Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

NAT 設定の概要

このトピックでは、ネットワークアドレス変換(NAT)と複数の ISP を設定する方法について説明します。また、このトピックでは、トレース オプションの設定と NAT テーブルの監視によって、NAT トラフィックを検証するのに役立ちます。

NAT ウィザードを使用した NAT の構成

NAT ウィザードを使用して、基本的な NAT 設定を実行できます。より高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。

NAT ウィザードを使用して NAT を設定するには、次の手順に従います。

  1. J-Web インターフェイスで [ Configure>Tasks>Configure NAT ] を選択します。
  2. [Launch NAT Wizard](NATウィザードを起動)ボタンをクリックします。
  3. ウィザードのプロンプトに従います。

ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアは、フィールドに対応するヘルプを示しています。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。

例:複数の ISP の NAT の設定

この例では、複数の ISP のアドレス変換用に Juniper Networks デバイスを設定する方法を示しています。

必要条件

開始する前に、以下を実行します。

  1. デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。

  2. セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。

概要

この例では、2つのISP接続を介してNAT機能を使用し、LANをインターネットに接続することで、SRXシリーズファイアウォールを設定できます。この構成では、信頼はプライベート アドレス空間のセキュリティ ゾーンであり、パブリック アドレス空間の 2 つの信頼されていないセキュリティ ゾーンは、LAN から 2 つの ISP への接続、またはその逆の接続に使用されます。この例は、LAN からインターネットに接続する送信元 NAT ルールと、インターネットから LAN に接続するための宛先および静的 NAT ルールを組み合わせたものです。

構成

複数の ISP の NAT を構成する

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[ edit] 階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。

  1. ルーティングインスタンスを設定します。

  2. RIBグループとルーティングオプションを設定します。

  3. セキュリティポリシーを設定します。

  4. 送信元NATプールとルールを設定します。

  5. 宛先 NAT プールとルールを構成します。

  6. 静的NATルールを設定します。

業績

設定モードから、 show configuration コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

インターフェイスの検証

目的

インターフェイスが正しく設定されていることを確認します。

アクション

動作モードから、以下のコマンドを入力します。

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

NAT のプロキシ ARP の設定(CLI 手順)

NAT プロキシ ARP機能を使用して、送信元または宛先の NAT を必要とし、イングレス インターフェイスと同じサブネット内にある IP アドレスのプロキシ ARP エントリーを設定します。SRXシリーズファイアウォールでは、NATプロキシ ARPを明示的に設定する必要があります。

NAT プロキシ ARP を設定する場合、プロキシ ARP を設定する論理インターフェイスを指定する必要があります。次に、アドレスまたはアドレス範囲を入力します。

デバイスは、以下の条件でプロキシ ARP を実行します。

  • 静的NATと送信元NAT プールで定義されたアドレスが、イングレスインターフェイスのアドレスと同じサブネットにある場合

  • 宛先 NAT ルールの元の宛先アドレス エントリのアドレスが、イングレス インターフェイスのアドレスと同じサブネットにある場合

NAT トレース オプションの設定

目的

NAT トレース オプションの階層では、検証用のトレース ファイルとフラグを設定します。

SRXシリーズファイアウォールには、ルーティングエンジン(RE)とパケット転送エンジン(PFE)の2つの主要コンポーネントがあります。PFE は、ukernel 部分とリアルタイム部分に分かれています。

NAT設定がコミットされると、まずREで設定がチェックされ、検証されます。検証後、設定はPFEにプッシュされます。構成は ukernel PFE にインストールされ、リアルタイム PFE の NAT ルールに一致する各パケットに対してアクションが実行されます。

検証のために、フラグを個別にオンにして、RE、ukernel PFE、またはリアルタイム PFE の NAT 機能をデバッグできます。

  • nat-reフラグは、REでのNAT設定検証とPFEへの設定プッシュのトレースを記録します。

  • nat-pfeフラグは、ukernel PFE への NAT 設定インストールのトレースを記録します。

  • nat-rtフラグは、NAT ルール一致のトレースと、リアルタイム PFE に対する後続のアクションを記録します。

トレース・データはデフォルトで /var/log/security-trace に書き込まれ、 show log security-traceコマンドを使用して表示できます。

デバイスのデバイスからも削除されます セッションログが有効になっている場合、セッションログには各セッションの特定のNATの詳細が含まれます。セッションログを有効にする方法については セキュリティポリシー統計の監視 を、セッションログで提供される情報の説明については SRXシリーズサービスゲートウェイのセッションログエントリで提供される情報 を参照してください。

アクション

コミット時にデバイスからも削除されますがデバイスに正しく更新され、NAT ルール一致とその後のアクションが正しいことを確認するには、 security nat traceoptions ステートメントを使用します。

NAT 変換がトラフィックに適用されていることを確認し、NAT 変換による個々のトラフィック フロー処理を表示するには、 security nat traceoptions コマンドと security flow traceoptions コマンドの両方を同時に使用します。コマンドも設定されていないと、 security nat traceoptions コマンドを使用して設定された NAT トレースは記録されないため、コマンド flow traceoptions 一緒に使用されます。

特定のフローをフィルタリングするには、パケット フィルターを定義し、それを traceoption として使用します。

NAT トラフィックを検証し、データ プレーンですべてのトラフィック トレースを有効にするには、次の例に示すように、traceoptions set security flow traceoptions flag basic-datapath コマンドを使用します。シンプルなパケット フィルターを使用します。

NAT 受信テーブル情報の監視

目的

NAT テーブル情報を表示します。

アクション

J-Web ユーザーインターフェイスで [Monitor>NAT>Incoming Table ] を選択するか、次の CLI コマンドを入力します。

show security nat incoming-table

表 1 は、入力テーブル表示の主要な出力フィールドを要約したものです。

表 1: 主要な受信テーブル出力フィールドの概要

価値観
統計学

使用中

NAT テーブル内のエントリー数。

最大

NAT テーブルで可能なエントリーの最大数。

エントリの割り当てに失敗しました

割り振りに失敗したエントリーの数。
受信テーブル

クリア

行き先

宛先 IP アドレスとポート番号。

ホスト

ホスト IP アドレスと、IP アドレスがマップされているポート番号。

参照

エントリーを参照しているセッションの数。

タイムアウト

NAT テーブル内のエントリーのタイムアウト(秒単位)。

ソースプール

変換が割り当てられているソース プールの名前。

インターフェイス NAT ポート情報の監視

目的

インターフェイスのソースプール情報のポート使用状況を表示します。

アクション

インターフェイスのNATポート情報を監視するには、次のいずれかを実行します。

  • J-Web ユーザ インターフェイスで [Monitor>Firewall/NAT>Interface NAT ] または [Monitor>NAT>Interface NAT Ports ] を選択するか、CLI コマンド show security nat interface-nat-ports を入力します。

表 2 は、インターフェイス NAT 表示の主要な出力フィールドをまとめたものです。

表 2:主要なインターフェイス NAT 出力フィールドの概要

価値観

追加情報
インターフェイス NAT サマリー テーブル

プール インデックス

ポート プール インデックス。

合計ポート数

ポート プール内のポートの合計数。

単一ポート割り当て

一度に 1 つずつ割り当てられる、使用中のポートの数。

シングルポートが利用可能

一度に 1 つずつ割り当てられ、無料で使用できるポートの数。

割り当てられたツイン ポート

一度に 2 つ割り当てられる使用中のポートの数。

ツインポートが利用可能

一度に 2 つ割り当てられ、無料で使用できるポートの数。