Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

NAT フローの詳細

マルチキャスト グループ アドレス変換を実装するには、静的パケットNAT宛先アドレス 変換NAT使用します。ネットワークのサポートを利用NAT、IPv4 の送信元アドレスが IPv4 マルチキャスト グループの宛先アドレスに変換されます。

マルチキャスト フロー NATの詳細について

ネットワーク アドレス変換(NAT)を使用して、送信元アドレスを IPv4 マルチキャスト フローに変換し、IPv4 マルチキャスト グループ宛先アドレスを変換できます。

静的ホストNAT宛先変換NATグループ アドレス変換の実行に使用できます。静的NATネットワークのどちら側からでも接続を発信できますが、変換は 1 対 1 のアドレス、または同じサイズのアドレスのブロック間に制限されます。アドレス プールは必要ありません。[ static ] 階層レベルの 設定ステートメントを使用して、マルチキャスト トラフィックの静的NAT edit security nat ルール セットを設定します。宛先NAT、インターネットからプライベート ネットワークへの接続など、受信するネットワーク接続に対のみ接続を開始できます。[ destination ] 階層レベルの設定ステートメントを使用 edit security nat して、プールとNATセットを設定します。

マルチキャスト NATの送信元インターフェイスは、IP アドレスの変更を使用して、ユーザーが定義したアドレス プールから送信元 IP アドレスを IP アドレスに変換することでのみサポートされます。このタイプの変換は、1 対 1 の静的な変換であり、ポート アドレス変換は行わずに行います。元の送信元IPアドレス範囲がユーザー定義プールのIPアドレス範囲を超える場合、非転送パケットはドロップされます。このマッピングは双方向マッピングを提供しないので、静的マッピングによってNAT提供されます。[ source ] 階層レベルの設定ステートメントを使用 edit security nat して、プールとNATセットを設定します。このタイプの送信元NAT NATプールを定義する場合は、 オプションを使用して送信元IPアドレス範囲の開始 host-address-base を指定します。

例: マルチキャスト フロー NATの設定

この例では、マルチキャスト フローのアドレス変換ジュニパーネットワークスデバイスを設定する方法を示しています。

要件

開始する前に、以下を実行します。

  1. デバイスでネットワーク インターフェイスを設定します。セキュリティ デバイス のインターフェイス ユーザー ガイド を参照してください

  2. セキュリティ ゾーンを作成し、そのゾーンにインターフェイスを割り当てる。「 セキュリティ ゾーンについて 」を参照してください

  3. マルチキャスト転送用にデバイスを設定します。

概要

この例では、プライベート アドレス スペースセキュリティ ゾーン Trust セキュリティ ゾーンを使用し、パブリック アドレス スペースでは untrust セキュリティ ゾーンを使用します。 図 1 は、 マルチキャスト転送用のネットワーク デバイスのジュニパーネットワークス例を示しています。ソース ルーター R1 は、送信元アドレスを持つマルチキャスト パケットを、203.0.113.100~203.0.113.110、グループ アドレス 233.252.0.1/32 を ジュニパーネットワークス デバイスに向けて送信します。ソース ルーター R1 は、インスポート デバイスのプライベート ネットワーク(trust ゾーン)アップストリームジュニパーネットワークスされています。デバイスの下流には、パブリック ネットワーク(Untrust ゾーン)に複数のレシーバがあります。

このジュニパーネットワークスは、受信したマルチキャスト パケットを R1 から変換してから、ダウンストリーム インターフェイスで転送します。以下の変換が適用されます。

  • R2 へのインターフェイスの場合、送信元アドレスは変換され、グループ アドレスは 233.252.0.2/32 に変換されます。

  • R3へのインターフェイスの場合、送信元アドレスは198.51.100.200から198.51.100.210の範囲内のアドレスに変換され、グループ アドレスは233.252.0.2/32に変換されます。

  • R4 へのインターフェイスの場合、送信元アドレスは 10.10.10.100~10.10.110 の範囲内のアドレスに変換され、グループ アドレスは 233.252.0.2/32 に変換されます。

図 1:NATの変換の例 NAT Translations for Multicast Flows

この例では、以下の設定を説明しています。

  • 宛先NAT IP dst-nat-pool アドレス 233.252.0.2/32 を含む宛先プールです。

  • 宛先 NATルールを設定し、宛先 IP アドレス rs1 r1 233.252.0.0.1/32 でインターフェース xe-2/0/1.0 に到着したパケットを一致するルールを設定します。一致するパケットの場合、宛先アドレスはプール内のIPアドレスに変換 dst-nat-pool されます。

  • IP アドレス範囲 src-nat-shift-1 198.51.100.200/32~198.51.100.210/32 を含むソース NAT プール。このプールでは、送信元IPアドレス範囲の最初の範囲は203.0.113.100/32で、オプションで指定 host-address-base されます。

  • ソース NAT ルールを設定し rs-shift1 r1 、203.0.113.96/28 サブネット内の送信元 IP アドレスを使用して、trust ゾーンからインターフェース xe-1/0/1.0 へのパケットを一致するルールを設定します。設定で指定された送信元IPアドレス範囲内に入る一致パケットの場合、送信元アドレスはプール内の src-nat-shift-1 IPアドレスに変換 src-nat-shift-1 されます。

  • IP アドレスNAT src-nat-shift-2 10.10.100/32~10.10.10.110/32 を含むソース NAT プール。このプールでは、送信元IPアドレス範囲の最初の範囲は203.0.113.100/32で、オプションで指定 host-address-base されます。

  • ソース NAT ルールを設定し、trust rs-shift2 r1 ゾーンから、203.0.113.96/28 サブネット内の送信元 IP アドレスを持つインターフェイス xe-2/0/0.0 とインターフェース xe-2/0.0 と一致するルールを設定します。設定で指定された送信元IPアドレス範囲内に入る一致パケットの場合、送信元アドレスはプール内の src-nat-shift-2 IPアドレスに変換 src-nat-shift-2 されます。

  • インターフェイス xe-1/0/0.0 上のアドレス 203.0.113.100~203.0.113.110 のプロキシー ARP インターフェイス xe-1/0/1.0 で 198.51.100.200~198.51.100.210 に対応し、インターフェイス xe-2/0/0.0.0 上で 10.10.10.100~10.110 アドレスを指定します。これにより、ジュニパーネットワークス デバイスは、これらのアドレスのインターフェイスで受信した ARP 要求に応答できます。

  • trustゾーンから Untrustゾーンへのトラフィックを許可するセキュリティポリシー。

  • untrust ゾーンから trust ゾーンの変換済み宛先 IP アドレスへのトラフィックを許可するセキュリティー ポリシー。

トポロジ

構成

手順

CLI迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLI を参照してください

マルチキャスト フローの宛先と送信元NAT変換を設定するには、次の手順に示します。

  1. 宛先プールをNATします。

  2. 宛先ルール セットNAT作成します。

  3. パケットを一致し、宛先アドレスを宛先プール内のアドレスに変換するルールNATします。

  4. ソース リソース プールNAT作成します。

  5. 送信元IPアドレス範囲の先頭を指定します。

  6. ソース ルール セットNAT作成します。

  7. パケットを一致し、宛先アドレスを送信元ホスト プール内のアドレスに変換するNATします。

  8. ソース リソース プールNAT作成します。

  9. 送信元IPアドレス範囲の先頭を指定します。

  10. ソース ルール セットNAT作成します。

  11. パケットを一致し、宛先アドレスを送信元ホスト プール内のアドレスに変換するNATします。

  12. プロキシ ARP を設定します。

  13. trustゾーンから Untrustゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。

  14. Untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。

結果

設定モードから、 および コマンドを入力して設定 show security nat を確認 show security policies します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認するには、次のタスクを実行します。

宛先NAT プールの使用状況の検証

目的

宛先ホスト プールからの IP アドレスを使用するトラフィックNATします。

アクション

動作モードから コマンドを入力 show security nat destination pool all します。[Translation hits]フィールドを表示し、プールからのIPアドレスを使用してトラフィックをチェックします。

宛先とNATルールの使用状況の検証

目的

宛先ルールに一致するトラフィックNATします。

アクション

動作モードから コマンドを入力 show security nat destination rule all します。[変換ヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。

送信元とプールNATの検証

目的

送信元データベース プールからの IP アドレスを使用するトラフィックNATします。

アクション

動作モードから コマンドを入力 show security nat source pool all します。[Translation hits]フィールドを表示し、プールからのIPアドレスを使用してトラフィックをチェックします。

送信元とNATの使用状況の検証

目的

送信元と送信元のルールに一致するトラフィックNATします。

アクション

動作モードから コマンドを入力 show security nat source rule all します。[変換ヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。

トラフィックへのNATの検証

目的

指定されたNATにポリシーが適用されている検証します。

アクション

動作モードから コマンドを入力 show security flow session します。