マルチキャスト フローの NAT
マルチキャストグループアドレス変換を実装するには、静的 NAT または宛先 NAT のいずれかが使用されます。NAT の助けを借りて、IPv4 の送信元アドレスは IPv4 マルチキャスト グループの宛先アドレスに変換されます。
マルチキャスト フローの NAT について
ネットワークアドレス変換(NAT)を使用して、IPv4 マルチキャスト フローの送信元アドレスを変換したり、IPv4 マルチキャスト グループの宛先アドレスを変換したりできます。
静的 NAT または宛先 NAT のいずれかを使用して、マルチキャスト グループ アドレス変換を実行できます。静的NATでは、ネットワークのどちら側からでも接続を発信できますが、変換は1対1のアドレス間または同じサイズのアドレスのブロック間に制限されます。アドレスプールは必要ありません。 static 構成ステートメント を [edit security nat] 階層レベルで使用して、マルチキャスト トラフィックの静的NATルール セットを構成します。宛先 NAT では、インターネットからプライベート ネットワークなど、受信ネットワーク接続に対してのみ接続を開始できます。 destination 構成ステートメントを [edit security nat] 階層レベルで使用して、宛先NATプールとルール セットを構成します。
マルチキャストトラフィックの送信元NATは、IPアドレスシフトを使用して元の送信元IPアドレスをユーザー定義アドレスプールのIPアドレスに変換することによってのみサポートされます。このタイプの変換は、1対1の静的で、ポートアドレス変換は行いません。元の送信元IPアドレス範囲がユーザー定義プール内のIPアドレス範囲よりも大きい場合、未変換のパケットは破棄されます。マッピングは、静的NATが提供する双方向マッピングを提供しません。 source 構成ステートメントを [edit security nat] 階層レベルで使用して、ソース NAT プールとルール セットを構成します。このタイプの送信元NATに送信元NATプールを定義する場合、 host-address-base オプションを使用して、元の送信元IPアドレス範囲の開始を指定します。
関連項目
例:マルチキャスト フローの NAT の設定
この例では、マルチキャストフローのアドレス変換用にジュニパーネットワークスデバイスを設定する方法を示しています。
要件
始める前に:
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティゾーンを作成し、インターフェイスを割り当てます。 「セキュリティゾーンについて」を参照してください。
-
マルチキャスト転送用にデバイスを設定します。 「マルチキャストの概要」を参照してください。
概要
この例では、プライベートアドレス空間にtrustセキュリティゾーンを、パブリックアドレス空間にuntrustセキュリティゾーンを使用します。 図1 は、マルチキャストフォワーディング用のジュニパーネットワークスデバイスの典型的な導入を示しています。送信元ルーター R1 は、送信元アドレスが 203.0.113.100 から 203.0.113.110 の範囲で、グループ アドレスが 233.252.0.1/32 のマルチキャスト パケットをジュニパーネットワークス デバイスに向けて送信します。送信元ルーター R1 は、ジュニパーネットワークス デバイスのアップストリームにあるプライベート ネットワーク(トラスト ゾーン)にあります。デバイスの下流のパブリックネットワーク(untrustゾーン)に複数のレシーバーがあります。
ジュニパーネットワークスデバイスは、R1から受信したマルチキャストパケットを変換してから、ダウンストリームインターフェイスに転送します。以下の翻訳が適用されます。
R2へのインターフェイスでは、送信元アドレスは変換されず、グループアドレスは233.252.0.2/32に変換されます。
R3へのインターフェイスの場合、送信元アドレスは198.51.100.200〜198.51.100.210の範囲のアドレスに変換され、グループアドレスは233.252.0.2/32に変換されます。
R4へのインターフェイスの場合、送信元アドレスは10.10.10.100〜10.10.10.110の範囲のアドレスに変換され、グループアドレスは233.252.0.2/32に変換されます。
この例では、以下の設定について説明します。
IPアドレス233.252.0.2/32を含む宛先NATプール
dst-nat-pool。宛先NATルールセットは、宛先IPアドレス233.252.0.1/32とインターフェイスxe-2/0/1.0に到着するパケットを一致させるルール
r1でrs1されます。一致するパケットの場合、宛先アドレスはdst-nat-poolプール内のIPアドレスに変換されます。送信元NATプール
src-nat-shift-1には、IPアドレスの範囲198.51.100.200/32から198.51.100.210/32が含まれます。このプールでは、元の送信元IPアドレス範囲の開始は203.0.113.100/32で、host-address-baseオプションで指定されます。送信元NATルールセットは、trustゾーンからインターフェイスxe-1/0/1.0へのパケットを203.0.113.96/28サブネット内の送信元IPアドレスと一致させるルール
r1とrs-shift1します。src-nat-shift-1設定で指定された送信元IPアドレス範囲内にある一致パケットの場合、送信元アドレスはsrc-nat-shift-1プール内のIPアドレスに変換されます。送信元NATプール
src-nat-shift-2は、IPアドレス範囲10.10.10.100/32から10.10.10.110/32までです。このプールでは、元の送信元IPアドレス範囲の先頭は203.0.113.100/32で、host-address-baseオプションで指定されます。送信元NATルールセットは、trustゾーンからインターフェイスxe-2/0/0.0へのパケットを203.0.113.96/28サブネット内の送信元IPアドレスと一致させるルール
r1とrs-shift2します。src-nat-shift-2設定で指定された送信元IPアドレスの範囲内にある一致パケットの場合、送信元アドレスはsrc-nat-shift-2プール内のIPアドレスに変換されます。インターフェイスxe-1/0/0.0のアドレス203.0.113.100〜203.0.113.110、インターフェイスxe-1/0/1.0のアドレス198.51.100.200〜198.51.100.210、インターフェイスxe-2/0/0.0のアドレス10.10.10.10〜10.10.10.110のプロキシARP。これにより、ジュニパーネットワークスのセキュリティデバイスは、それらのアドレスに対してインターフェイス上で受信したARPリクエストに応答できます。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシー。
untrustゾーンからtrustゾーン内の変換された宛先IPアドレスへのトラフィックを許可するセキュリティポリシー。
トポロジー
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
マルチキャスト フローの宛先および送信元 NAT 変換を設定するには:
宛先 NAT プールを作成します。
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
パケットを照合し、宛先アドレスを宛先 NAT プール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
元の送信元IPアドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
パケットを照合し、宛先アドレスを送信元NATプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
ソース NAT プールを作成します。
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
元の送信元IPアドレス範囲の先頭を指定します。
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
パケットを照合し、宛先アドレスを送信元NATプール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
プロキシARPを設定します。
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
結果
設定モードから、 show security nat および show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
- 宛先 NAT プール使用状況の検証
- 宛先 NAT ルールの使用状況の確認
- 送信元 NAT プールの使用状況の検証
- 送信元NATルールの使用状況の確認
- トラフィックに対する NAT アプリケーションの検証
宛先 NAT プール使用状況の検証
目的
宛先NATプールからのIPアドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination pool all コマンドを入力します。変換ヒットフィールドを表示して、プールからのIPアドレスを使用しているトラフィックを確認します。
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat destination rule all コマンドを入力します。変換ヒットフィールドを表示して、ルールに一致するトラフィックを確認します。
送信元 NAT プールの使用状況の検証
目的
送信元NATプールからのIPアドレスを使用するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source pool all コマンドを入力します。変換ヒットフィールドを表示して、プールからのIPアドレスを使用しているトラフィックを確認します。
送信元NATルールの使用状況の確認
目的
送信元NATルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat source rule all コマンドを入力します。変換ヒットフィールドを表示して、ルールに一致するトラフィックを確認します。