Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

확정적 네트워크 주소 변환(NAT)

결정론적 NAPT 개요

결정적인 NAPT44를 구성하여 원래 소스 IPv4 주소 및 포트가 항상 동일한 NAT 후 IPv4 주소 및 포트 범위에 매핑되고, 지정된 변환된 외부 IPv4 주소 및 포트의 역방향 매핑이 항상 동일한 내부 IPv4 주소에 매핑되도록 할 수 있습니다. 결정적인 NAPT64를 구성하여 원래 소스 IPv6 주소 및 포트가 항상 동일한 NAT 후 IPv4 주소 및 포트 범위에 매핑되고, 지정된 변환된 외부 IPv4 주소 및 포트의 역방향 매핑이 항상 동일한 내부 IPv6 주소에 매핑되도록 할 수 있습니다. 결정론적 NAPT는 알고리즘 기반 대상 포트 블록 할당을 사용합니다.

결정론적 NAPT44는 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 결정론적 NAPT 44는 Junos OS 릴리스 17.3R1, Junos OS 릴리스 14.2R7 이상 및 이후 14.2 릴리스, Junos OS 릴리스 15.1R3 이상 15.1 릴리스부터 MS-MPC 및 MS-MIC에 지원됩니다. Junos OS 릴리스 17.4R1부터는 MS-MPC 및 MS-MIC에서 확정적 NAPT64가 지원됩니다.

결정적 NAPT 규칙의 절에 있는 from 소스 주소에 /32 접두사가 없는 경우, 구성하지 include-boundary-addresses않는 한 소스 주소 범위의 네트워크 및 브로드캐스트 주소는 변환되지 않습니다.

결정적 NAPT를 구성하는 방법에 대한 자세한 내용은 결정적 NAPT 구성을 참조하십시오.

결정론적 NAPT의 이점

  • IP 주소가 항상 동일한 외부 IP 주소 및 포트 범위에 매핑되고 변환된 특정 외부 IP 주소 및 포트의 역방향 매핑이 항상 동일한 내부 IP 주소에 매핑되기 때문에 주소 변환 로깅이 필요하지 않습니다.

결정론적 NAPT 알고리즘 이해

결정론적 NAPT 구현의 효과는 가입자 요구 사항 분석에 따라 달라집니다. 제공하는 블록 크기는 해당 네트워크 주소 변환(NAT) 규칙에 지정된 절의 from 범위에서 각 수신 가입자 주소에 사용할 수 있는 포트 수를 나타냅니다. 할당 알고리즘은 오프셋 값을 계산하여 나가는 IP 주소와 포트를 결정합니다. 역방향 알고리즘은 원래 가입자 주소를 도출하는 데 사용됩니다.

참고:

로그를 사용하지 않고 가입자를 추적하기 위해 ISP는 역방향 알고리즘을 사용하여 변환된 주소에서 가입자(소스) 주소를 도출해야 합니다.

다음 변수는 순방향 계산(프라이빗 가입자 IP 주소에서 퍼블릭 IP 주소로) 및 역방향 계산(퍼블릭 IP 주소에서 프라이빗 가입자 IP 주소로)에 사용됩니다.

  • Pr_Prefix—모든 사전 NAT IPv4 가입자 주소.

  • Pr_Port—모든 사전 NAT 프로토콜 포트.

  • Block_Size—각 Pr_Prefix에 사용할 수 있도록 구성된 포트 수입니다.

    가 0으로 구성된 경우 block-size , 블록 크기를 계산하는 방법은 다음과 같이 계산됩니다.

    블록 크기 = int(64512/ceil[(Nr_Addr_PR_Prefix/Nr_Addr_PU_Prefix)])

    여기서 64512는 공용 IP 주소당 사용 가능한 최대 포트 범위입니다.

  • Base_PR_Prefix - NAT 규칙의 절에서 from 처음으로 사용 가능한 네트워크 주소 변환(NAT) 전 IPv4 가입자 주소입니다.

  • Base_PU_Prefix - NAT 풀에 구성된 NAT 후 첫 번째 사용 가능한 IPv4 가입자 주소입니다.

  • Pu_Port_Range_Start - 사용 가능한 첫 번째 NAT 후 포트입니다. 이것은 1024입니다.

  • Pr_Offset—NAT 규칙의 절에서 from 사용 가능한 첫 번째 사용 가능한 네트워크 주소 변환(NAT) 전 IPv4 가입자 주소에서 변환되는 네트워크 주소 변환(NAT) 전 IP 주소의 오프셋. PR_Offset = Pr_Prefix – Base_Pr_Prefix.

  • PR_Port_Offset—네트워크 주소 변환(NAT) 전 IP 주소에 블록 크기를 곱한 오프셋. PR_Port_Offset = Pr_Offset * Block_Size.

  • Pu_Prefix - 주어진 Pr_Prefix에 대한 NAT 후 주소입니다.

  • Pu_Start_Port—특정 Pr_Prefix의 플로우에 대한 NAT 후 시작 포트

  • Pu_Actual_Port—역방향 흐름에서 보이는 NAT 후 포트.

  • Nr_Addr_PR_Prefix — NAT 규칙의 절에서 사용 가능한 네트워크 주소 변환(NAT) 전 IPv4 가입자 주소 from 수입니다.

  • Nr_Addr_PU_Prefix — NAT 풀에 구성된 사용 가능한 NAT 후 IPv4 주소의 수입니다.

  • Rounded_Port_Range_Per_IP — 각 NAT 후 IP 주소에 사용할 수 있는 포트 수입니다. Rounded_Port_Range_Per_IP = ceil[(Nr_Addr_PR_Prefix/Nr_Addr_PU_Prefix)] * Block_Size.

  • Pu_Offset - 첫 번째로 사용 가능한 NAT 후 주소에서 NAT 후 IP 주소의 오프셋입니다. Pu_Offset = Pu_Prefix – Base_Pu_Prefix.

  • Pu_Port_Offset— NAT 후 IP 주소의 오프셋과 각 NAT 후 IP 주소에 사용할 수 있는 포트 수의 곱에 추가된 1024부터 NAT 후 포트의 오프셋. Pu_Port_Offset = (Pu_Offset * Rounded_Port_Range_Per_IP) + (Pu_Actual_Port – Pu_Port_Range_Start).

알고리즘 사용-다음 구성을 가정합니다.

순방향 변환

  1. Pr_Offset = Pr_Prefix – Base_Pr_Prefix

  2. Pr_Port_Offset = Pr_Offset * Block_Size

  3. Rounded_Port_Range_Per_IP = ceil[(Nr_Addr_PR_Prefix/Nr_Addr_PU_Prefix)] * Block_Size

  4. Pu_Prefix = Base_Public_Prefix + 바닥(Pr_Port_Offset / Rounded_Port_Range_Per_IP)

  5. Pu_Start_Port = Pu_Port_Range_Start + (Pr_Port_Offset % Rounded_Port_Range_Per_IP)

샘플 구성을 사용하고 10.1.1.250:5000에서 소싱된 가입자 플로우를 가정합니다.

  1. Pr_Offset = 10.1.1.250 – 10.1.0.1 = 505

  2. Pr_Port_Offset = 505 * 249 = 125,745

  3. Rounded_Port_Range_Per_IP = ceil[(65, 533/254)] * 249 = 259 * 249 = 64,491

  4. Pu_Prefix = 32.32.32.1 + 바닥(125,745 /64,491) = 32.32.32.1 +1 =32.32.32.2

  5. Pu_Start_Port = 1,024 + (125,745 % 64,491) = 62278

    • 10.1.1.250은 32.32.32.2로 변환됩니다.

    • 시작 포트는 62278입니다. 구성된 블록 크기에 따라 가입자가 사용할 수 있는 포트는 249개입니다. 사용 가능한 포트 범위는 포트 62278에서 62526(포함)까지 확장됩니다.

    • 특정 플로우 10.1.1.250:5000은 임의 할당이 지정되었기 때문에 해당 범위의 포트 중 하나를 무작위로 할당합니다.

역번역

  1. Pu_Offset = Pu_Prefix – Base_Pu_Prefix

  2. Pu_Port_Offset = (Pu_Offset * Rounded_Port_Range_Per_IP) + (Pu_Actual_Port – Pu_Port_Range_Start)

  3. Subscriber_IP = Base_Pr_Prefix + 바닥(Pu_Port_Offset / Block_Size)

역변환은 다음과 같이 결정됩니다. 32.32.32.2:62278로 돌아가는 흐름을 가정합니다.

  1. Pu_Offset = 32.32.32.2 – 32.32.32.1 = 1

  2. Pu_Port_Offset = (1 * 64,491) + (62,280 - 1024) = 125,747

  3. Subscriber_IP = 10.1.0.1 + 바닥(125,747 / 249) = 10.1.0.1 + 505 = 10.1.1.250

    참고:

    역변환에서는 원래 프라이빗 IP 주소만 파생될 수 있으며 사용 중인 원래 포트는 파생될 수 없습니다. 이는 법 집행 요구 사항에 충분히 세분화되어 있습니다.

결정적 NAPT를 구성한 경우, 및 show services nat deterministic-nat nat-port-block 명령을 show services nat deterministic-nat internal-host 사용하여 정방향 및 역방향 매핑을 표시할 수 있습니다. 그러나 결정적 포트 블록 할당 블록 크기 또는 NAT 규칙에 대한 절을 from 다시 구성하면 매핑이 변경됩니다. 매핑에 대한 기록 정보를 제공하려면 이전 구성에 대한 특정 매핑을 표시할 수 있는 스크립트를 작성하는 것이 좋습니다.

명확한 NAPT 제한

결정적 NAPT를 구성할 때는 다음과 같은 제한 사항을 인식해야 합니다. 제한을 위반하면 커밋 오류가 발생합니다. 제한 사항과 해당 오류 메시지는 표 1에 제시되어 있습니다.

표 1: 결정론적 NAPT 커밋 제약 조건

제한 사항

오류 메시지

결정적 네트워크 주소 변환(NAT) 블록의 총 수는 구성된 절 주소보다 from 크거나 같아야 합니다. 즉, Rounded_Port_Range_Per_IP 값은 64,512보다 작거나 같아야 합니다.

NAT 풀의 주소 수와 포트 블록 조합이 'from'절의 주소 수보다 적습니다.

IPv6 주소는 결정적 NAT pool/from 절에 사용해서는 안 됩니다.

변환 유형이 deterministic-napt44인 풀 p1의 잘못된 IP 주소입니다.

또는

v4 주소 범위로 구성된 범위가 이미 있습니다.

from 동일한 결정적 NAT 풀이 여러 용어/규칙에 걸쳐 사용되는 경우 절 주소는 동일해야 합니다. 동일한 결정적 네트워크 주소 변환(NAT) 풀이 여러 용어/규칙에 걸쳐 사용되는 경우 하나의 from 절 주소/범위만 지정해야 합니다.

translation-type deterministic-napt44를 사용하면 풀이 여러 규칙 또는 용어에 의해 공유되는 경우 동일한 '시작' 주소/범위를 구성해야 합니다

절에는 from 하나 이상의 소스 주소가 있어야 합니다.

translation-type deterministic-napt44를 사용하면 적어도 하나의 'from'을 제외하지 않는 주소/범위를 구성해야 합니다. 오류: 구성 체크아웃 실패

절 주소의 from 항목 간에 except 주소 겹침이 없어야 합니다.

'except' 항목 사이의 'from'절에서 겹치는 주소

결정적 NAPT에 사용되는 네트워크 주소 변환(NAT) 풀의 주소는 다른 네트워크 주소 변환(NAT) 풀의 주소와 겹치지 않아야 합니다.

네트워크 주소 변환(NAT) 풀 det-nat-pool1이 서비스 집합 sset_det-NAT에서 사용하는 det-nat-pool과 겹칩니다. 오류: 구성 체크아웃 실패

결정적 네트워크 주소 변환(NAT) 풀은 다른 변환 유형과 함께 사용할 수 없습니다. 또한 결정적 NAT 풀은 결정적 NAPT44 및 결정적 NAPT64 NAT 규칙 모두에서 사용할 수 없습니다.

결정적 네트워크 주소 변환(NAT) 풀은 다른 번역 유형과 함께 사용할 수 없습니다

결정적 NAPT44는 결정적 포트 블록 할당 구성의 소스 풀을 사용해야 합니다.

결정적 NAPT44는 결정적 포트 블록 할당 구성의 소스 풀을 사용해야 합니다

구성된 경우 address-allocation round-robin , 커밋은 번역 유형 deterministic-napt44와 함께 이 기술이 필요하지 않다는 경고를 표시하고 무시됩니다.

번역 유형 deterministic-napt44에서는 주소 할당 라운드 로빈이 필요하지 않습니다.

결정적 네트워크 주소 변환(NAT) 풀에 할당된 총 IP 주소 수는 224 (16777216)보다 작거나 같아야 합니다.

deterministic-napt44 변환을 사용하는 풀의 주소 수는 최대 16777216(2^24)로 제한됩니다.

결정론적 NAPT 구성

결정론적 NAPT44는 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 결정론적 NAPT44는 Junos OS 릴리스 17.3R1, Junos OS 릴리스 14.2R7 이상 및 이후 14.2 릴리스, Junos OS 릴리스 15.1R3 이상 15.1 릴리스부터 MS-MPC 및 MS-MIC에 대해 지원됩니다. Junos OS 릴리스 17.4R1부터는 MS-MPC 및 MS-MIC에서 확정적 NAPT64가 지원됩니다.

결정적 NAPT를 구성하려면 다음을 수행합니다.

결정적 NAPT를 위한 네트워크 주소 변환(NAT) 풀 구성

결정적 NAPT를 위한 네트워크 주소 변환(NAT) 풀을 구성하려면

  1. 계층 수준에서 [edit services nat pool poolname] 풀을 만듭니다.
  2. 변환할 주소의 범위를 정의하고, 범위의 상한과 하한 또는 범위를 설명하는 주소 접두사를 지정합니다.

    또는

  3. 자동 포트 할당을 구성하려면 순차 또는 임의 할당을 지정합니다.
    참고:

    Junos OS 릴리스 14.2R1부터는 sequential 포트의 순차적 할당을 구성할 수 있는 옵션이 도입되었습니다. sequential 계층 수준에서 [edit services nat pool nat-pool-name] 문과 함께 port automatic 사용할 수 있는 and random-allocation 옵션은 상호 배타적입니다. 순차적 할당 옵션과 random-allocation 포트의 임의 위임 옵션을 포함 sequential 할 수 있습니다. 기본적으로 계층 수준에서 [edit services nat pool nat-pool- name] 문만 port automatic 포함하는 경우 포트의 순차적 할당이 이루어집니다.

    Junos OS 릴리스 14.2R1 이전 릴리스의 경우, 계층 수준에서 옵션을 auto 사용하여 자동 순차 포트 할당을 구성합니다 [edit services nat pool nat-pool-name port automatic] .
  4. 할당할 포트 범위를 구성하려면 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않으면 포트 범위를 구성해야 합니다.
    참고:

    할당할 포트 범위를 지정하는 경우 문은 automatic 무시됩니다.
  5. 명확한 포트 블록 할당을 구성합니다. block-size 를 지정하거나 기본값 512를 수락합니다.

    또한 네트워크 주소 변환(NAT) 풀을 사용할 때 네트워크 주소 변환(NAT) 규칙의 소스 주소 범위에서 가장 낮은 주소와 가장 높은 주소(네트워크 및 브로드캐스트 주소)를 변환할지 여부를 지정할 include-boundary-addresses 수 있습니다. 소스 주소의 접두사가 /32인 경우, 가장 낮은 주소와 가장 높은 주소가 자동으로 변환됩니다.

    예를 들어:

    참고:

    deterministic-port-block-allocation 구성 변경 사항을 적용하려면 다음 nat pool 옵션 중 하나를 변경할 때마다 서비스 PIC를 재부팅해야 합니다.

    • address 또는 address-range

    • port range

    • port deterministic-port-block-allocation block-size

또한보십시오

결정적 NAPT를 위한 네트워크 주소 변환(NAT) 규칙 구성

결정적 NAPT를 위한 네트워크 주소 변환(NAT) 규칙을 구성하려면

  1. 네트워크 주소 변환(NAT) 규칙 이름을 구성합니다.
  2. 네트워크 주소 변환(NAT) 규칙 일치 방향을 입력으로 구성합니다.
  3. NAT 규칙에 의해 변환되는 주소를 지정합니다.

    하나의 주소를 지정하려면:

    주소 범위를 지정하려면:

  4. 변환된 트래픽의 주소를 포함하는 네트워크 주소 변환(NAT) 풀을 지정합니다.
  5. 변환 유형을 결정적 NAPT44 또는 결정적 NAPT64로 구성합니다.

결정적 네트워크 주소 변환(NAT)을 위한 서비스 집합 구성

결정적 NAPT를 위한 서비스 세트를 구성하려면 다음을 수행합니다.

  1. 서비스 집합을 정의합니다.
  2. 단일 서비스 인터페이스가 필요한 인터페이스 서비스 또는 내부 및 외부 서비스 인터페이스가 필요한 다음 홉 서비스를 구성합니다.

    또는

  3. 서비스 집합과 함께 사용할 네트워크 주소 변환(NAT) 규칙 또는 규칙 집합을 지정합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
17.4R1
Junos OS 릴리스 17.4R1부터는 MS-MPC 및 MS-MIC에서 확정적 NAPT64가 지원됩니다.
17.4R1
Junos OS 릴리스 17.4R1부터는 MS-MPC 및 MS-MIC에서 확정적 NAPT64가 지원됩니다.
17.3R1
결정론적 NAPT 44는 Junos OS 릴리스 17.3R1부터 MS-MPC 및 MS-MIC에 지원됩니다
17.3R1
결정론적 NAPT44는 Junos OS 릴리스 17.3R1부터 MS-MPC 및 MS-MIC에 대해 지원됩니다
14.2R1
Junos OS 릴리스 14.2R1부터는 sequential 포트의 순차적 할당을 구성할 수 있는 옵션이 도입되었습니다.