NAT フローの詳細
マルチキャスト グループ アドレス変換を実装するには、静的パケットNAT宛先アドレス 変換NAT使用します。ネットワークのサポートを利用NAT、IPv4 の送信元アドレスが IPv4 マルチキャスト グループの宛先アドレスに変換されます。
マルチキャスト フロー NATの詳細について
ネットワーク アドレス変換(NAT)を使用して、送信元アドレスを IPv4 マルチキャスト フローに変換し、IPv4 マルチキャスト グループ宛先アドレスを変換できます。
静的ホストNAT宛先変換NATグループ アドレス変換の実行に使用できます。静的NATネットワークのどちら側からでも接続を発信できますが、変換は 1 対 1 のアドレス、または同じサイズのアドレスのブロック間に制限されます。アドレス プールは必要ありません。[ static
] 階層レベルの 設定ステートメントを使用して、マルチキャスト トラフィックの静的NAT edit security nat
ルール セットを設定します。宛先NAT、インターネットからプライベート ネットワークへの接続など、受信するネットワーク接続に対のみ接続を開始できます。[ destination
] 階層レベルの設定ステートメントを使用 edit security nat
して、プールとNATセットを設定します。
マルチキャスト NATの送信元インターフェイスは、IP アドレスの変更を使用して、ユーザーが定義したアドレス プールから送信元 IP アドレスを IP アドレスに変換することでのみサポートされます。このタイプの変換は、1 対 1 の静的な変換であり、ポート アドレス変換は行わずに行います。元の送信元IPアドレス範囲がユーザー定義プールのIPアドレス範囲を超える場合、非転送パケットはドロップされます。このマッピングは双方向マッピングを提供しないので、静的マッピングによってNAT提供されます。[ source
] 階層レベルの設定ステートメントを使用 edit security nat
して、プールとNATセットを設定します。このタイプの送信元NAT NATプールを定義する場合は、 オプションを使用して送信元IPアドレス範囲の開始 host-address-base
を指定します。
詳細については、
例: マルチキャスト フロー NATの設定
この例では、マルチキャスト フローのアドレス変換ジュニパーネットワークスデバイスを設定する方法を示しています。
要件
開始する前に、以下を実行します。
デバイスでネットワーク インターフェイスを設定します。セキュリティ デバイス のインターフェイス ユーザー ガイド を参照してください。
セキュリティ ゾーンを作成し、そのゾーンにインターフェイスを割り当てる。「 セキュリティ ゾーンについて 」を参照してください。
マルチキャスト転送用にデバイスを設定します。
概要
この例では、プライベート アドレス スペースセキュリティ ゾーン Trust セキュリティ ゾーンを使用し、パブリック アドレス スペースでは untrust セキュリティ ゾーンを使用します。 図 1 は、 マルチキャスト転送用のネットワーク デバイスのジュニパーネットワークス例を示しています。ソース ルーター R1 は、送信元アドレスを持つマルチキャスト パケットを、203.0.113.100~203.0.113.110、グループ アドレス 233.252.0.1/32 を ジュニパーネットワークス デバイスに向けて送信します。ソース ルーター R1 は、インスポート デバイスのプライベート ネットワーク(trust ゾーン)アップストリームジュニパーネットワークスされています。デバイスの下流には、パブリック ネットワーク(Untrust ゾーン)に複数のレシーバがあります。
このジュニパーネットワークスは、受信したマルチキャスト パケットを R1 から変換してから、ダウンストリーム インターフェイスで転送します。以下の変換が適用されます。
R2 へのインターフェイスの場合、送信元アドレスは変換され、グループ アドレスは 233.252.0.2/32 に変換されます。
R3へのインターフェイスの場合、送信元アドレスは198.51.100.200から198.51.100.210の範囲内のアドレスに変換され、グループ アドレスは233.252.0.2/32に変換されます。
R4 へのインターフェイスの場合、送信元アドレスは 10.10.10.100~10.10.110 の範囲内のアドレスに変換され、グループ アドレスは 233.252.0.2/32 に変換されます。
この例では、以下の設定を説明しています。
宛先NAT IP
dst-nat-pool
アドレス 233.252.0.2/32 を含む宛先プールです。宛先 NATルールを設定し、宛先 IP アドレス
rs1
r1
233.252.0.0.1/32 でインターフェース xe-2/0/1.0 に到着したパケットを一致するルールを設定します。一致するパケットの場合、宛先アドレスはプール内のIPアドレスに変換dst-nat-pool
されます。IP アドレス範囲
src-nat-shift-1
198.51.100.200/32~198.51.100.210/32 を含むソース NAT プール。このプールでは、送信元IPアドレス範囲の最初の範囲は203.0.113.100/32で、オプションで指定host-address-base
されます。ソース NAT ルールを設定し
rs-shift1
r1
、203.0.113.96/28 サブネット内の送信元 IP アドレスを使用して、trust ゾーンからインターフェース xe-1/0/1.0 へのパケットを一致するルールを設定します。設定で指定された送信元IPアドレス範囲内に入る一致パケットの場合、送信元アドレスはプール内のsrc-nat-shift-1
IPアドレスに変換src-nat-shift-1
されます。IP アドレスNAT
src-nat-shift-2
10.10.100/32~10.10.10.110/32 を含むソース NAT プール。このプールでは、送信元IPアドレス範囲の最初の範囲は203.0.113.100/32で、オプションで指定host-address-base
されます。ソース NAT ルールを設定し、trust
rs-shift2
r1
ゾーンから、203.0.113.96/28 サブネット内の送信元 IP アドレスを持つインターフェイス xe-2/0/0.0 とインターフェース xe-2/0.0 と一致するルールを設定します。設定で指定された送信元IPアドレス範囲内に入る一致パケットの場合、送信元アドレスはプール内のsrc-nat-shift-2
IPアドレスに変換src-nat-shift-2
されます。インターフェイス xe-1/0/0.0 上のアドレス 203.0.113.100~203.0.113.110 のプロキシー ARP インターフェイス xe-1/0/1.0 で 198.51.100.200~198.51.100.210 に対応し、インターフェイス xe-2/0/0.0.0 上で 10.10.10.100~10.110 アドレスを指定します。これにより、ジュニパーネットワークス デバイスは、これらのアドレスのインターフェイスで受信した ARP 要求に応答できます。
trustゾーンから Untrustゾーンへのトラフィックを許可するセキュリティポリシー。
untrust ゾーンから trust ゾーンの変換済み宛先 IP アドレスへのトラフィックを許可するセキュリティー ポリシー。
トポロジ
構成
手順
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.1/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLI を参照してください。
マルチキャスト フローの宛先と送信元NAT変換を設定するには、次の手順に示します。
宛先プールをNATします。
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.1/32
宛先ルール セットNAT作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
パケットを一致し、宛先アドレスを宛先プール内のアドレスに変換するルールNATします。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
ソース リソース プールNAT作成します。
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
送信元IPアドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
ソース ルール セットNAT作成します。
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
パケットを一致し、宛先アドレスを送信元ホスト プール内のアドレスに変換するNATします。
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
ソース リソース プールNAT作成します。
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
送信元IPアドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
ソース ルール セットNAT作成します。
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
パケットを一致し、宛先アドレスを送信元ホスト プール内のアドレスに変換するNATします。
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
trustゾーンから Untrustゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
結果
設定モードから、 および コマンドを入力して設定 show security nat
を確認 show security policies
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat source { pool src-nat-shift-1 { address { 198.51.100.200/32 to 198.51.100.210/32; } host-address-base 203.0.113.100/32; } pool src-nat-shift-2 { address { 10.10.10.100/32 to 10.10.10.110/32; } host-address-base 203.0.113.100/32; } rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } rule-set rs-shift1 { from zone trust; to interface xe-1/0/1.0; rule r1 { match { source-address 203.0.113.96/28; } then { source-nat { pool { src-nat-shift1; } } } } } rule-set rs-shift2 { from zone trust; to interface xe-2/0/0.0; rule r2 { match { source-address 203.0.113.96/28; } then { source-nat { pool { src-nat-shift2; } } } } } } destination { pool dst-nat-pool { address 233.252.0.1/32; } rule-set rs1 { from interface xe-2/0/1.0; rule r1 { match { destination-address 233.252.0.1/32; } then { destination-nat pool dst-nat-pool; } } } } proxy-arp { interface xe-1/0/0.0 { address { 203.0.113.100/32 to 203.0.113.110/32; } } interface xe-1/0/1.0 { address { 198.51.100.200/32 to 198.51.100.210/32; } } interface xe-2/0/0.0 { address { 10.10.10.100/32 to 10.10.10.110/32; } } }
[edit] user@host# show security policies from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } from-zone untrust to-zone trust { policy dst-nat-pool-access { match { source-address any; destination-address 233.252.0.1/21; application any; } then { permit; } } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
検証
設定が正常に機能されていることを確認するには、次のタスクを実行します。
宛先NAT プールの使用状況の検証
目的
宛先ホスト プールからの IP アドレスを使用するトラフィックNATします。
アクション
動作モードから コマンドを入力 show security nat destination pool all
します。[Translation hits]フィールドを表示し、プールからのIPアドレスを使用してトラフィックをチェックします。
宛先とNATルールの使用状況の検証
目的
宛先ルールに一致するトラフィックNATします。
アクション
動作モードから コマンドを入力 show security nat destination rule all
します。[変換ヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。
送信元とプールNATの検証
目的
送信元データベース プールからの IP アドレスを使用するトラフィックNATします。
アクション
動作モードから コマンドを入力 show security nat source pool all
します。[Translation hits]フィールドを表示し、プールからのIPアドレスを使用してトラフィックをチェックします。
送信元とNATの使用状況の検証
目的
送信元と送信元のルールに一致するトラフィックNATします。
アクション
動作モードから コマンドを入力 show security nat source rule all
します。[変換ヒット] フィールドを表示して、ルールに一致するトラフィックを確認します。