Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

NAT設定の概要

このトピックでは、ネットワークアドレス変換(NAT)と複数のISPを設定する方法について説明します。また、このトピックは、トレース オプションを設定し、テーブルNAT監視することにより、NAT トラフィックを検証するのに役立ちます。

NAT ウィザードを使用した NAT の設定

NATウィザードを使用して、基本的なNAT設定を実行できます。より高度な設定を実行するには、J-WebインターフェイスまたはCLIを使用します。

NAT ウィザードを使用して NAT を設定するには:

  1. J-Webインターフェイスで Configure>Tasks>Configure NAT を選択します。
  2. [Launch NAT Wizard](ウィザードの起動)ボタンをクリックします。
  3. ウィザードのプロンプトに従います。

ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアには、フィールドに対応するヘルプが表示されます。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。

例:複数のISPのNATの設定

この例では、複数のISPのアドレス変換用にジュニパーネットワークスデバイスを設定する方法を示しています。

要件

始める前に:

  1. デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。

  2. セキュリティゾーンを作成し、インターフェイスを割り当てます。 「セキュリティゾーンについて」を参照してください。

概要

この例では、2つのISP接続を介してNAT機能を使用してLANをインターネットに接続することで、SRXシリーズファイアウォールを設定できます。この設定では、trustはプライベートアドレス空間のセキュリティゾーンであり、パブリックアドレス空間の2つのuntrustセキュリティゾーンは、LANから2つのISPへの接続(またはその逆)に使用されます。この例は、LAN からインターネットに接続するための送信元 NAT ルールと、インターネットから LAN に接続するための宛先 NAT ルールと静的 NAT ルールの組み合わせです。

設定

複数のISPのNATの設定

CLIクイックコンフィグレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[ edit] 階層レベルでコマンドをCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

  1. ルーティングインスタンスを設定します。

  2. RIBグループとルーティングオプションを設定します。

  3. セキュリティポリシーを設定します。

  4. ソースNATプールとルールを設定します。

  5. 宛先 NAT プールとルールを設定します。

  6. 静的NATルールを設定します。

結果

設定モードから、 show configuration コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

インターフェイスの検証

目的

インターフェイスが正しく設定されていることを確認します。

アクション

動作モードから、以下のコマンドを入力します。

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

NAT用のプロキシARPの設定(CLI手順)

NATプロキシARP機能を使用して、送信元または宛先NATを必要とし、イングレスインターフェイスと同じサブネット内にあるIPアドレスのNATプロキシARPエントリーを設定します。SRXシリーズファイアウォールでは、NATプロキシARPを明示的に設定する必要があります。

NATプロキシARPを設定する場合、プロキシARPを設定する論理インターフェイスを指定する必要があります。次に、アドレスまたはアドレス範囲を入力します。

デバイスは、以下の条件に対してプロキシARPを実行します。

  • 静的NATと送信元NATプールで定義されたアドレスが、イングレスインターフェイスと同じサブネット内にある場合

  • 宛先 NAT ルールの元の宛先アドレス エントリーのアドレスが、イングレス インターフェイスのアドレスと同じサブネット内にある場合

NATトレースオプションの設定

目的

NATトレースオプション階層は、検証目的でトレースファイルとフラグを設定します。

SRXシリーズファイアウォールには、ルーティングエンジン(RE)とパケット転送エンジン(PFE)の2つの主要コンポーネントがあります。PFE は、ukernel 部分とリアルタイム部分に分かれています。

NAT設定がコミットされると、まずRE上で設定をチェックして検証します。検証後、設定がPFEにプッシュされます。設定がukernel PFEにインストールされ、リアルタイムPFEのNATルールに一致する各パケットに対してアクションが実行されます。

検証のために、フラグを個別にオンにして、RE、ukernel PFE、またはリアルタイム PFE の NAT 機能をデバッグできます。

  • nat-re フラグは、RE での NAT 設定検証のトレースと PFE への設定プッシュを記録します。

  • nat-pfe フラグは、ukernel PFE でのNAT設定インストールのトレースを記録します。

  • nat-rt フラグは、リアルタイム PFE に対する NAT ルール一致と後続のアクションのトレースを記録します。

トレースデータはデフォルトで /var/log/security-trace に書き込まれ、コマンド show log security-traceを使用して表示できます。

デバイスのポリシー設定でセッションログが有効になっている場合、セッションログには各セッションの特定のNATの詳細が含まれます。セッションログを有効にする方法については セキュリティポリシー統計の監視 を、セッションログで提供される情報については、 SRXシリーズサービスゲートウェイのセッションログエントリで提供される情報 を参照してください。

アクション

コミット時にNAT設定がデバイスに正しく更新され、NATルールの一致と後続のアクションが正しいことを確認するには、 security nat traceoptions ステートメントを使用します。

NAT変換がトラフィックに適用されていることを確認し、NAT変換を含む個々のトラフィックフロー処理を表示するには、security nat traceoptionsコマンドとsecurity flow traceoptionsコマンドの両方を一緒に使用します。コマンドも設定しないflow traceoptions限り、security nat traceoptionsコマンドで設定されたNATトレースは記録されないため、コマンドが一緒に使用されます。

特定のフローをフィルタリングするには、パケット フィルターを定義し、それを traceoption として使用できます。

NATトラフィックを検証し、データプレーンですべてのトラフィックトレースを有効にするには、単純なパケットフィルターを使用した次の例に示すように、traceoptions set security flow traceoptions flag basic-datapath コマンドを使用します。

NAT着信テーブル情報の監視

目的

NATテーブル情報を表示します。

アクション

J-Webユーザーインターフェイスで 監視>NAT>受信テーブル を選択するか、以下のCLIコマンドを入力します。

show security nat incoming-table

表1 は、受信テーブル表示における主要な出力フィールドをまとめたものです。

表1:主要な受信テーブル出力フィールドの概要

フィールド

価値
統計情報

使用中

NATテーブル内のエントリー数。

最大値

NATテーブルで入力可能な最大エントリー数。

エントリーの割り当てに失敗しました

割り当てに失敗したエントリー数。
受信テーブル

クリア

宛先

宛先IPアドレスとポート番号。

司会

宛先IPアドレスがマッピングされているホストIPアドレスとポート番号。

参考文献

エントリーを参照するセッションの数。

タイムアウト

NATテーブル内のエントリのタイムアウト(秒単位)。

ソースプール

変換が割り当てられるソースプールの名前。

インターフェイス NAT ポート情報の監視

目的

インターフェイス送信元プール情報のポート使用状況を表示します。

アクション

インターフェイスNATポート情報を監視するには、以下のいずれかを実行します。

  • J-Webユーザーインターフェイスで監視 >ファイアウォール/NAT>インターフェイスNAT または 監視>NAT>インターフェイスNATポート を選択するか、CLIコマンドを入力します show security nat interface-nat-ports

表2は 、インターフェイスNAT表示の主要な出力フィールドをまとめたものです。

表2:主要なインターフェイスNAT出力フィールドの概要

フィールド

価値

追加情報
インターフェイスNATサマリーテーブル

プールインデックス

ポートプールインデックス。

ポート総数

ポートプール内のポートの合計数。

割り当てられた単一ポート

使用中のポート数を一度に1つずつ割り当てます。

単一のポートが利用可能

一度に1つずつ割り当てられ、自由に使用できるポートの数。

割り当てられたツインポート

一度に 2 つ割り当てられ、使用中のポートの数。

ツインポートが利用可能

一度に 2 つ割り当てられ、自由に使用できるポートの数。