マルチキャスト フローの NAT
マルチキャストグループアドレス変換を実装するには、静的NATまたは宛先NATを使用します。NAT の助けを借りて、IPv4 の送信元アドレスは IPv4 マルチキャスト グループの宛先アドレスに変換されます。
マルチキャスト フローの NAT について
ネットワークアドレス変換(NAT)を使用して、IPv4 マルチキャスト フローの送信元アドレスを変換したり、IPv4 マルチキャスト グループの宛先アドレスを変換したりできます。
スタティック NAT または宛先 NAT のいずれかを使用して、マルチキャスト グループ アドレス変換を実行できます。静的 NAT では、ネットワークのどちら側からでも接続を発信できますが、変換は 1 対 1 のアドレス間、または同じサイズのアドレス ブロック間の変換に制限されます。アドレスプールは必要ありません。マルチキャスト トラフィックの静的なNAT ルール セットを設定するには、[edit security nat] 階層レベルで static 設定ステートメントを使用します。宛先 NAT を使用すると、たとえば、インターネットからプライベート ネットワークへの接続など、受信ネットワーク接続に対してのみ接続を開始できます。[edit security nat] 階層レベルで destination 設定ステートメントを使用して、宛先 NAT プールとルール セットを設定します。
マルチキャスト トラフィックの送信元 NAT は、IP アドレス シフトを使用して、元の送信元 IP アドレスをユーザー定義のアドレス プールの IP アドレスに変換することによってのみサポートされます。このタイプの変換は、1 対 1、静的で、ポート アドレス変換なしです。元の送信元 IP アドレス範囲がユーザー定義プールの IP アドレス範囲よりも大きい場合、宛先アドレスが変換されたパケットまたは未変換のパケットは破棄されます。マッピングは、静的NATが提供する双方向マッピングを提供しません。[edit security nat] 階層レベルで source 設定ステートメントを使用して、送信元 NAT プールとルール セットを設定します。このタイプの送信元 NAT の送信元NAT プールを定義する場合は、host-address-base オプションを使用して、元の送信元 IP アドレス範囲の開始を指定します。
参照
例:マルチキャスト フローの NAT の設定
この例では、マルチキャスト フローのアドレス変換用に Juniper Networks デバイスを設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
-
デバイス上のネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
-
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
-
マルチキャスト転送のためのデバイスの設定を行います。「 マルチキャストの概要」を参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図 1 は、マルチキャスト転送用のジュニパーネットワークスデバイスの一般的な導入を示しています。送信元ルーター R1 は、送信元アドレスが 203.0.113.100 から 203.0.113.110 の範囲で、グループ アドレスが 233.252.0.1/32 であるマルチキャスト パケットを Juniper Networks デバイスに向けて送信します。送信元ルーター R1 は、Juniper Networks デバイスのプライベート ネットワーク(trust ゾーン)アップストリームにあります。デバイスのパブリックネットワーク(untrustゾーン)ダウンストリームに複数の受信者があります。
ジュニパーネットワークスのデバイスは、R1 から受信したマルチキャストパケットを変換してから、ダウンストリームのインターフェイスに転送します。次の変換が適用されます。
-
R2へのインターフェイスでは、送信元アドレスは変換されず、グループアドレスは233.252.0.2/32に変換されます。
-
R3 へのインターフェイスでは、送信元アドレスは 198.51.100.200 から 198.51.100.210 の範囲のアドレスに変換され、グループ アドレスは 233.252.0.2/32 に変換されます。
-
R4 へのインターフェイスでは、送信元アドレスは 10.10.10.100 から 10.10.10.110 の範囲のアドレスに変換され、グループ アドレスは 233.252.0.2/32 に変換されます。
この例では、次の設定について説明します。
-
IP アドレス 233.252.0.2/32 を含む宛先NAT プール
dst-nat-pool。 -
宛先NAT ルールルール
r1で、インターフェイス xe-2/0/1.0 に到着するパケットをIP アドレス 233.252.0.1/32 と照合するようにrs1設定されています。一致するパケットの場合、宛先アドレスはdst-nat-poolプール内のIPアドレスに変換されます。 -
IP アドレス範囲 198.51.100.200/32 から 198.51.100.210/32 を含む送信元NAT プール
src-nat-shift-1。このプールでは、元の送信元 IP アドレス範囲の先頭は 203.0.113.100/32 で、host-address-baseオプションで指定されます。 -
送信元NAT ルール
rs-shift1をルールr1で設定して、trustゾーンからインターフェイスxe-1/0/1.0までのパケットを、203.0.113.96/28サブネット内の送信元IPアドレスと照合します。src-nat-shift-1設定で指定された送信元IPアドレス範囲内にある一致するパケットの場合、送信元アドレスはsrc-nat-shift-1プール内のIPアドレスに変換されます。 -
IP アドレス範囲 10.10.10.100/32 から 10.10.10.110/32 を含む送信元NAT プール
src-nat-shift-2。このプールでは、元の送信元 IP アドレス範囲の先頭は 203.0.113.100/32 で、host-address-baseオプションで指定されます。 -
送信元NAT ルールルール
r1で設定されたrs-shift2は、trustゾーンからインターフェイスxe-2/0/0.0へのパケットを、203.0.113.96/28サブネット内の送信元IPアドレスと照合します。src-nat-shift-2設定で指定された送信元IPアドレス範囲内に一致するパケットの場合、送信元アドレスはsrc-nat-shift-2プール内のIPアドレスに変換されます。 -
インターフェイス xe-1/0/0.0 上のアドレス 203.0.113.100 から 203.0.113.110、インターフェイス xe-1/0/1.0 上のアドレス 198.51.100.200 から 198.51.100.210、インターフェイス xe-2/0/0.0 上のアドレス 10.10.10.100 から 10.10.10.110 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。
-
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
-
untrust ゾーンから trust ゾーンの変換されたIP アドレスへのトラフィックを許可するセキュリティ ポリシー。
位相幾何学
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32
set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32
set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32
set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32
set security nat source rule-set rs-shift1 from zone trust
set security nat source rule-set rs-shift1 to interface xe-1/0/1.0
set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
set security nat source rule-set rs-shift2 from zone trust
set security nat source rule-set rs-shift2 to interface xe-2/0/0.0
set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
set security nat destination pool dst-nat-pool address 233.252.0.2/32
set security nat destination rule-set rs1 from interface xe-2/0/1.0
set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32
set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32
set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32
set security policies from-zone trust to-zone untrust policy internet-access match source-address any
set security policies from-zone trust to-zone untrust policy internet-access match destination-address any
set security policies from-zone trust to-zone untrust policy internet-access match application any
set security policies from-zone trust to-zone untrust policy internet-access then permit
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
マルチキャストフローの宛先および送信元NAT変換を設定するには、次の手順に従います。
-
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32 -
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0 -
パケットを照合し、宛先アドレスを宛先 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool -
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210 -
元の送信元 IP アドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100 -
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0 -
パケットを照合し、宛先アドレスを送信元 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 -
送信元 NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110 -
元の送信元 IP アドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32 -
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0 -
パケットを照合し、宛先アドレスを送信元 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 -
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110 -
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit -
untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
宛先 NAT プールの使用状況の確認
目的
宛先NAT プールからの IP アドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat destination rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
送信元NATプールの使用状況の確認
目的
送信元NAT プールからのIPアドレスを使用するトラフィックが存在することを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。[変換ヒット(Translation hits)] フィールドを表示して、プールの IP アドレスを使用してトラフィックを確認します。
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。