NAT 구성 개요

네트워크 주소 변환(NAT) 풀 구성

명령문을 사용하여 pool NAT(Network Address Translation)에 사용되는 주소(또는 접두사), 주소 범위 및 포트를 정의할 수 있습니다. 정보를 구성하려면 계층 수준에서 문을 [edit services nat] 포함합니다pool.

Junos OS 릴리스 14.2부터 다음과 같이 네트워크 주소 변환(NAT) 풀을 구성합니다. Junos OS 릴리스 16.1 limit-ports-per-address 부터 문이 지원됩니다.

Junos OS 릴리스 14.1 및 이전 버전에서는 다음과 같이 네트워크 주소 변환(NAT) 풀을 구성합니다.

기존 NAT에 대한 풀을 구성하려면 대상 풀 또는 소스 풀을 지정합니다.

정적 소스 NAT 및 동적 소스 NAT를 사용하여 여러 IPv4 주소(또는 접두사) 및 IPv4 주소 범위를 지정할 수 있습니다. 단일 풀 내에서 최대 32개의 접두사 또는 주소 범위(또는 조합)를 지원할 수 있습니다.

정적 대상 NAT를 사용하면 단일 용어로 여러 주소 접두사 및 주소 범위를 지정할 수도 있습니다. 여러 대상 NAT 용어가 대상 NAT 풀을 공유할 수 있습니다. 그러나 주소의 넷마스크 또는 범위는 대상 풀 주소의 from 넷마스크 또는 범위보다 작거나 같아야 합니다. 풀을 필요 이상으로 크게 정의하면 일부 주소가 사용되지 않습니다. 예를 들어 풀 크기를 100개 주소로 정의하고 규칙이 80개 주소만 지정하는 경우 풀의 마지막 20개 주소는 사용되지 않습니다.

특정 변환 유형에 대한 제약 조건은 네트워크 주소 변환 규칙 개요를 참조하십시오.

소스 정적 NAT를 사용하면 접두사와 주소 범위가 개별 풀 간에 겹칠 수 없습니다.

주소 범위에서 low 값은 값보다 high 낮은 숫자여야 합니다. 여러 주소 범위와 접두사가 구성되면 접두사가 먼저 고갈되고 그 다음에 주소 범위가 고갈됩니다.

동적 소스 NAT에 대한 포트를 지정할 때 주소 범위는 최대 65,000개 주소로 제한되어 총 (65,000 x 65,535) 또는 4,259,775,000개의 플로우가 가능합니다. 주소 포트 변환이 없는 동적 네트워크 주소 변환(NAT) 풀은 최대 65,535개의 주소를 지원합니다. 정적 소스 NAT의 풀 크기에는 제한이 없습니다.

범위 유지 및 패리티 유지

아웃바운드 연결을 위한 소스 포트를 할당할 때 패킷 소스 포트의 범위 또는 패리티를 유지하도록 캐리어급 NAT(CGN)를 구성할 수 있습니다. 계층 수준에서 및 구성 명령문을 [edit services nat pool poolname port] 포함하여 preserve-range NAT 풀 정의에서 패리티 보존 및 preserve-parity 범위 보존 옵션을 구성할 수 있습니다.

범위 유지 및 패리티 보존은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. 보존 범위와 보존 패리티는 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

• 범위 유지 - RFC 4787, 유니캐스트 UDP에 대한 NAT(네트워크 주소 변환) 동작 요구 사항은 0에서 1023까지, 1024에서 65,535까지의 두 가지 범위를 정의합니다. 노브가 preserve-range 구성되고 수신 포트가 이러한 범위 중 하나에 속하면 CGN은 해당 범위에서만 포트를 할당합니다. 그러나 범위에 사용 가능한 포트가 없으면 포트 할당 요청이 실패하고 해당 세션이 생성되지 않습니다. 카운터 및 시스템 로깅에 오류가 반영되지만 ICMP(Internet Control Message Protocol) 메시지는 생성되지 않습니다. 이 노브가 구성되지 않은 경우, 할당은 수신 포트를 포함하는 포트 범위에 관계없이 구성된 포트 범위를 기반으로 합니다. 예외는 hello와 같이 특수 영역이 있는 일부 애플리케이션 수준 게이트웨이(ALG)입니다.

• 패리티 유지(Preserve parity) - 노브가 preserve-parity 구성되면 CGN은 수신 포트와 동일한 짝수 또는 홀수 패리티를 가진 포트를 할당합니다. 수신 포트 번호가 홀수 또는 짝수인 경우 발신 포트 번호도 홀수 또는 짝수여야 합니다. 원하는 패리티의 포트 번호를 사용할 수 없는 경우 포트 할당 요청이 실패하고 세션이 생성되지 않으며 패킷이 삭제됩니다.

풀을 구성하지 않고 대상 및 소스 접두사 지정

풀을 구성하지 않고 NAT에 사용되는 대상 또는 소스 접두사를 직접 지정할 수 있습니다.

정보를 구성하려면 계층 수준에서 문을 포함합니다rule.[edit services nat]

NAT 규칙의 일치 방향 구성

각 규칙에는 match-direction 일치가 적용되는 방향을 지정하는 문이 포함되어야 합니다. 일치가 적용되는 위치를 구성하려면 계층 수준에서 문을 [edit services nat rule rule-name] 포함합니다match-direction.

일치 방향은 멀티서비스 DPC 및 멀티서비스 PIC를 통과하는 트래픽 플로우와 관련하여 사용됩니다. 패킷이 PIC로 전송되면 방향 정보가 함께 전달됩니다. 패킷 방향은 다음 기준에 따라 결정됩니다.

• 인터페이스 서비스 세트에서 패킷 방향은 패킷이 서비스 세트가 적용되는 인터페이스에 들어오는지 또는 나가는지에 따라 결정됩니다.

• 다음 홉 서비스 세트를 사용하면 패킷을 멀티서비스 DPC 또는 멀티서비스 PIC로 라우팅하는 데 사용되는 인터페이스에 따라 패킷 방향이 결정됩니다. 내부 인터페이스가 패킷을 라우팅하는 데 사용되는 경우 패킷 방향이 입력됩니다. 외부 인터페이스를 사용하여 패킷을 PIC 또는 DPC로 전달하는 경우 패킷 방향이 출력됩니다. 내부 및 외부 인터페이스에 대한 자세한 내용은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.

• 멀티서비스 DPC 및 멀티서비스 PIC에서 플로우 조회가 수행됩니다. 플로우를 찾을 수 없는 경우 규칙 처리가 수행됩니다. 서비스 세트의 모든 규칙이 고려됩니다. 규칙을 처리하는 동안 패킷 방향이 규칙 방향과 비교됩니다. 패킷 방향과 일치하는 방향 정보가 있는 규칙만 고려됩니다.

NAT 규칙에서 일치 조건 구성

NAT 일치 조건을 구성하려면 계층 수준에서 문을 [edit services nat rule rule-name term term-name] 포함합니다from.

기존 NAT를 구성하기 위해 방화벽 필터를 구성하는 것과 동일한 방식으로 대상 주소, 대상 주소 범위, 소스 주소 또는 소스 주소 범위를 일치 조건으로 사용할 수 있습니다. 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.

또는 계층 수준에서 문을 포함 prefix-list 시킨 다음 NAT 규칙에 또는 문을 [edit policy-options] 포함하여 destination-prefix-list 소스 또는 source-prefix-list 대상 접두사 목록을 지정할 수 있습니다. 예를 들어 예제: 상태 저장 방화벽 규칙 구성을 참조하십시오.

NAT 규칙의 then 문에 있는 문이 로 stateful-nat-64설정된 경우, 문에서 from 또는 에 의해 지정된 범위는 문에 있는 문 then 에 destination-prefix-list translation-type 의해 destination-prefix 지정된 destination-address-range 범위 내에 있어야 합니다.

NAT 규칙 내의 하나 이상의 NAT 용어에 주소 풀링 쌍(APP) 기능이 활성화된 경우(계층 수준에서 문을 [edit services nat rule rule-name term term-name then translated] 포함 address-pooling 하여) APP가 활성화된 용어에 대한 주소 풀과 동일한 NAT 주소 풀을 사용하는 NAT 규칙의 다른 모든 용어는 APP를 사용하도록 설정해야 합니다. 그렇지 않고 APP를 활성화하지 않은 NAT 규칙 용어를 APP가 활성화된 다른 용어가 포함된 규칙에 추가하는 경우, NAT 규칙에서 APP가 활성화된 모든 용어는 NAT 규칙의 지정된 기준과 일치하는 트래픽 플로우를 삭제합니다.

MS-MIC 및 MS-MPC가 있는 MX 시리즈 라우터의 경우, NAT(Address Pooling Paired) 기능이 NAT 규칙 내에서 활성화되지만(계층 수준에서 문을 [edit services nat rule rule-name term term-name then translated] 포함 address-pooling 하여) 이는 NAT 풀의 특징입니다. APP가 활성화된 이러한 NAT 풀은 APP가 구성되지 않은 NAT 규칙과 공유할 수 없습니다.

NAT를 구성할 때 트래픽이 다음 주소로 향하고 NAT 플로우 또는 NAT 규칙과 일치하지 않으면 트래픽이 삭제됩니다.

• 대상 변환을 사용할 때 문에 from destination-address 지정된 주소

• 소스 변환을 사용할 때 소스 NAT 풀에 지정된 주소

NAT 규칙에서 작업 구성

NAT 작업을 구성하려면 계층 수준에서 문을 포함합니다then.[edit services nat rule rule-name term term-name]

• no-translation 명령문을 사용하면 NAT에서 제외할 주소를 지정할 수 있습니다.

  이 no-translation 문은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. 이 no-translation 문은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

• system log 명령문을 사용하면 시스템 로깅 기능에 경보를 기록할 수 있습니다.

• , , destination-prefixsource-pool및 문은 destination-pool계층 수준에서 문을 [edit services nat] 포함하여 pool 정의하는 주소 지정 정보를 지정합니다. 자세한 내용은 네트워크 주소 변환을 위한 주소 및source-prefix 포트 풀 구성 개요를 참조하십시오.

• 명령문은 translation-type 소스 또는 대상 트래픽에 사용되는 네트워크 주소 변환(NAT)의 유형을 지정합니다. 옵션은 basic-nat-pt, , , dnat-44, basic-nat66napt-44napt-66napt-ptdynamic-nat44basic-nat44stateful-nat64twice-basic-nat-44stateful-nat464 twice-dynamic-nat-44입니다.twice-napt-44

참고:

Junos OS 릴리스 13.2 및 그 이전 버전에서는 CLI에 의해 다음과 같은 제한이 적용되지 않았습니다. NAT 규칙의 then 문에 있는 문이 로 stateful-nat-64설정된 경우 translation-type 문에서 또는 문에 from 지정된 destination-address-range 범위는 문의 문 destination-prefix-list then 에 지정된 destination-prefix 범위 내에 있어야 합니다. Junos OS 릴리스 13.3R1부터 이 제한이 적용됩니다.

변환 유형 구성

명령문의 9가지 옵션에 translation-type 대한 구현 세부 사항은 다음과 같습니다.

• basic-nat44- 이 옵션은 포트 매핑 없이 소스 IP 주소의 정적 변환을 구현합니다. 규칙의 from source-address 일치 조건에서 명령문을 구성해야 합니다. 문에 지정된 주소 범위의 크기는 원본 풀과 같거나 작아야 합니다. 소스 풀 또는 대상 접두사 중 하나를 지정해야 합니다. 참조된 풀에는 여러 주소가 포함될 수 있지만 변환할 포트를 지정할 수는 없습니다.

  참고:

  인터페이스 서비스 세트에서 일치 조건에 지정된 소스 주소로 향하는 모든 패킷은 인터페이스와 연결된 서비스 세트가 없더라도 서비스 PIC로 자동 라우팅됩니다.

  참고:

  Junos OS 릴리스 11.4R3 이전에는 단일 서비스 세트에서 소스 NAT 풀만 사용할 수 있었습니다. Junos OS 릴리스 11.4R3 및 후속 릴리스부터는 여러 서비스 세트에서 소스 네트워크 주소 변환(NAT) 풀을 재사용할 수 있습니다.

• basic-nat66- 이 옵션은 IPv6 네트워크에서 포트 매핑 없이 소스 IP 주소의 정적 변환을 구현합니다. 구성은 구현과 basic-nat44 유사하지만 IPv6 주소를 사용합니다.

  basic-nat66 MS-MPC 또는 MS-MIC를 사용하는 경우에는 옵션을 사용할 수 없습니다.

• basic-nat-pt- 이 옵션은 IPv6 호스트의 주소를 외부 도메인의 IPv4 호스트로 또는 그 반대로 시작할 때 IPv6 호스트의 주소 변환을 구현합니다. 이 옵션은 항상 DNS ALG로 구현됩니다. IPv4 주소의 소스 및 대상 풀을 정의해야 합니다. 하나의 규칙을 구성하고 두 개의 용어를 정의해야 합니다. 두 문 모두에서 term 문에서 from IPv6 주소를 구성합니다. then 규칙 내 첫 번째 용어의 문에서 소스 및 대상 풀을 모두 참조하고 를 구성합니다dns-alg-prefix. 동일한 규칙 내에서 두 번째 용어의 문에 then 소스 접두사를 구성합니다.

  basic-nat-pt MS-MPC 또는 MS-MIC를 사용하는 경우에는 옵션을 사용할 수 없습니다.

• deterministic-napt44- 이 옵션은 대상 포트 및 IP 주소 블록의 알고리즘 기반 할당을 구현합니다. 이렇게 하면 수신(소스) IP 주소 및 포트가 항상 동일한 대상 IP 주소 및 포트에 매핑되므로 주소 변환 로깅이 필요하지 않습니다. 를 사용할 deterministic-napt44때는 계층 수준에서도 사용해야 deterministic-port-block-allocation [edit services nat pool poolname port] 합니다.

  이 deterministic-napt44 옵션은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. MS-MPC 또는 MS-MIC와 함께 MX 시리즈 라우터를 사용하는 경우 옵션은 deterministic-napt44 Junos OS 릴리스 14.2R7 이상 14.2 릴리스와 릴리스 15.1R3 이상 15.1 릴리스에서만 지원됩니다.

• dnat-44- 이 옵션은 포트 매핑 없이 대상 IP 주소의 정적 변환을 구현합니다. 풀 주소 공간의 크기는 대상 주소 공간보다 크거나 같아야 합니다. 문의 이름을 destination pool 지정해야 합니다. 풀의 NAT 주소 수가 문의 대상 주소 수보다 큰 한 참조된 풀에는 여러 주소, 범위 또는 접두사가 포함될 수 있습니다 from . 계층 수준에서 정확히 하나의 destination-address 값을 [edit services nat rule rule-name term term-name from] 포함해야 하며, 접두사인 경우 크기는 풀 접두사 크기보다 작거나 같아야 합니다. 풀이 여러 용어 또는 규칙 간에 공유될 수 없기 때문에 값과 일치하지 않는 풀의 모든 주소는 사용되지 않은 상태로 유지됩니다.

• dynamic-nat44- 이 옵션은 포트 매핑 없이 소스 IP 주소의 동적 변환을 구현합니다. 를 지정해야 source-pool합니다. 참조된 풀에는 구성이 포함되어야 address 합니다(주소 전용 변환용).

  dynamic-nat44 address-only 옵션은 최대 16,777,216개의 주소를 더 작은 크기의 풀로 변환할 수 있도록 지원합니다. 소스 주소 범위의 요청은 풀이 소진될 때까지 풀의 주소에 할당되며 추가 요청은 거부됩니다. 호스트에 할당된 NAT 주소는 해당 호스트의 모든 동시 세션에 사용됩니다. 주소는 해당 호스트에 대한 모든 세션이 만료된 후에만 풀에 해제됩니다. 이 기능을 사용하면 라우터가 여러 프라이빗 호스트 간에 몇 개의 퍼블릭 IP 주소를 공유할 수 있습니다. 모든 프라이빗 호스트가 동시에 세션을 생성하지 않을 수 있기 때문에 몇 개의 퍼블릭 IP 주소를 공유할 수 있습니다.

• napt-44- 이 옵션은 포트 매핑을 통해 소스 IP 주소의 동적 변환을 구현합니다. 문의 이름을 source-pool 지정해야 합니다. 참조된 풀에는 구성이 포함되어야 port 합니다. 포트가 자동으로 구성되거나 포트 범위가 지정된 경우 NAPT( 네트워크 주소 포트 변환 )가 사용됨을 의미합니다.

• napt-66- 이 옵션은 IPv6 주소에 대한 포트 매핑을 통해 소스 IP 주소의 동적 주소 변환을 구현합니다. 구성은 구현과 napt-44 유사하지만 IPv6 주소를 사용합니다.

  napt-66 MS-MPC 또는 MS-MIC를 사용하는 경우에는 옵션을 사용할 수 없습니다.

• napt-pt- 이 옵션은 대상 IP 주소의 소스 및 정적 변환을 위한 동적 주소 및 포트 변환을 구현합니다. 문의 이름을 source-pool 지정해야 합니다. 참조된 풀에는 포트 구성(NAPT용)이 포함되어야 합니다. 또한 DNS 트래픽과 나머지 트래픽에 대한 규칙 등 두 개의 규칙을 구성해야 합니다. DNS 트래픽을 위한 규칙은 DNS ALG를 활성화해야 하며 dns-alg-prefix 명령문을 구성해야 합니다. 또한 문에 dns-alg-prefix 구성된 접두사는 두 번째 규칙에서 대상 IPv6 주소를 IPv4 주소로 변환하는 데 사용해야 합니다.

  napt-pt MS-MPC 또는 MS-MIC를 사용하는 경우에는 옵션을 사용할 수 없습니다.

• stateful-nat464—이 옵션은 소스 IP 주소에 대한 464XLAT PLAT(Provider-Side Translater) 주소 변환 및 대상 IPv4 주소에 대한 IPv6 접두사 제거 변환을 구현합니다. 계층 수준에서 변환에 사용되는 IPv4 주소를 지정해야 [edit services nat pool] 합니다. 이 풀은 IPv6 주소를 IPv4로 변환하는 규칙에서 참조되어야 합니다.

  이 stateful-nat464 옵션은 MS-MPC 또는 MS-MIC를 사용하는 경우에만 사용할 수 있으며 Junos OS 릴리스 17.1R1부터 지원됩니다.

• stateful-nat64- 이 옵션은 소스 IP 주소에 대한 동적 주소 및 포트 변환과 대상 IP 주소에 대한 접두사 제거 변환을 구현합니다. 계층 수준에서 변환 [edit services nat pool] 에 사용되는 IPv4 주소를 지정해야 합니다. 이 풀은 IPv6 주소를 IPv4로 변환하는 규칙에서 참조되어야 합니다.

• twice-basic-nat-44- 이 옵션은 IPv4 주소에 대한 정적 소스 및 정적 대상 변환을 구현하여 소스 주소와 dnat-44 대상 주소를 결합 basic-nat44 합니다.

  이 twice-basic-nat-44 옵션은 MS-DPC 및 MS-100, MS-400 및 MS-500 MultiServices PICS에서 지원됩니다. 이 twice-basic-nat-44 옵션은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 지원됩니다.

• twice-dynamic-nat-44- 이 옵션은 IPv4 주소에 대한 소스 동적 및 대상 정적 변환을 구현하여 소스 및 dnat-44 대상 주소를 결합 dynamic-nat44 합니다.

  이 twice-dynamic-nat-44 옵션은 MS-DPC 및 MS-100, MS-400 및 MS-500 MultiServices PICS에서 지원됩니다. 이 twice-dynamic-nat-44 옵션은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 지원됩니다.

• twice-napt-44- 이 옵션은 IPv4 주소에 대해 소스 NAPT 및 대상 정적 변환을 구현하여 소스 주소와 dnat-44 대상 주소를 결합 napt-44 합니다.

  이 twice-napt-44 옵션은 MS-DPC 및 MS-100, MS-400 및 MS-500 MultiServices PICS에서 지원됩니다. 이 twice-napt-44 옵션은 Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 지원됩니다.

NAT 방법에 대한 자세한 내용은 RFC 2663, IP NAT(Network Address Translator) 용어 및 고려 사항을 참조하십시오.

비 NAT-T 피어에 대한 IPsec 패스스루를 위한 NAT 규칙 구성

Junos OS 릴리스 17.4R1 이전에는 MX 시리즈 라우터의 Junos VPN Site Secure IPsec 기능 제품군에 대해 NAT-T(Network Address Translation-Traversal)가 지원되지 않습니다. Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터 NAT-T를 준수하지 않는 IPsec 피어 간에 NAPT-44 및 NAT64 규칙을 통해 IKEv1 및 IPsec 패킷을 전달할 수 있습니다. ESP 터널 모드만 지원됩니다. 이 기능은 MS-MPC 및 MS-MIC에서만 지원됩니다.

NAPT-44 또는 NAT64의 IPsec 패스스루를 위한 NAT 규칙을 구성하려면 다음을 수행합니다.

1. IKE(Internet Key Exchange) ALG 애플리케이션을 구성합니다. 응용 프로그램 속성 구성을 참조하십시오.

2. 응용 프로그램 집합에 응용 프로그램을 추가합니다. 응용 프로그램 집합 구성을 참조하십시오.

3. 네트워크 주소 변환(NAT) 풀을 구성합니다. 네트워크 주소 변환을 위한 주소 및 포트 풀 구성 개요를 참조하십시오.

4. NAT 규칙을 구성합니다.

   1. 규칙에 대한 일치 방향을 구성합니다. NAT 규칙의 일치 방향 구성을 참조하십시오.

   2. 2단계에서 구성한 IKE(Internet Key Exchange) 및 IPsec 패스스루(IKE and IPsec passthrough)에 대해 설정된 애플리케이션이 되도록 일치하는 조건 중 하나를 구성합니다.

   3. 다른 일치 조건을 구성합니다. NAT 규칙에서 일치 조건 구성을 참조하십시오.

   4. 변환 유형을 NAPT-44 또는 NAT64로 구성합니다.

   5. 다른 NAT 작업을 구성합니다. NAT 규칙에서 작업 구성의 내용을 참조하십시오.

5. 서비스 세트에 NAT 규칙을 할당합니다.

매핑 새로 고침 동작

이 항목에서 설명한 NAT 매핑 새로 고침 동작을 구성하기 위한 새 옵션을 구현하기 전에는 인바운드 또는 아웃바운드 흐름이 활성 상태일 때 대화가 활성 상태로 유지되었습니다. 이는 기본 동작으로 유지됩니다. 이제 인바운드 흐름 또는 아웃바운드 흐름에 대해서만 매핑 새로 고침을 지정할 수도 있습니다. 매핑 새로 고침 동작을 구성하려면 계층 수준에서 문을 [edit services nat rule rule-name term term-name then translated secure-nat-mapping] 포함합니다mapping-refresh (inbound | outbound | inbound-outbound).

EIF 인바운드 플로우 한계

이전. EIF 맵핑의 인바운드 연결 수는 시스템에서 허용되는 최대 플로우에 의해서만 제한되었습니다. 이제 EIF에 허용되는 인바운드 플로우 수를 구성할 수 있습니다. EIF 맵핑에서 인바운드 연결 수를 제한하려면 계층 레벨에서 [edit services nat rule rule-name term term-name then translated secure-nat-mapping] 명령문을 포함합니다eif-flow-limit number-of-flows.

MS-DPC와 함께 APP를 사용할 때 라운드 로빈 주소 할당 사용

모범 사례:

MS-DPC를 사용하고 NAT 규칙에서 주소 풀링 쌍(APP)을 구성하는 경우 NAT 풀에 라운드 로빈 주소 할당을 사용해야 합니다.

APP 기능은 해당 개인 IP 주소에 대한 모든 NAT 세션에 대해 개인 IP 주소를 NAT 풀의 동일한 공용 IP 주소에 매핑합니다.

NAT 풀에 대한 순차적 주소 할당은 MS-DPC의 기본값이며, 다음 IP 주소를 할당하기 전에 공용 IP 주소에 대한 모든 포트를 할당합니다. APP와 함께 순차적으로 할당하면 여러 프라이빗 호스트를 동일한 퍼블릭 IP 주소에 매핑할 수 있으며, 이로 인해 퍼블릭 IP 주소에 대한 포트가 빠르게 소모되는 반면 NAT 풀의 나머지 IP 주소에서 다른 포트를 계속 사용할 수 있습니다.

반면 라운드 로빈 할당은 NAT 풀의 다음 IP 주소를 변환이 필요한 다음 프라이빗 IP 주소에 할당하여 하나의 퍼블릭 IP 주소에 대한 모든 포트가 고갈될 가능성을 줄입니다.

APP 및 라운드 로빈 주소 할당에 대한 자세한 내용은 NAPT(네트워크 주소 포트 변환)를 위한 주소 풀 구성 개요를 참조하십시오.

참고:

MS-MPC 및 MS-MIC는 라운드 로빈 할당만 사용합니다.

다음 예제에서는 라운드 로빈 주소 할당을 보여 줍니다.

필요한 경우에만 EIM 기능 사용

모범 사례:

Junos ALG를 포함하는 네트워크 주소 변환(NAT) 규칙 용어에 EIM(Endpoint-Independent Mapping)을 사용하지 마십시오. EIM은 프라이빗 호스트의 특정 세션에 대해 동일한 외부 NAT 주소 및 포트를 할당하지만 처리 오버헤드를 추가합니다. EIM은 EIM에서 사용하는 기능을 이미 사용하고 있는 Junos ALG에 아무런 이점도 제공하지 않습니다.

모범 사례:

소스 포트를 재사용하고 CGNAT 디바이스에 의존하여 서로 다른 대상으로 전송되는 모든 트래픽에 대해 동일한 주소 및 포트 매핑을 유지하는 애플리케이션에 대해 EIM을 활성화합니다. 예를 들어 Xbox 및 PS4와 같은 콘솔 게임 애플리케이션 또는 일방적인 자체 주소 수정 방법(UNSAF)을 사용하는 애플리케이션에 EIM을 사용합니다. (IETF RFC 3424 네트워크 주소 변환에서 UNSAF(Unilateral Self-Address Fixing)에 대한 IAB 고려 사항)를 참조하십시오.

EIM에 대한 자세한 내용은 NAPT(네트워크 주소 포트 변환)를 위한 주소 풀 구성 개요를 참조하십시오.

다음 예에서는 네트워크 주소 변환(NAT) 규칙에서 Junos SIP ALG를 사용하므로 EIM은 사용되지 않습니다 .

예상 사용자 세션 수에 따라 포트 블록 할당 블록 크기 정의

모범 사례:

안전한 포트 블록 할당 및 결정론적 포트 블록 할당의 경우, 사용자에 대한 예상 평균 활성 세션 수보다 2-4배 큰 포트 블록 할당 블록 크기를 정의합니다. 예를 들어, 사용자가 평균 약 200 내지 250개의 NAT 세션들을 활성 상태로 가질 것으로 예상되는 경우, 블록 크기를 512 또는 1024로 구성하면 자유로운 할당이 제공된다.

모범 사례:

MX 시리즈를 네트워크 주소 변환(NAT) 디바이스로 사용하여 보안 포트 블록 할당을 롤아웃하고 있는데 가입자 사용자 프로필과 트래픽 프로필이 확실하지 않은 경우, 예상되는 최대 프라이빗 가입자 수를 처리하기에 충분한 NAT IP 주소가 있으면 포트 블록 크기를 1024로 설정합니다. NAT IP 주소 수에 62를 곱하면 포트 블록 크기 1024(IP 주소당 62개의 블록이 있음)로 처리할 수 있는 프라이빗 가입자 수를 얻을 수 있습니다. 그런 다음 명령을 사용하여 show services nat pool detail MX 시리즈 라우터를 면밀히 모니터링하여 블록 크기를 변경해야 하는지 여부를 결정합니다.

모범 사례:

NAT 풀에 할당할 수 있는 IP 주소 수가 제한되어 있는 경우 블록 크기를 너무 크게 만들지 않도록 주의하십시오. 가입자에게 블록을 효율적으로 할당할 수 있을 만큼 충분히 큰 포트 블록 크기를 만들면 모든 포트 블록이 묶일 수 있습니다.

보안 포트 블록 할당은 NAT44 또는 NAT64에 대해 특정 사용자에게 포트 블록을 할당합니다. 보안 포트 블록 할당은 포트 블록당 하나의 syslog만 생성하여 syslog 메시지 수를 제한합니다.

그러나 블록 크기를 잘못 구성하면 NAT 리소스를 비효율적으로 사용하거나 성능 문제가 발생할 수 있습니다. 예를 들어 사용자가 단일 HTML 페이지에 대해 많은 수의 소켓을 설정해야 하는 웹 사이트에 연결하는 경우 해당 수의 새 포트를 할당해야 합니다. 포트 블록 크기는 새 블록이 계속 할당되지 않도록 충분히 커야 합니다. 프라이빗 가입자에 대한 동시 세션 수가 활성 포트 블록에서 사용 가능한 포트 수를 초과하면 가입자에게 할당된 다른 포트 블록에서 사용할 수 있는 포트를 스캔하거나 가입자를 위해 무료 블록 풀에서 새 블록을 할당합니다. 할당된 포트 블록을 스캔하고 추가 블록을 할당하면 새 세션을 설정하고 웹 페이지를 로드하는 데 지연이 발생할 수 있습니다.

포트 블록 할당에 대한 자세한 내용은 보안 포트 블록 할당 구성 및 결정적 NAP 구성을 참조하십시오.

다음 예제에서는 포트 블록 크기를 1024로 설정합니다.

실행 중인 시스템에서 포트 블록 할당 구성을 변경할 때의 고려 사항

모범 사례:

MS-MPC 또는 MS-MIC를 사용할 때 실행 중인 시스템에서 보안 포트 블록 할당 또는 결정론적 포트 블록 구성을 변경하기 전에 NAT 세션의 빠른 중단에 대한 계획을 세우십시오. 구성을 변경하면 현재 NAT 세션이 모두 다시 생성됩니다.

모범 사례:

MS-DPC를 사용할 때 실행 중인 시스템에서 포트 블록 할당 구성을 변경하기 전에 서비스 중단에 대한 계획을 세우십시오. 구성을 변경한 후에는 MS-DPC를 재부팅해야 하며, 재부팅할 수 없는 경우 서비스 세트를 비활성화했다가 다시 활성화해야 합니다.

포트 블록 할당 구성에 대한 변경 사항은 다음과 같습니다.

• NAT 풀 PBA 구성 변경.

• PBA NAT 풀을 비 PBA NAT 풀로 변경

• 비 PBA NAT 풀을 PBA NAT 풀로 변경

포트 블록 할당 구성에 대한 자세한 내용은 보안 포트 블록 할당 구성 및 결정적 NPPT 구성을 참조하십시오.

필요 이상으로 큰 NAT 풀을 할당하지 마십시오

• MS-MPC 및 MS-MIC
• MS-DPC

필요한 경우에만 NAT에 대한 시스템 로깅 구성

모범 사례:

보안 포트 블록 할당 구성에 대해 세션당 시스템 로깅을 활성화하지 마십시오.

모범 사례:

결정적 NAT 구성에 대해 시스템 로깅을 활성화하지 마십시오.

모범 사례:

가능하면 서비스 인터페이스 수준이 아닌 서비스 세트 수준에서 시스템 로깅을 활성화합니다.

모범 사례:

프로덕션 네트워크에서는 항상 외부 시스템 로그 서버로 로그 메시지를 보냅니다. 이렇게 하면 메시지가 로컬로 기록될 때 발생하는 라우팅 엔진에 CPU 부하가 추가되는 것을 방지할 수 있습니다.

모범 사례:

시스템 로그 클래스를 지정하여 관심 있는 애플리케이션 클래스로 로깅을 제한합니다.

모범 사례:

NAT 규칙 용어 내에서 시스템 로깅을 구성하는 경우 상태 저장 방화벽 규칙을 사용하여 NAT 규칙 용어에 도달하는 트래픽을 제한합니다.

시스템 로그 메시지는 세션의 생성 및 삭제 빈도에 따라 서비스 카드의 성능에 부정적인 영향을 미칠 수 있습니다. 서비스 카드에서 생성된 모든 시스템 로그 메시지는 서비스 카드에서 CPU 처리가 필요하며, 시스템 로그 메시지 자체는 MX 시리즈 라우터를 통해 전송되고 외부 로그 서버에 도달하기 위해 사용자 트래픽과 경쟁하는 트래픽을 구성합니다.

안전한 포트 블록 할당은 블록 및 블록 크기를 알고 각 사용자에게 할당된 포트를 도출할 수 있기 때문에 세션당 로그를 구성할 필요가 없습니다.

결정론적 NAT는 포트 할당에 대한 모든 정보를 수학적으로 추론할 수 있기 때문에 전혀 기록할 필요가 없습니다.

다음 예에서는 로깅을 NAT 이벤트로 제한하고 로그 메시지를 외부 로그 서버 203.0.113.4로 보냅니다

NAT 규칙 용어 내에서 시스템 로깅을 구성하면 NAT 규칙 용어에 들어가는 모든 트래픽이 로그를 생성하므로 과도한 로깅이 발생할 수 있습니다. 이로 인해 로깅 속도 제한에 도달할 수 있으며 필요한 로그가 손실됩니다.

NAT에 대한 시스템 로깅 구성에 대한 자세한 내용은 NAT 세션 로그 구성을 참조하십시오.

누락된 IP 조각의 영향 제한

모범 사례:

네트워크 주소 변환(NAT)을 위해 구성된 서비스 인터페이스의 경우, 다음을 구성하여 누락되거나 지연된 조각의 영향을 제한합니다.

• 패킷의 최대 조각 수

• 누락된 조각에 대한 최대 대기 시간

NAT를 위해 구성된 서비스 카드에서 수신한 IP 조각은 도착하면 버퍼링됩니다. 이렇게 하면 NAT에서 패킷을 처리하기 전에 완전히 리어셈블된 패킷의 무결성을 검사할 수 있습니다. 누락되거나 지연된 프래그먼트는 내부 버퍼가 가득 차서 플러시될 때까지 이미 수신된 프래그먼트를 보류하여 CPU 사용량 오버헤드를 발생시키고 트래픽 전달을 감소시킬 수 있습니다.

패킷이 가질 수 있는 최대 조각 수를 구성하고 누락된 조각에 대한 대기 시간을 제한하면 내부 버퍼가 가득 찰 가능성을 줄일 수 있습니다.

다음 예제에서는 최대 조각 수를 10으로 설정하고 최대 대기 시간을 3초로 설정합니다.

패킷 라우팅 루프가 발생하기 쉬운 구성 사용 안 함

모범 사례:

의도한 트래픽만 서비스 카드에 도달하고 서비스 세트 NAT 규칙에 의해 처리되도록 하여 패킷 라우팅 루프를 방지합니다. 다음과 같이 할 수 있습니다.

• 가능한 경우 NAT 규칙에서 소스 주소 범위를 구성합니다.

• 다음 홉 스타일 서비스 세트에서 NAT 규칙에 의해 서비스될 트래픽만 수용하는 방화벽 필터 구성.

패킷 전달 엔진과 서비스 카드 간의 패킷 루핑으로 인해 서비스 카드의 CPU 사용량이 지속적으로 높아집니다. 패킷 루핑은 예기치 않은 프라이빗 소스 네트워크에서 트래픽을 수신하는 서비스 카드로 인해 발생할 수 있습니다. 예기치 않은 트래픽이 NAT에 의해 처리되면 핀홀이 생성되며 EIF의 경우 많은 핀홀이 생성될 수 있습니다. 이러한 핀홀은 반환 트래픽이 서비스 카드를 통해 다시 라우팅되는 경우 라우팅 루프를 유발합니다.

다음 예는 198.51.100.0/24의 트래픽만 다음 홉 서비스 세트의 내부 인터페이스인 서비스 인터페이스 ms-1/0/0에 도달하도록 허용하는 방화벽 필터를 보여줍니다.

방화벽 필터 구성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용 설명서를 참조하십시오.

다음 예는 198.51.100.0/24의 트래픽만 처리하는 NAT 규칙을 보여줍니다(다른 트래픽은 서비스 인터페이스에 도달하지만 처리되지 않음).

NAT 규칙 구성에 대한 자세한 내용은 네트워크 주소 변환 규칙 개요를 참조하십시오.

비활성 시간 초과

모범 사례:

NAT 세션 매핑이 기본 NAT 비활성 시간 제한인 30초보다 더 오래 메모리에 남아 있어야 할 수 있는 사용자 정의 애플리케이션에 대해서만 비활성 시간 제한을 설정합니다. 예를 들어 HTTP 또는 HTTPS 뱅킹 애플리케이션은 사용자가 데이터를 입력해야 하기 때문에 30초 이상 비활성 상태가 필요할 수 있습니다.

모범 사례:

기존 비활성 시간 제한을 변경하기 전에 사용량이 많은 시간에 다음 명령을 여러 번 실행합니다. 그런 다음 변경한 후 명령을 실행하고 변경 사항으로 인해 NAT 리소스의 MX 시리즈 라우터 또는 메모리의 서비스 카드가 고갈되지 않는지 확인합니다.

• show services sessions 횟수

• show services nat pool 세부 사항

• show services service-sets summary

다음 예제에서는 HTTPS 및 HTTP 애플리케이션에 대해 1800초로 설정된 비활성 시간 제한을 보여 줍니다.

사용자 정의 응용 프로그램 구성에 대한 자세한 내용은 응용 프로그램 속성 구성을 참조하십시오.

모든 트래픽에 대해 높은 비활성 시간 제한을 설정할 경우의 위험을 고려해야 합니다. 일부 사용자 정의 애플리케이션의 경우 기본 NAT 비활성 시간 제한인 30초가 너무 낮을 수 있지만 시간 제한 값을 너무 높게 설정하면 NAT 리소스가 묶일 수 있습니다. 예를 들어, 비활성 시간 제한 값을 높게 설정하면 생성된 지 몇 분 만에 비활성 상태인 TCP 세션을 묶을 수 있습니다. TCP 세션이 클라이언트 또는 서버에 의해 FIN 또는 RST에 의해 완전히 닫히지 않으면 세션은 메모리에 상주하고 시간 제한 값이 만료될 때까지 할당된 NAT 리소스를 묶습니다.

모든 UDP 및 TCP 포트에 영향을 미치는 더 높은 비활성 시간 제한을 설정하는 것은 특히 DNS와 같은 UDP 트래픽에서 위험할 수 있습니다. TCP와 달리 UDP는 시간 제한 외에는 세션을 종료할 수 있는 방법이 없으므로 모든 UDP 세션은 전체 비활성 시간 제한 값 동안 활성 상태를 유지합니다.

다음 예제는 모든 TCP 및 UDP 트래픽에 대해 높은 비활성 시간 제한 값을 설정하므로 권장되지 않는 구성입니다.

권장되는 특정 비활성 시간 제한 값은 없습니다. 적절한 비활성 시간 제한 값은 다음을 비롯한 여러 요인에 따라 달라집니다.

• 최종 사용자의 네트워크에서 사용되는 애플리케이션

  예를 들어, Apple은 긴 연결 수명이 필요한 다음 Apple 서비스에 대해 60분의 비활성 시간 초과가 필요하다고 밝혔습니다.

  • Apple 푸시 서비스: 인바운드 TCP 포트 5223

  • Exchange Active Sync: 인바운드 TCP 포트 443

  • MobileMe: 인바운드 TCP 포트 5222 및 5223

• NAT 솔루션을 사용하는 방법(예: Gi NAT 디바이스 또는 엔터프라이즈 에지 라우터)

• NAT 풀의 크기

• 최대 로드 동안 각 서비스 카드가 수신하는 트래픽의 양

• 사용 가능한 메모리 용량

흐름 제어에서 덤프 활성화

모범 사례:

프로덕션 네트워크에서 네트워크 주소 변환(NAT) 트래픽을 처리하는 모든 서비스 카드에 대해 dump-on-flow-control 옵션을 활성화합니다. 이 옵션은 서비스 카드가 잠겨 있을 때를 감지하고, 주니퍼 네트웍스가 분석할 수 있는 코어 덤프를 작성하여 카드가 잠긴 이유를 판별하고, 서비스 카드를 다시 시작하여 복구합니다.

MS-MIC 및 MS-MPC의 경우, 라우팅 엔진에서 서비스 카드로 제어 트래픽을 전송하는 데 사용되는 pc- 인터페이스 아래에 dump-on-flow-control 옵션을 설정합니다. 다음 예는 서비스 인터페이스가 ms-2/1/0인 경우의 구성을 보여줍니다.

MS-DPC의 경우 sp- 인터페이스에서 dump-on-flow 제어 옵션을 설정합니다. 다음 예는 서비스 인터페이스가 sp-2/1/0인 경우의 구성을 보여줍니다.