Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

NATの概要

ネットワークアドレス変換(NAT)は、パケットがインターネットに送信されるときに、コンピュータまたはコンピュータのグループのIPアドレスを単一のパブリックアドレスに変換するメカニズムです。IPアドレスを変換することで、1つのIPアドレスのみが外部ネットワークに公開されます。外部からはIPアドレスが1つだけ見えるため、NATはセキュリティを強化し、複数のIPアドレスを持つことなく、ネットワーク全体に対して1つのパブリックアドレスのみを持つことができます。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。

NATの概要

ネットワークアドレス変換(NAT)は、パケットヘッダー内のネットワークアドレス情報を変更または変換する方法です。パケット内の送信元アドレスと宛先アドレスのいずれか、または両方を変換できます。NATには、IPアドレスだけでなくポート番号の変換も含めることができます。

NATは、IP(バージョン4)アドレス枯渇問題を解決するためにRFC 1631で説明されています。それ以来、NAT はファイアウォール、トラフィック リダイレクト、負荷分散、ネットワーク移行などに役立つツールであることがわかっています。

ジュニパーネットワークス デバイスでは、以下のタイプの NAT がサポートされています。

  • 静的 NAT

  • 宛先 NAT

  • ソースNAT

SRXシリーズファイアウォールは、変換された宛先ポートに基づいて、ポリシールックアップとサービスルックアップの両方を実行します。

NATウィザードを使用して、基本的なNAT設定を実行できます。より高度な設定を実行するには、J-WebインターフェイスまたはCLIを使用します。

関連項目

NATルールセットとルールについて

NAT処理は、NATルールセットとルールの評価を中心にしています。ルールセットは、処理されるトラフィックの全体的な方向を決定します。例えば、ルールセットは、特定のインターフェイスまたは特定のゾーンへのトラフィックを選択できます。ルールセットには複数のルールを含めることができます。特定のトラフィックに一致するルールセットが見つかると、ルールセット内の各ルールが一致しているかどうかを評価します。ルールセットの各ルールは、一致するトラフィックと、トラフィックがルールに一致した場合に実行するアクションをさらに指定します。

このトピックでは、次のセクションについて説明します。

NATルールセット

ルールセットは、トラフィックの一致条件の一般的なセットを指定します。静的 NAT と宛先 NAT の場合、ルールセットは次のいずれかを指定します。

  • 送信元インターフェース

  • ソースゾーン

  • 送信元ルーティングインスタンス

送信元 NAT ルール セットでは、送信元と宛先の両方の条件を設定します。

  • 送信元インターフェイス、ゾーン、またはルーティングインスタンス

  • 宛先インターフェイス、ゾーン、またはルーティングインスタンス

パケットは複数のルールセットに一致する可能性があります。この場合、より具体的な一致を持つルールセットが使用されます。インターフェイスの一致は、ゾーンの一致よりも具体的であると見なされ、ゾーンの一致はルーティングインスタンスの一致よりも具体的です。パケットが送信元ゾーンを指定する宛先NATルールセットと送信元インターフェイスを指定する宛先NATルールセットの両方に一致する場合、送信元インターフェイスを指定するルールセットがより具体的な一致となります。

送信元NATルールセットの一致は、送信元NATルールセットで送信元と宛先の両方の条件を指定するため、より複雑になりますNAT。パケットが複数の送信元NATルールセットに一致する場合、選択されるルールセットは、以下の送信元/宛先条件(優先度順)に基づきます。

  1. 送信元インターフェイス/宛先インターフェイス

  2. 送信元ゾーン/宛先インターフェイス

  3. 送信元ルーティングインスタンス/宛先インターフェイス

  4. 送信元インターフェース/宛先ゾーン

  5. 送信元ゾーン/宛先ゾーン

  6. 送信元ルーティングインスタンス/宛先ゾーン

  7. 送信元インターフェイス/宛先ルーティングインスタンス

  8. 送信元ゾーン/宛先ルーティングインスタンス

  9. 送信元ルーティングインスタンス/宛先ルーティングインスタンス

例えば、送信元インターフェイスと宛先ゾーンを指定するルールセットAと、送信元ゾーンと宛先インターフェイスを指定するルールセットBを設定できます。パケットが両方のルールセットに一致する場合、ルールセットBがより具体的な一致となります。

送信元NATルールセットに同じ送信元と宛先の条件を指定することはできません。

NATルール

トラフィックに一致するルールセットが見つかると、ルールセット内の各ルールが一致するかどうかを評価します。NATルールは、以下のパケット情報に一致できます。

  • 送信元アドレスと宛先アドレス

  • 送信元ポート(送信元とスタティックNAT用のみ)

  • 宛先ポート

トラフィックに一致するルールセットの最初のルールが使用されます。セッション確立中にパケットがルールセットのルールに一致した場合、そのルールで指定されたアクションに従ってトラフィックが処理されます。

show security nat source ruleshow security nat destination rule、およびshow security nat static ruleコマンドを使用して、特定のルールのセッション数を表示できます。

ルール処理

NATタイプによって、NATルールが処理される順序が決まります。フローの最初のパケット処理中に、NATルールは次の順序で適用されます。

  1. 静的 NAT ルール

  2. 宛先 NAT ルール

  3. ルート検索

  4. セキュリティポリシーのルックアップ

  5. 静的NATルールのリバースマッピング

  6. 送信元NATルール

図1は、NATルールの処理順序を示しています。

図1: NATルール処理 Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet.

静的 NAT と宛先 NAT ルールは、ルートとセキュリティ ポリシーのルックアップの前に処理されます。静的 NAT ルールは宛先 NAT ルールよりも優先されます。静的 NAT ルールのリバースマッピングは、ルートとセキュリティポリシーの検索後に実行され、ソース NAT ルールよりも優先されます。送信元NATルールは、ルートとセキュリティポリシーのルックアップ後、静的NATルールのリバースマッピング後に処理されます。

ルールとルールセットの構成は、送信元、宛先、静的NATのタイプごとに基本的に同じです。ただし、ルート ルックアップの前に宛先と静的NATの両方が処理されるため、ルール セットで宛先ゾーン、インターフェイス、またはルーティング インスタンスを指定することはできません。

NATルール容量

NATルールの容量要件は、SRXシリーズファイアウォールとJunos OSリリースによって異なります。

ルールセットごとのルール数の制限は、デバイスがサポートできるルール数に対するデバイス全体の制限です。この制限は、デバイスのNATルールをより適切に計画および設定するのに役立ちます。

メモリ消費量については、これらの数値(最大ソースルールまたはルールセット + 最大宛先ルールまたはルールセット + 最大静的ルールまたはルールセット)をサポートする保証はありません。

NATルールの容量要件は、SRXシリーズファイアウォールとJunos OSリリースによって異なります。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。

詳細については、「 補足プラットフォーム情報 」セクションを参照してください。

補足プラットフォーム情報

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。

NATルールタイプ

SRX300SRX320

SRX340SRX345

SRX1500SRX1600

SRX2300、SRX4120SRX4100SRX4200

SRX4600SRX5400SRX5600SRX5800

SRX4700

送信元NATルール

1024

2048

8192

20,480

30,720

51200

宛先 NAT ルール

1024

2048

8192

20,480

30,720

51200

静的NATルール

1024

2048

8192

20,480

30,720

51200

オブジェクト

SRX1600SRX2300、SRX4120

SRX4600SRX5400SRX5600SRX5800

SRX4700

システムあたりのNATルールセットの合計数

10,000

30,720

51200

ルールセットごとのNATルールの合計数

10,000

30,720

51200
プラットフォーム OLでサポートされているIP数
vSRX小型 VSRX-2CPU-4G 1
SRX1600 2
SRX2300、SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000シリーズのデバイス 128

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
19.3R1
Junos OSリリース19.3R1以降、SRX5K-SPC3カード、SRX4100、SRX4200、およびvSRX仮想ファイアウォールインスタンスを搭載したSRX5000シリーズデバイスは、PowerMode IPsec(PMI)モードのIPv4とIPv6の両方のトラフィックに対して、送信元NAT、宛先NAT、静的NATなどのNAT機能をサポートします。NAT64 は PMI モードではサポートされません。ただし、PMIが有効な場合、NAT64は通常モードでは正常に動作します。