
IPv6 NAT の概要
IPv6 のアドレス空間は、枯渇が間近に迫っている IPv4 アドレス空間よりもはるかに大きなものです。IPv4は、プライベートアドレスの範囲を単一のパブリックアドレスで表すことができるNAT(ネットワークアドレス変換)や、一時的なアドレス割り当てなどの技術を使用して拡張されています。従来の IPv4 ホストがインターネットへの接続を維持するための移行メカニズムを提供するテクノロジは多数あります。IPv6 NAT は、IPv4 アドレスと IPv6 アドレスのネットワーク デバイス間のアドレス変換を提供します。また、IPv6 ホスト間のアドレス変換も提供します。IPv6ホスト間のNATは、IPv4 NATと同様の方法および目的で行われます。
Junos OS の IPv6 NAT は、以下の NAT タイプを提供します。
ソースNAT
ディスティネーション NAT
静的 NAT
IPv6 NATでサポートされるソースNAT変換
送信元NATとは、ジュニパーネットワークスデバイスから出るパケットの送信元IPアドレスを変換したものです。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
Junos OS の IPv6 NAT は、以下の NAT 変換をサポートしています。
ポートアドレス変換を伴わない、ある IPv6 サブネットから別の IPv6 サブネットへの変換
IPv4 アドレスから IPv6 プレフィックス + IPv4 アドレスへの変換
ポートアドレス変換の有無にかかわらず、IPv6ホストからIPv6ホストへの変換
IPv6ホストからIPv4ホストへの変換(ポートアドレス変換あり/なし)
IPv4 ホストから IPv6 ホストへの変換(ポート アドレス変換の有無は問いません)
IPv6 NAT でサポートされる宛先 NAT マッピング
宛先 NAT とは、ジュニパーネットワークスのデバイスに入るパケットの宛先 IP アドレスを変換したものです。宛先NATは、仮想ホスト(元のIP アドレスで識別)を宛先とするトラフィックを実際のホスト(変換後のIP アドレスで識別)にリダイレクトするために使用されます。
Junos OS の IPv6 NAT は、以下の宛先 NAT 変換をサポートしています。
IPv4 と IPv6 プレフィックス間のプレフィックス変換
ある IPv6 サブネットから別の IPv6 サブネットへのマッピング
1 つの IPv6 サブネットから IPv6 ホストへのマッピング
1 つの IPv6 サブネットから 1 つの IPv4 サブネットへのマッピング
1 つの IPv4 サブネットから 1 つの IPv6 サブネットへのマッピング
1 つの IPv6 ホスト (およびオプションのポート番号) から 1 つの特別な IPv6 ホスト (およびオプションのポート番号) へのマッピング
1 つの IPv6 ホスト (およびオプションのポート番号) から 1 つの特別な IPv4 ホスト (およびオプションのポート番号) へのマッピング
1 つの IPv4 ホスト (およびオプションのポート番号) から 1 つの特別な IPv6 ホスト (およびオプションのポート番号) へのマッピング
IPv6 NAT でサポートされる静的 NAT マッピング
静的 NAT は、1 つの IP サブネットから別の IP サブネットへの 1 対 1 のマッピングを定義します。マッピングには、一方向へのIP アドレス変換と逆方向への送信元 IP アドレス変換が含まれます。NAT デバイスからは、元の宛先アドレスは仮想ホストの IP アドレスで、マッピング先アドレスは実際のホストの IP アドレスです。
Junos OS の IPv6 NAT は、以下の静的 NAT 変換をサポートしています。
ある IPv6 サブネットから別の IPv6 サブネットへの変換
ある IPv6 ホストから別の IPv6 ホストへの変換
1つのIPv4アドレスa.b.c.dからIPv6アドレスPrefix::a.b.c.dへの変換
IPv4 ホストから IPv6 ホストへの変換
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用した IPv6 ノードへの IPv4 開始接続の設定を参照してください。
IPv6 ホストから IPv4 ホストへの変換
例:デフォルトの宛先アドレスプレフィックス静的マッピングを使用したIPv4ノードへのIPv6開始接続の設定を参照してください。
1 つの IPv6 プレフィックスから 1 つの IPv4 プレフィックスへのマッピング
例:静的宛先アドレス 1 対 1 のマッピングを使用した IPv4 ノードへの IPv6 開始接続の設定を参照してください。
1 つの IPv4 プレフィックスから 1 つの IPv6 プレフィックスへのマッピング
例:静的宛先アドレス 1 対 1 のマッピングを使用した IPv6 ノードへの IPv4 開始接続の設定を参照してください。
IPv6 NAT PT の概要
IPv6 ネットワークアドレス変換プロトコル変換(NAT-PT)は、IPv4 および IPv6 アドレス指定されたネットワーク デバイス間のアドレス割り当てとプロトコル変換を提供します。変換プロセスは、ステートレスIP/ICMP変換(SIIT)方式に基づいています。ただし、各通信の状態とコンテキストは、セッションの有効期間中保持されます。IPv6 NAT-PTは、インターネット制御メッセージプロトコル(ICMP)、TCP、およびUDPパケットをサポートします。
IPv6 NAT-PT は、以下のタイプの NAT-PT をサポートします。
従来の NAT-PT—従来の NAT-PT では、セッションは単方向であり、IPv6 ネットワークから発信されます。従来の NAT-PT では、IPv6 ネットワーク内のホストが IPv4 ネットワーク内のホストにアクセスできます。従来の NAT-PT には、基本 NAT-PT と NAPT-PT の 2 つのバリエーションがあります。
基本的な NAT-PT では、IPv4 インターフェイスの IPv4 アドレスのブロックは、アドレスが IPv4 ホストへのセッションを開始するときに、アドレスを IPv6 ホストとして変換するために確保されます。基本的な NAT-PT は、IPv6 ドメインから送信されるパケットの送信元 IP アドレスと関連フィールド(IP、TCP、UDP、ICMP ヘッダー チェックサムなど)を変換します。インバウンド パケットの場合は、IP アドレスとチェックサムが変換されます。
ネットワーク アドレス ポート変換プロトコル変換(NAPT-PT)は、基本的な NAT-PT と組み合わせて、外部アドレスのプールをポート変換と組み合わせて使用することができます。NAPT-PT では、一連の IPv6 ホストが 1 つの IPv4 アドレスを共有できます。NAPT-PT は、IPv6 ネットワークから送信されるパケットの送信元 IP アドレス、送信元トランスポート識別子、および関連フィールド(IP、TCP、UDP、ICMP ヘッダー チェックサムなど)を変換します。トランスポート識別子は、TCP/UDPポートまたはICMPクエリIDです。着信パケットの場合は、宛先 IP アドレス、宛先トランスポート識別子、および IP とトランスポート ヘッダーのチェックサムを変換します。
双方向 NAT-PT—双方向NAT-PT では、IPv6 ネットワークだけでなく IPv4 ネットワークのホストからもセッションを開始できます。IPv6 ネットワーク アドレスは、静的または動的に IPv4 アドレスにバインドされ、どちらの方向でも接続が確立されます。静的設定は、静的 NAT 変換と似ています。IPv4 レルムのホストは、アドレス解決に DNS を使用して IPv6 レルム内のホストにアクセスします。名前とアドレスのマッピングを容易にするために、DNS ALGを双方向NAT-PTと組み合わせて採用する必要があります。具体的には、DNS ALG は、DNS パケットが IPv6 レルムと IPv4 レルム間を通過する際に、DNS クエリと応答の IPv6 アドレスを IPv4 アドレス バインディングに、またはその逆に変換できる必要があります。
これらのデバイスは、双方向NAT-PT仕様を部分的にサポートしています。IPv6 アドレスと動的に割り当てられた IPv4 アドレス間のマッピングを伝える他の方法があると仮定して、双方向トラフィックのフローをサポートします。例えば、IPv4ノードがアドレスを識別するために、マッピングされたエントリーでローカルDNSを設定できます。
NAT-PT動作-デバイスは従来のNAT-PTをサポートし、ユーザがIPv4からIPv6に通信するための静的マッピングを可能にします。ユーザは、ホスト名に IPv4 アドレスを使用して DNS サーバーを静的に設定し、IPv6 専用ノードが DNS に基づいて IPv4 専用ノードから IPv6 専用ノードに通信できるように、デバイス上に静的 NAT を作成する必要があります。
参照
IPv6 NAT-PT 通信の概要
NAT-PT communication with static mapping— ネットワークアドレス変換プロトコル変換(NAT-PT)は、IPv6からIPv4に、またはその逆の双方向で実行できます。各方向では、静的NATを使用して宛先ホストをローカルアドレスにマッピングし、送信元アドレスNATを使用して送信元アドレスを変換します。静的NATおよび送信元NATマッピングには、1対1マッピングとプレフィックスベースマッピングの2種類があります。
NAT- PT communication with DNS ALG- DNS ベースのメカニズムが、IPv6 アドレスを IPv4 専用サーバーに動的にマッピングします。NAT-PT は DNS ALG を使用して透過的に変換を行います。たとえば、内部 IPv6 ネットワークを使用している会社は、まだ IPv6 アドレスを持たない外部 IPv4 サーバーと通信できる必要があります。
動的アドレス バインドをサポートするには、名前解決に DNS を使用する必要があります。IPv4 ホストは、ローカルに設定された IPv4 DNS サーバーで IPv6 ノードの名前を検索し、NAT-PT を使用してデバイスを介して IPv6 DNS サーバーにクエリを渡します。
NATデバイスのDNS ALG:
IPv6 アドレス解決を IPv4 アドレス解決に変換し直します。
マッピングに IPv6 アドレスを割り当てます。
割り当てられた IPv4 アドレスと IPv6 アドレスのマッピングを IPv6 アドレス解決で返された IPv6 アドレスに格納し、any-IPv4 ホストから IPv6 ホストへのセッションを確立できるようにします。
参照
例:デフォルトの宛先アドレス プレフィックス静的マッピングを使用した IPv6 ノードへの IPv4 開始接続の設定
この例では、デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv6ノードへのIPv4開始接続を設定する方法を示しています。
必要条件
開始する前に、インターフェイスを設定し、セキュリティ ゾーンに割り当てます。
概要
次の例では、インターフェイスに静的マッピング 126 ベースの IPv6 アドレスが定義され、デバイスに静的マッピング /126 が設定された IPv6 ノードに対して、IPv4 が開始する接続を設定する方法を説明します。この例では、IPv4 アドレスにマッピングされる IPv6 アドレスが、IPv4 アドレスを IPv6 アドレス空間の一部にすることを前提としています。
IPv6 ノードへの IPv4 開始接続の設定は、IPv4 ネットワーク上のデバイスを IPv6 ネットワーク上のデバイスに相互接続する必要がある場合や、IPv4 ネットワークを IPv6 ネットワークに移行する場合に便利です。マッピングは、IPv6 ネットワークから開始されたトラフィックに対して、IPv6 アドレスから IPv4 アドレスのリバースルックアップを行う DNS ALG に使用できます。このプロセスでは、IPv4 ノードから開始されたセッションと、NAT/PT デバイスの反対側にある IPv6 ノードとの接続も提供されます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。
静的宛先アドレスの 1 対 1 マッピングを使用して、IPv6 ノードへの IPv4 開始接続を構成するには:
-
インターフェイスの静的 NAT ルール セットを設定します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
宛先アドレスのプレフィックスと一致するようにルールを定義します。
マッチングルールの宛先アドレス番号は、static-natプレフィックス範囲と等しい番号である必要があります。
マッチングルールの送信元アドレス番号に制限はありません。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
デバイスの静的NATプレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
IPv6 アドレス プレフィックスを使用して送信元 NAT プールを設定します。
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
インターフェイスの送信元 NAT ルール セットを設定します。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
IPv6 送信元 NAT 送信元アドレスを設定します。
一致ルールの送信元アドレス番号は、送信元プール範囲と等しいアドレス番号である必要があります。たとえば、^2(32 – 30) = 2^(128 – 126) => です。
マッチングルールの宛先アドレス番号に制限はありません。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
IPv6 送信元 NAT 宛先アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
ルールで構成済みの送信元 NAT IPv6 プールを定義します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで構成されているか否かを確認します。
アクション
動作モードから、 show security nat static コマンドを入力します。
例:静的宛先アドレス 1 対 1 マッピングを使用した IPv6 ノードへの IPv4 開始接続の設定
この例では、静的宛先アドレスの 1 対 1 のマッピングを使用して、IPv6 ノードへの IPv4 開始接続を設定する方法を示します。
必要条件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティ ゾーンに割り当てます。
概要
次の例では、デバイス上で 1 対 1 の静的 NAT を使用して IPv6 ノードと通信するように IPv4 ノードを設定する方法を説明します。
IPv4 ノードと IPv6 ノードとの通信は、IPv6 サーバーにアクセスする IPv4 ホスト、IPv6 のみをサポートし、IPv6 ネットワークに接続する必要がある新しいサーバー、およびほとんどのマシンが既に IPv6 に移行しているときに古いホストを新しいサーバーに移行する場合に便利です。例えば、この機能を使用して、IPv4 専用ノードを IPv6 専用プリンターに接続できます。このマッピングは、IPv6 ネットワークから開始されたトラフィックの IPv6 アドレスからの IPv4 アドレスの逆引き検索のための DNS ALG にも使用できます。
この例では、プレフィックス 10.10.10.1/30 に一致する送信元 IPv4 アドレスに IPv6 プレフィックス 2001:db8::/96 を追加して変換された送信元 IPv6 アドレスを形成し、宛先 IPv4 アドレス 10.1.1.25/32 を IPv6 アドレス 2001:db8::25/128 に変換します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
静的宛先アドレスの 1 対 1 マッピングを使用して、IPv6 ノードへの IPv4 開始接続を構成するには:
インターフェイスの静的 NAT ルール セットを設定します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
ルールと宛先アドレスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
静的NATプレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
IPv6 プレフィックス アドレスを使用して送信元 NAT プールを設定します。
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
送信元 NAT ルール セットを設定します。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
送信元NAT送信元アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
送信元NAT宛先アドレスを設定します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
ルールで、構成済みの送信元 NAT IPv6 プールを定義します。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで構成されているか否かを確認します。
アクション
動作モードから、 show security nat static コマンドを入力します。
例:デフォルトの宛先アドレス プレフィックス静的マッピングを使用した IPv4 ノードへの IPv6 開始接続の設定
この例では、デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv4ノードへのIPv6開始接続を設定する方法を示しています。この例では、逆方向の NAT 変換を設定する方法は示していません。
必要条件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティ ゾーンに割り当てます。
概要
次の例では、IPv6 ノードと、デバイスでプレフィックスベースの静的 NAT が定義されている IPv4 ノードとの通信について説明します。静的 NAT は、IPv4 ネットワークが特殊な IPv6 ネットワーク(つまり、IPv4 にマッピングされた IPv6 ネットワーク)であると仮定し、IPv4 ネットワーク全体を IPv6 プレフィックスの背後に隠します。
IPv6 ノードと IPv4 ノードの通信は、ネットワークで IPv6 が使用されていて IPv4 ネットワークに接続する必要がある場合や、ネットワークで IPv4 と IPv6 の両方が使用されており、移行中に 2 つのネットワークを相互接続するメカニズムが必要な場合に便利です。これにより、IPv6 ノードから開始されたセッションと、NAT/PT デバイスの反対側にある IPv4 ノードとの接続も提供されます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
デフォルトの宛先アドレスプレフィックス静的マッピングを使用して、IPv6が開始するIPv4ノードへの接続を設定するには:
インターフェイスの静的NATを設定します。
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
デバイスで定義された静的NAT変換のプレフィックスを使用して、ルールと宛先アドレスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
スタティック NAT を inet として定義し、IPv4 アドレスに変換します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
IPv4 送信元 NAT プール アドレスを設定します。
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
送信元 NAT ルール セットを設定します。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
IPv4 送信元 NAT 宛先アドレスを設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
デバイスに定義された送信元NATのプレフィックスを使用して、送信元アドレスを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
ルールで、構成済みの送信元 NAT IPv4 プールを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで構成されているか否かを確認します。
アクション
動作モードから、 show security nat static rule コマンドを入力します。
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
送信元NATが設定されていることを確認する
目的
送信元NATが設定されているか検証します。
アクション
動作モードから show security nat source rule コマンドを入力します。
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
動作モードから show security nat source pool コマンドを入力します。
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
例:静的宛先アドレスの 1 対 1 マッピングを使用した IPv4 ノードへの IPv6 開始接続の設定
この例では、静的宛先アドレスの 1 対 1 のマッピングを使用して、IPv4 ノードへの IPv6 開始接続を設定する方法を示します。
必要条件
開始する前に、インターフェイスを設定し、インターフェイスをセキュリティ ゾーンに割り当てます。
概要
次の例では、IPv6 ノードと、デバイスに 1 対 1 の静的 NAT アドレスが定義されている IPv4 ノードとの通信について説明します。IPv6 ノードと IPv4 ノードの通信により、どちらのデバイスにもデュアル スタックがなく、通信を NAT/PT デバイスに依存する必要がある場合に、IPv6 ホストは IPv4 サーバーにアクセスできます。これにより、ネットワークを IPv6 に移行した後でも、一部の IPv4 レガシー サーバー アプリケーションを動作させることができます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
静的宛先アドレスの 1 対 1 のマッピングを使用して、IPv6 が開始する IPv4 ノードへの接続を構成するには:
インターフェイスの静的 NAT ルール セットを設定します。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
宛先アドレスを照合するルールを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
ルールの静的 NAT プレフィックスを定義します。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
IPv4 アドレスで送信元NAT プールを設定します。
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
インターフェイスのIPv4アドレスを設定します。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
送信元アドレスを IPv4 送信元 NAT アドレスに設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
宛先アドレスを IPv4 送信元 NAT アドレスに設定します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
ルールで構成済みの送信元 NAT IPv4 プールを定義します。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
静的 NAT が設定されていることを確認する
目的
静的NATがインターフェイス、宛先アドレス、プレフィックスで構成されているか否かを確認します。
アクション
動作モードから、 show security nat static コマンドを入力します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。