静的 NAT
静的 NAT は、ネットワーク トラフィックを静的外部IPアドレスから内部 IP アドレスまたはネットワークにマッピングします。これは、実際のアドレスからマッピングされたアドレスへの静的な変換を作成します。静的NATは、未登録のプライベートIPアドレスを持つプライベートLANを介して、ネットワークデバイスへのインターネット接続を提供します。
スタティック NAT について
静的 NAT は、1 つの IP サブネットから別の IP サブネットへの 1 対 1 のマッピングを定義します。マッピングには、一方向へのIP アドレス変換と逆方向への送信元 IP アドレス変換が含まれます。NAT デバイスからは、元の宛先アドレスは仮想ホストの IP アドレスで、マッピング先アドレスは実際のホストの IP アドレスです。
静的 NAT では、ネットワークのどちらの側からでも接続を発信できますが、変換は 1 対 1 または同じサイズのアドレス ブロック間でのみに制限されます。プライベートアドレスごとに、パブリックアドレスを割り当てる必要があります。アドレスプールは必要ありません。
静的 NAT は、次のタイプの変換もサポートしています。
複数の IP アドレスと指定したポート範囲を、同じ IP アドレスと異なるポート範囲にマッピングするには
特定の IP アドレスとポートを別の IP アドレスとポートにマッピングするには
ポートアドレス変換(PAT)は、宛先ポート(範囲)とマップされたポート(範囲)間の静的マッピングを提供することでもサポートされます。
元の宛先アドレスは、送信元および宛先の NAT プール内の他のアドレスとともに、同じルーティング インスタンス内で重複してはなりません。
NAT ルール ルックアップでは、静的 NAT ルールが宛先 NAT ルールよりも優先され、静的 NAT ルールのリバース マッピングが送信元 NAT ルールよりも優先されます。
スタティック NAT ルールについて
静的ネットワークアドレス変換(NAT)ルールは、2 層の照合条件を指定します。
トラフィック方向- from interface、 from zone、from routing-instanceを指定できます。
パケット情報 - 送信元アドレスとポート、宛先アドレスとポートのいずれかです。
FTP を除くすべての ALG トラフィックでは、静的NAT ルールオプション source-address
または source-port
を使用しないことをお勧めします。これらのオプションを使用すると、IPアドレスと送信元ポート値(ランダムな値)が静的NAT ルールと一致しない可能性があるため、データセッションの作成に失敗することがあります。FTP ALGトラフィックの場合、静的NAT ルールの送信元アドレスと一致するIPアドレスを提供できるため、 source-address
オプションを使用できます。
送信元アドレスと宛先アドレスの両方がルールの一致条件として設定されている場合、トラフィックは送信元アドレスと宛先アドレスの両方に照合されます。静的NATは双方向性であるため、逆方向のトラフィックはルールに逆一致し、トラフィックの宛先アドレスは設定された送信元アドレスと照合されます。
照合条件で複数のスタティックNATルールが重複する場合は、最も具体的なルールが選択されます。例えば、ルールAとBで同じ送信元IPアドレスと宛先IPアドレスが指定されているが、ルールAがゾーン1からのトラフィックを指定し、ルールBがインターフェイスge-0/0/0からのトラフィックを指定する場合、ルールBを使用して静的NATが実行されます。インターフェイスの一致は、ゾーンの一致よりも特定的であると見なされ、ゾーンの一致はルーティング インスタンスの一致よりもより特定的です。
静的NATルールはアドレスとポートの重複をサポートしていないため、ALGトラフィックの1つの外部IPアドレスを複数の内部IPアドレスにマッピングするために使用しないでください。たとえば、異なるサイトが 2 つの異なる FTP サーバーにアクセスする場合、内部 FTP サーバーを 2 つの異なる外部 IP アドレスにマップする必要があります。
静的NAT ルールアクションの場合は、変換されたアドレスと(オプションで)ルーティング インスタンスを指定します。
NATルックアップでは、静的NATルールが宛先NATルールよりも優先され、静的NATルールのリバースマッピングが送信元NATルールよりも優先されます。
静的 NAT 設定の概要
スタティックNATの主な設定タスクは以下の通りです。
- ネットワークとセキュリティの要件に合わせて静的NATルールを設定します。
- イングレス インターフェイスの同じサブネット内の IP アドレスの NAT プロキシ ARP エントリを設定します。
例:単一アドレス変換用のスタティック NAT の設定
この例では、単一のプライベートアドレスからパブリックアドレスへの静的NATマッピングを設定する方法を説明します。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。
図 1 では、untrust ゾーンのデバイスが、パブリック アドレス 203.0.113.200/32 を介して trust ゾーンのサーバーにアクセスしています。IP アドレスが 203.0.113.200/32 の untrust ゾーンから Juniper Networks セキュリティ デバイスに入るパケットの場合、宛先 IP アドレスはプライベート アドレス 192.168.1.200/32 に変換されます。サーバーから発信された新しいセッションの場合、送信パケットの送信元IPアドレスはパブリックアドレス203.0.113.200/32に変換されます。
この例では、次の設定について説明します。
ルール
r1
で設定された静的NAT ルールrs1
、untrustゾーンからのパケットと宛先アドレス203.0.113.200/32を照合します。一致するパケットの場合、IP アドレスはプライベート アドレス 192.168.1.200/32 に変換されます。インターフェイス ge-0/0/0.0 上のアドレス 203.0.113.200 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したそのアドレスの ARP 要求に応答できます。
192.168.1.200サーバーとの間のトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
プライベートアドレスからパブリックアドレスへの静的NATマッピングを設定するには、以下を行います。
静的 NAT ルール セットを作成します。
[edit security nat static] user@host# set rule-set rs1 from zone untrust
パケットを照合し、パケット内の宛先アドレスをプライベートアドレスに変換するルールを設定します。
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
untrust ゾーンから trust ゾーンのサーバーへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
trustゾーンのサーバーからuntrustゾーンへのすべてのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
業績
設定モードから、 show security nat
コマンドと show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat static { rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; } then { static-nat prefix 192.168.1.200/32; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-1; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
スタティック NAT 設定の検証
目的
静的 NAT ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat static rule
コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:サブネット変換のためのスタティック NAT の設定
この例では、プライベート・サブネット・アドレスからパブリック・サブネット・アドレスへの静的NATマッピングを設定する方法を説明します。
静的 NAT マッピングのアドレス ブロックは、同じサイズでなければなりません。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。 図2では、untrustゾーンのデバイスは、パブリックサブネットアドレス203.0.113.0/24を介してtrustゾーンのデバイスにアクセスします。203.0.113.0/24サブネットのIP アドレスを持つuntrustゾーンからジュニパーネットワークスセキュリティデバイスに入るパケットの場合、IP アドレスは192.168.1.0/24サブネット上のプライベートアドレスに変換されます。192.168.1.0/24 サブネットから発信された新しいセッションの場合、発信パケットの送信元 IP アドレスは、パブリック 203.0.113.0/24 サブネットのアドレスに変換されます。
この例では、次の設定について説明します。
インターフェイス ge-0/0/0.0 で受信したパケットを 203.0.113.0/24 サブネットの IP アドレス と照合するルール
r1
でrs1
設定された静的NAT ルール。一致するパケットの場合、宛先アドレスは 192.168.1.0/24 サブネット上のアドレスに変換されます。インターフェイス ge-0/0/0.0 上のアドレス範囲 203.0.113.1/32 から 203.0.113.249/32 のプロキシ ARP。これにより、ジュニパーネットワークス セキュリティ デバイスは、インターフェイスで受信したこれらのアドレスの ARP 要求に応答できます。アドレス 203.0.113.250/32 はインターフェイス自体に割り当てられるため、このアドレスはプロキシ ARP 設定に含まれません。
192.168.1.0/24サブネットとの間のトラフィックを許可するセキュリティポリシー。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
プライベート・サブネット・アドレスからパブリック・サブネット・アドレスへの静的NATマッピングを設定するには、次のようにします。
静的 NAT ルール セットを作成します。
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
パケットを照合し、パケット内の宛先アドレスをプライベートサブネット内のアドレスに変換するルールを構成します。
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
プロキシ ARP を設定します。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
グローバルアドレス帳にアドレスを設定します。
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
untrust ゾーンから trust ゾーンのサブネットへのトラフィックを許可するセキュリティ ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
trustゾーンのサブネットからuntrustゾーンへのすべてのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
業績
設定モードから、 show security nat
コマンドと show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat static { rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { static-nat prefix 192.168.1.0/24; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-group; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-group; application any; } then { permit; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
スタティック NAT 設定の検証
目的
静的 NAT ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat static rule
コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
例:サブネット変換のためのスタティック NAT64 の設定
この例では、SRXファイアウォールデバイスで静的NAT64を設定する手順を示しています。この例に従うことで、IPv6 アドレス空間と IPv4 アドレス空間間のシームレスな変換を設定できます。この機能は、IPv4からIPv6に移行する環境で特に役立ちます。デュアルスタック構成が不要になると同時に、信頼性の高いクロスIPバージョン通信が保証されるためです。
可読性スコア |
|
読書の時間 |
15分未満です。 |
設定時間 |
1時間もかかりません。 |
- 前提条件の例
- 始める前に
- 機能の概要
- トポロジーの概要
- トポロジー図
- 被試験デバイス(DUT)での静的NAT64の設定
- 検証
- 付録1:すべてのデバイスでコマンドを設定する
- 付録 2:DUT での設定出力の表示
前提条件の例
この設定例を使用して、デバイスでスタティックNAT64を設定および確認します。静的 NAT64 は、既知の NAT64 プレフィックス(64:ff9b::/96)を使用して IPv6 アドレスを IPv4 に変換することにより、IPv6 専用クライアントと IPv4 サーバー間のシームレスな通信を可能にします。この機能は、IPv4からIPv6に移行する環境で特に役立ちます。デュアルスタック構成が不要になると同時に、信頼性の高いクロスIPバージョン通信が保証されるためです。
ハードウェア要件 |
vSRX仮想ファイアウォール |
ソフトウェア要件 |
Junos OS リリース 24.1R1 以降 |
ライセンス要件 |
セキュリティライセンスをアクティブ化して、ネットワークアドレス変換(NAT)およびセキュリティ機能を有効にします。 |
始める前に
利点 |
|
役立つリソース: |
|
もっと知る |
|
ハンズオン体験 |
|
詳細情報 |
機能の概要
プロファイル |
|
翻訳プロファイル | NAT64 設定には、IPv6 と IPv4 間のマッピングを定義する変換プロファイルが含まれています。 |
プレフィックスプロファイル | IPv6 から IPv4 へのアドレス変換用の NAT64 ウェルノウン プレフィックス(64:ff9b::/96)を指定します。 |
アドレスマッピング |
特定の IPv6 アドレスまたはサブネットを対応する IPv4 アドレスにマッピングして、変換を容易にします。 |
檄 |
|
受信ポリシー |
IPv6 専用クライアントが NAT64 変換ルールに一致させることで、IPv4 サーバへのトラフィックを開始できるようにします。 |
アウトバウンドポリシー |
NAT64 ルールに基づいて、IPv4 サーバーから IPv6 クライアントへのリターン トラフィックを許可します。 |
セキュリティ ゾーン |
|
|
接続を開始する IPv6 専用クライアントのネットワーク セグメント。 |
|
IPv4 サーバーが常駐し、クライアント要求に応答するネットワーク セグメント。 |
NAT64ゾーン |
NAT64処理の専用ゾーンで、効率的な変換とトラフィック管理を保証します。 |
トポロジーの概要
この静的NAT64トポロジーでは、IPv6専用クライアントがSRXシリーズファイアウォールを介してIPv4サーバーと通信します。ファイアウォールは静的NAT64マッピングを使用してIPv6アドレスをIPv4に変換し、DNS64サーバーはIPv6 DNS応答を合成してシームレスなアドレス解決を実現します。このセットアップにより、デュアルスタック構成を必要とせずに、IPv6専用クライアントとIPv4サーバー間のスムーズな通信が保証されます。
位相幾何学 |
役割 |
機能 |
---|---|---|
クライアント |
IPv6専用デバイス |
IPv6 のみの環境から、IPv4 サーバーとの通信の要求を開始します。 |
SRXシリーズファイアウォール |
NAT64ゲートウェイ |
設定された静的 NAT64 マッピングを使用して IPv6 アドレスを IPv4 アドレスに変換し、IP バージョン間でシームレスな通信を確保します。 |
DNS64サーバー |
DNSトランスレータ |
クライアントの IPv4 DNS 応答を変換し、アドレス解決を可能にします。 |
IPv4サーバー |
宛先サーバー |
IPv4アドレスを使用してクライアント要求に応答し、NAT64を介したIPv6専用クライアントとの対話を可能にします。 |
トポロジー図
被試験デバイス(DUT)での静的NAT64の設定
検証
静的 NAT64 設定の確認
目的
静的 NAT64 ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから、 show security nat static rule
コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
付録1:すべてのデバイスでコマンドを設定する
次の例では、さまざまなレベルの Junos OS 設定階層に移動する必要があります。CLIのナビゲーションに関する詳細なガイダンスについては、 設定モードでのCLIエディターの使用を参照してください。
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
付録 2:DUT での設定出力の表示
DUTのコマンド出力を表示します。
動作モードから、以下のコマンドを使用して設定を確認します。出力が
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 20.20.20.1/24; } } } ge-0/0/2 { unit 0 { family inet6 { address 2001:db8::1/96; } } }
user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } }
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }
user@host# show security nat source { pool p1 { address { 10.6.32.0/24; } } rule-set src_rs1 { from zone trust; to zone untrust; rule source_rule { match { source-address 2001:db8::/96; destination-address 0.0.0.0/0; } then { source-nat { pool { p1; } } } } } } static { rule-set static_rs1 { from zone trust; rule static_rule { match { destination-address 64:ff9b::/96; } then { static-nat { inet; } } } } } proxy-arp { interface ge-0/0/2.0 { address { 10.6.32.1/32 to 10.6.32.249/32; } } }
例:ポート マッピングのためのスタティック NAT の設定
この例では、指定されたポート範囲で、パブリックアドレスからプライベートアドレスへの静的NATマッピングを設定する方法を説明します。
このトピックは、以下のセクションで構成されています。
必要条件
開始する前に、以下を実行します。
デバイス上のネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。 セキュリティゾーンとはを参照してください。
概要
この例では、プライベート アドレス空間に trust セキュリティ ゾーンを使用し、パブリック アドレス空間に untrust セキュリティ ゾーンを使用します。
図4では、untrustゾーンのデバイスは、パブリックアドレス203.0.113.1/32、203.0.113.1/32、および203.0.113.3/32を介してtrustゾーンのサーバーにアクセスします。宛先 IP アドレスが 203.0.113.1/32、203.0.113.1/32、および 203.0.113.3/32 の untrust ゾーンから Juniper Networks セキュリティ デバイスに入るパケットの場合、IP アドレスはプライベート アドレス 10.1.1.1/32、10.1.1.2/32、および 10.1.1.2/32 に変換されます。
宛先ポートを設定するには、IP アドレス プレフィックスではなく、宛先アドレス フィールドに IP アドレスを使用する必要があります。
マッピングされたポートを設定するには宛先ポートを設定する必要があり、その逆も同様です。
宛先ポートとマッピング ポートを設定する際に、ポートに同じ番号範囲を使用します。
宛先ポートとマッピング ポートを設定しない場合、IP マッピングは 1 対 1 のマッピングになります。
アドレスの重複、またはアドレスとポートの重複は許可されません。
この例では、次の設定について説明します。
静的 NAT ルールは、ルール r1 で rs1 を設定して、untrust ゾーンからのパケットを宛先アドレス 203.0.113.1/32 および宛先ポート 100 から 200 に照合します。一致するパケットの場合、IP アドレスはプライベート アドレス 10.1.1.1/32 に変換され、ポート 300 から 400 にマッピングされます。
静的 NAT ルール ルール rs1 をルール r2 で設定し、untrust ゾーンからのパケットを宛先アドレス 203.0.113.1/32、宛先ポート 300 から 400 に一致させます。一致するパケットの場合、IP アドレスはプライベート アドレス 10.1.1.2/32 に変換され、ポート 300 から 400 にマッピングされます。
静的 NAT ルール ルール rs1 をルール r3 で設定し、untrust ゾーンからのパケットを宛先アドレス 203.0.113.3/32 および宛先ポート 300 と照合します。一致するパケットの場合、IP アドレスはプライベート アドレス 10.1.1.2/32 に変換され、ポート 200 にマッピングされます。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security nat static rule-set rs from zone untrust
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32
set security nat static rule-set rs rule r3 match destination-port 300
set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
プロシージャ
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
プライベート・サブネット・アドレスからパブリック・サブネット・アドレスへの静的NATマッピングを設定するには、次のようにします。
静的 NAT ルール セットを作成します。
[edit security nat static]
user@host# set rule-set rs from zone untrust
パケットを照合し、パケット内の宛先アドレスをプライベートアドレスに変換するルールを設定します。
[edit security nat static]
user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r1 match destination-port 100 to 200
user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
パケットを照合し、パケット内の宛先アドレスをプライベートアドレスに変換するルールを設定します。
[edit security nat static]
user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r2 match destination-port 300 to 400
user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
パケットを照合し、パケット内の宛先アドレスをプライベートアドレスに変換するルールを設定します。
[edit security nat static]
user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32
user@host# set rule-set rs rule r3 match destination-port 300
user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
業績
設定モードから、 show security nat
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
security { nat { static { rule-set rs { from zone untrust; rule r1 { match { destination-address 203.0.113.1/32; destination-port 100 to 200; } then { static-nat { prefix { 10.1.1.1/32; mapped-port 300 to 400; } } } } rule r2 { match { destination-address 203.0.113.1/32; destination-port 300 to 400; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 300 to 400; } } } } rule r3 { match { destination-address 203.0.113.3/32; destination-port 300; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 200; } } } } } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
スタティック NAT 設定の検証
目的
静的 NAT ルール セットに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat static rule
コマンドを入力します。[翻訳ヒット(Translation hits)] フィールドを表示して、ルールに一致するトラフィックを確認します。
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
トラブルシューティング
静的 NAT ポート設定のトラブルシューティング
問題
静的 NAT ポート マッピング設定の失敗は、コミット中に発生します。
IPアドレスとポートが重複した無効な設定は、コミット失敗の原因となります。
次の例は、アドレスとポートが重複した無効な設定を示しています。
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.2
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
前述の設定をコミットするために送信すると、次のエラー メッセージが表示されました。
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
解決
宛先ポートを設定するには、アドレスの重複や、アドレスとポートの重複を避ける必要があります。有効な設定の例については、「設定」を参照してください
静的 NAT 情報の監視
目的
静的 NAT ルール情報を表示します。
アクション
J-Web ユーザ インターフェイスで [Monitor>NAT>Static NAT ] を選択するか、次の CLI コマンドを入力します。
show security nat static rule
表 3 は、静的 NAT ディスプレイの主要な出力フィールドをまとめたものです。
畑 |
価値観 |
アクション |
---|---|---|
ルールセット名 |
ルール・セットの名前。 |
リストから、表示するすべてのルールセットまたは特定のルールセットを選択します。 |
トータルルール |
構成されたルールの数。 |
– |
身分証明書 |
ルール ID 番号。 |
– |
立場 |
トラフィックに適用される順序を示すルールの位置。 |
– |
名前 |
ルールの名前。 |
– |
ルールセット名 |
ルール・セットの名前。 |
– |
差出人 |
パケットの送信元のルーティング インスタンス/インターフェイス/ゾーンの名前 |
– |
送信元アドレス |
元 IP アドレス。 |
– |
送信元ポート |
送信元ポート番号。 |
– |
宛先アドレス |
宛先 IP アドレスとサブネットマスク。 |
– |
宛先ポート |
宛先ポート番号。 |
– |
ホストアドレス |
ホスト・アドレスの名前。 |
– |
ホストポート |
ホストポート番号。 |
|
ネットマスク |
サブネット IP アドレス。 |
– |
ホスト ルーティング インスタンス |
- パケット送信元のルーティング インスタンスの名前。 |
– |
アラームしきい値 |
使用率アラームしきい値。 |
– |
セッション(succ/failed/current) |
成功したセッション、失敗したセッション、現在のセッション。
|
– |
翻訳ヒット数 |
スタティック NAT ルールに変換テーブル内の変換が使用された回数。 |
– |
トップ10翻訳ヒットグラフ |
上位 10 件の翻訳ヒットのグラフを表示します。 |
– |