Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

NAT の概要

ネットワークアドレス変換 (NAT) は、パケットがインターネットに送信されるときに、コンピューターまたはコンピューターのグループの IP アドレスを 1 つのパブリック アドレスに変換するメカニズムです。IPアドレスを変換することで、1つのIPアドレスのみが外部ネットワークに公開されます。外部から見えるIPアドレスは1つしかないため、NATによってセキュリティが強化され、複数のIPアドレスを持つ代わりに、ネットワーク全体に対して1つのパブリックアドレスのみを持つことができます。

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。

NAT の概要

ネットワークアドレス変換(NAT)は、パケットヘッダー内のネットワークアドレス情報を変更または変換するための方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方が変換される場合があります。NAT には、IP アドレスだけでなく、ポート番号の変換も含めることができます。

NAT は、IP (バージョン 4) アドレス枯渇の問題を解決するために RFC 1631 に記述されています。それ以来、NATはファイアウォール、トラフィックのリダイレクト、負荷分散、ネットワーク移行などに有用なツールであることがわかってきました。

デバイスのNATは、以下のタイプでサポートされます。

  • 静的 NAT

  • ディスティネーション NAT

  • ソースNAT

SRXシリーズファイアウォールは、変換された宛先ポートに基づいて、ポリシー検索とサービス検索の両方を実行します。

NAT ウィザードを使用して、基本的な NAT 設定を実行できます。より高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。

参照

NAT ルール セットとルールについて

NAT 処理では、NAT ルール セットとルールの評価が中心となります。ルール セットは、処理するトラフィックの全体的な方向を決定します。たとえば、ルールセットは、特定のインターフェイスまたは特定のゾーンへのトラフィックを選択できます。ルール・セットには、複数のルールを含めることができます。特定のトラフィックに一致するルールセットが見つかると、ルールセット内の各ルールの一致が評価されます。ルール セット内の各ルールは、一致させるトラフィックと、トラフィックがルールに一致したときに実行するアクションをさらに指定します。

このトピックは、以下のセクションで構成されています。

NAT ルール セット

ルール セットは、トラフィックの一致条件の一般的なセットを指定します。静的 NAT と宛先 NAT の場合、ルール セットは次のいずれかを指定します。

  • 送信元インターフェイス

  • 送信元ゾーン

  • ソース ルーティング インスタンス

送信元 NAT ルール セットでは、送信元と宛先の両方の条件を設定します。

  • 送信元インターフェイス、ゾーン、またはルーティング インスタンス

  • 宛先インターフェイス、ゾーン、またはルーティング インスタンス

1 つのパケットが複数のルール セットと一致する可能性があります。この場合、より具体的な一致を持つルール・セットが使用されます。インターフェイスの一致は、ゾーンの一致よりも具体的であると見なされ、ゾーンの一致はルーティング インスタンスの一致よりも具体的です。パケットが、送信元ゾーンを指定する宛先 NAT ルール セットと、送信元インターフェイスを指定する宛先 NAT ルール セットの両方に一致する場合、送信元インターフェイスを指定するルール セットの方が一致し、より具体的な一致となります。

送信元 NAT ルール セットで送信元と宛先の両方の条件を指定するため、送信元 NAT ルール セットの照合はより複雑になります。パケットが複数の送信元 NAT ルール セットに一致する場合、選択されたルール セットは以下の送信元/宛先条件に基づきます(優先度順)。

  1. 送信元インターフェイス/宛先インターフェイス

  2. 送信元ゾーン/宛先インターフェイス

  3. 送信元ルーティング インスタンス/宛先インターフェイス

  4. 送信元インターフェイス/宛先ゾーン

  5. 送信元ゾーン/宛先ゾーン

  6. 送信元ルーティング インスタンス/宛先ゾーン

  7. 送信元インターフェイス/宛先ルーティング インスタンス

  8. 送信元ゾーン/宛先ルーティング インスタンス

  9. ソース ルーティング インスタンス/宛先ルーティング ルーティング インスタンス

たとえば、送信元インターフェイスと宛先ゾーンを指定するルールセットAと、送信元ゾーンと宛先インターフェイスを指定するルールセットBを設定できます。パケットが両方のルール セットに一致する場合、ルール セット B がより具体的な一致になります。

送信元 NAT ルール セットに同じ送信元と宛先の条件を指定することはできません。

NAT ルール

トラフィックに一致するルール セットが見つかると、ルール セット内の各ルールが一致する順番に評価されます。NAT ルールは、以下のパケット情報で一致させることができます。

  • 送信元アドレスと宛先アドレス

  • 送信元ポート(送信元および静的 NAT のみ)

  • 宛先ポート

ルールセット内でトラフィックに一致する最初のルールが使用されます。セッション確立時にパケットが設定されたルールのルールに一致すると、そのルールで指定されたアクションに従ってトラフィックが処理されます。

show security nat source ルールshow security nat destination ルール 、および コマンドを show security nat static rule 使用して、特定のルールのセッション数を表示できます。

ルール処理

NAT タイプによって、NAT ルールが処理される順序が決まります。フローの最初のパケット処理時に、NAT ルールは以下の順序で適用されます。

  1. 静的 NAT ルール

  2. 宛先 NAT ルール

  3. ルート検索

  4. セキュリティポリシーのルックアップ

  5. 静的 NAT ルールのリバース マッピング

  6. ソースNATルール

図 1 は、NAT ルールの処理順序を示しています。

図 1: NAT ルール処理 Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet.

静的 NAT と宛先 NAT のルールは、ルートとセキュリティ ポリシーのルックアップの前に処理されます。静的 NAT ルールは、宛先 NAT ルールよりも優先されます。静的 NAT ルールのリバース マッピングは、ルートおよびセキュリティ ポリシーのルックアップ後に実行され、送信元 NAT ルールよりも優先されます。送信元 NAT ルールは、ルートおよびセキュリティ ポリシーのルックアップ後、および静的 NAT ルールのリバース マッピングの後に処理されます。

ルールとルールセットの構成は、基本的には各タイプのNATで同じです(送信元、送信先、静的)。ただし、ルート検索の前に宛先NATと静的NATの両方が処理されるため、ルールセットで宛先ゾーン、インターフェイス、またはルーティング インスタンスを指定することはできません。

NAT ルールの容量

NAT ルール容量要件は、SRXシリーズファイアウォールとJunos OSリリースによって異なります。

ルール セットあたりのルール数の制限は、デバイスがサポートできるルールの数に対するデバイス全体の制限です。この制限は、デバイスの NAT ルールをより適切に計画および設定するために提供されています。

メモリ消費量については、これらの数値(送信元ルールまたはルール セットの最大数 + 宛先ルールまたはルール セットの最大値 + 静的ルールまたはルール セットの最大数)をサポートする保証はありません。

NAT ルール容量要件は、SRXシリーズファイアウォールとJunos OSリリースによって異なります。

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。

詳細については、「 プラットフォームに関する追加情報」 セクションを参照してください。

プラットフォームの追加情報

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。

NAT ルール タイプ

SRX300SRX320

SRX340SRX345

SRX1500SRX1600

SRX2300、SRX4120SRX4100SRX4200

SRX4600SRX5400SRX5600SRX5800

SRX4700

ソース NAT ルール

1024

2048

8192

20,480

30,720

51200

宛先 NAT ルール

1024

2048

8192

20,480

30,720

51200

静的 NAT ルール

1024

2048

8192

20,480

30,720

51200

オブジェクト

SRX1600SRX2300、SRX4120

SRX4600SRX5400SRX5600SRX5800

SRX4700

システム当たりの NAT ルール セットの合計

10,000

30,720

51200

ルール セット当たりの NAT ルールの合計数

10,000

30,720

51200
プラットフォーム OL でサポートされている IP の数
vSRX 小規模 VSRX-2CPU-4G 1
SRX1600 2
SRX2300、SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000シリーズのデバイス 128

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
19.3R1
Junos OS リリース 19.3R1以降、SRX5K-SPC3カード、SRX4100、SRX4200、vSRX仮想ファイアウォールインスタンスを持つSRX5000シリーズデバイスは、PowerMode IPsec(PMI)モードのIPv4とIPv6の両方のトラフィックに対して、ソースNAT、宛先NAT、静的NATなどのNAT機能をサポートしています。NAT64 は PMI モードではサポートされません。ただし、PMI が有効な場合、NAT64 は通常モードで正しく動作します。