네트워크 주소 변환 개요
Junos Address Aware 네트워크 주소 지정 개요
Junos Address Aware 네트워크 주소 지정은 IP 주소 변환을 위한 네트워크 주소 변환(NAT) 기능을 제공합니다. 이는 IANA(Internet Assigned Numbers Authority)가 2011년 초에 IPv4 주소의 마지막 대규모 블록을 할당했기 때문에 특히 중요합니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
- NAT의 이점
- NAT 개념 및 기능 개요
- IPv4-IPv4 기본 NAT
- 결정론적 NAPT
- 정적 대상 NAT
- 두 번 NAT
- IPv6 네트워크 주소 변환(NAT)
- ALG(Application-Level Gateway) 지원
- DNS ALG를 사용하는 NAT-PT
- 동적 NAT
- 스테이트풀 NAT64
- 464XLAT
- 듀얼 스택 Lite
- Junos Address Aware 네트워크 주소 지정 라인 카드 지원
NAT의 이점
NAT는 다음과 같은 광범위한 네트워킹 목표를 지원합니다.
네트워크 공격의 직접적인 표적으로부터 호스트 주소를 보호하고 IPv4 주소 고갈을 방지하기 위해 공용 주소 풀 뒤에 개인 네트워크의 호스트 주소 집합을 숨김
비즈니스 요구 사항에 따라 IPv6로 전환하고 중단 없는 가입자 및 서비스 성장을 보장하는 도구 제공
IPv4-IPv6 공존 제공
NAT 개념 및 기능 개요
Junos Address Aware 네트워크 주소 지정은 IPv4 및 IPv6 네트워크에 CGN(carrier-grade NAT)을 제공하며 여러 유형의 네트워크 간 트래픽 전송을 용이하게 합니다.
Junos Address Aware Network Addressing은 다양한 네트워크 주소 변환(NAT) 변환 옵션을 지원합니다.
Static-source translation(정적 소스 변환) - 프라이빗 네트워크를 숨길 수 있습니다. 원래 주소와 번역된 주소 사이의 일대일 매핑이 특징입니다. 매핑은 정적으로 구성됩니다. 자세한 내용은 기본 NAT 를 참조하십시오 .
결정적 NAPT—원래 소스 IPv4 또는 IPv6 주소 및 포트가 항상 동일한 NAT 이후 IPv4 주소 및 포트 범위에 매핑되도록 하여 주소 변환 로깅의 필요성을 제거합니다.
동적 소스 변환 - 동적 주소 전용 소스 변환 및 NAPT(Network Address Port Translation )의 두 가지 옵션을 포함합니다.
정적 대상 변환 - 선택한 개인 서버에 액세스할 수 있도록 할 수 있습니다. 변환된 주소와 목적지 주소 간의 일대일 매핑이 특징입니다. 매핑은 정적으로 구성됩니다. 자세한 내용은 정적 대상 NAT를 참조하십시오.
프로토콜 변환 - IPv4 또는 IPv6 경계를 넘어 세션이 시작될 때 정적 또는 동적으로 풀의 주소를 할당할 수 있습니다. 자세한 내용은 NAT-PT 구성, DNS ALG를 사용한 NAT-PT 및 스테이트풀 NAT64를 참조하세요.
소프트와이어를 사용하여 IPv4 패킷을 IPv6 패킷으로 캡슐화 - 패킷이 소프트와이어를 통해 캐리어급 NAT 엔드포인트로 이동할 수 있으며, 여기서 패킷은 원래 소스 주소를 숨기기 위해 소스-NAT 처리를 거치게 됩니다. 자세한 내용은 IPv4에서 IPv6으로의 전환을 위한 터널링 서비스 개요를 참조하십시오.
Junos Address Aware 네트워크 주소 지정은 표준 참조의 "지원되는 NAT 및 SIP 표준"에 나와 있는 것처럼 IETF RFC 및 인터넷 초안에 설명된 NAT 기능을 지원합니다.
모든 유형의 NAT가 모든 인터페이스 유형에서 지원되는 것은 아닙니다. 지원되는 인터페이스에서 사용할 수 있는 기능이 나열된 인터페이스 카드 유형별 Junos 주소 인식에 대한 서비스 프로바이더급 NAT 기능 비교를 참조하십시오.
IPv4-IPv4 기본 NAT
기본 네트워크 주소 변환(Basic Network Address Translation) 또는 기본 NAT는 IP 주소를 한 그룹에서 다른 그룹으로 매핑하여 최종 사용자에게 투명하게 매핑하는 방법입니다. 네트워크 주소 포트 변환 또는 NAPT는 많은 네트워크 주소와 해당 TCP/UDP 포트를 단일 네트워크 주소 및 해당 TCP/UDP 포트로 변환하는 방법입니다. 기존 NAT라고 하는 이 두 작업은 개인 주소가 있는 영역을 전역적으로 고유한 등록 주소가 있는 외부 영역에 연결하는 메커니즘을 제공합니다.
RFC 3022, 기존 IP 네트워크 주소 변환기에 명시된 기존 NAT는 Junos Address Aware Network Addressing에서 완전히 지원됩니다. 또한 소스 주소에 대해 NAPT가 지원됩니다.
기본 NAT
기본 NAT를 사용하면 세션을 외부 도메인으로 시작할 때 프라이빗 도메인의 호스트 주소를 변환하기 위해 외부 주소 블록이 따로 설정됩니다. 프라이빗 네트워크에서 아웃바운드된 패킷의 경우 기본 NAT는 원본 IP 주소와 IP, TCP, UDP 및 ICMP 헤더 체크섬과 같은 관련 필드를 변환합니다. 인바운드 패킷의 경우 기본 NAT는 대상 IP 주소와 위에 나열된 체크섬을 변환합니다.
헤어핀은 기본 NAT에 대해 지원됩니다.
낮잠
NAPT를 사용하여 개인 네트워크의 구성 요소가 단일 외부 주소를 공유할 수 있도록 합니다. NAPT는 개인 네트워크의 전송 식별자(예: TCP 포트 번호, UDP 포트 번호 또는 ICMP 쿼리 ID)를 단일 외부 주소로 변환합니다. NAPT를 기본 NAT와 결합하여 포트 변환과 함께 외부 주소 풀을 사용할 수 있습니다.
개인 네트워크에서 아웃바운드된 패킷의 경우 NAPT는 원본 IP 주소, 원본 전송 식별자(TCP/UDP 포트 또는 ICMP 쿼리 ID) 및 관련 필드(예: IP, TCP, UDP 및 ICMP 헤더 체크섬)를 변환합니다. 인바운드 패킷의 경우 NAPT는 대상 IP 주소, 대상 전송 식별자, IP 및 전송 헤더 체크섬을 변환합니다.
MS-MIC 및 MS-MPC가 있는 MX 시리즈 라우터에서 NAPT44 NAT 규칙을 구성하고 스푸핑된 패킷의 소스 IP 주소가 NAT 풀과 동일하고 NAT 규칙 일치 조건이 실패하면 서비스 PIC와 패킷 전달 엔진 간에 패킷이 지속적으로 루프됩니다. 이러한 조건에서 수동으로 세션을 지우고 NAT 풀 IP 스푸핑을 차단하는 필터를 만드는 것이 좋습니다.
헤어핀은 NAPT에 대해 지원됩니다.
결정론적 NAPT
결정론적 NAPT44를 사용하여 원래 소스 IPv4 주소 및 포트가 항상 동일한 NAT 이후 IPv4 주소 및 포트 범위에 매핑되고, 지정된 변환된 외부 IPv4 주소 및 포트의 역방향 매핑이 항상 동일한 내부 IP 주소에 매핑되도록 합니다. 이렇게 하면 주소 변환 로깅이 필요하지 않습니다. Junos OS 릴리스 17.4R1부터 MS-MPC 및 MS-MIC에서 결정론적 NAPT64가 지원됩니다. 결정적 NAPT64는 원래 소스 IPv6 주소 및 포트가 항상 동일한 NAT 후 IPv4 주소 및 포트 범위에 매핑되고, 지정된 변환된 외부 IPv4 주소 및 포트의 역방향 매핑이 항상 동일한 내부 IPv6 주소에 매핑되도록 합니다.
정적 대상 NAT
정적 대상 NAT를 사용하여 외부 트래픽의 대상 주소를 대상 풀에 지정된 주소로 변환합니다. 대상 풀에는 하나의 주소가 포함되며 포트 구성은 없습니다.
정적 대상 NAT에 대한 자세한 내용은 RFC 2663, IP NAT(Network Address Translator) 용어 및 고려 사항을 참조하십시오.
두 번 NAT
Twice NAT에서는 패킷이 NAT 라우터를 통과할 때 소스 주소와 대상 주소가 모두 변환될 수 있습니다. 변환할 소스 정보는 주소만 또는 주소 및 포트일 수 있습니다. 예를 들어 한 네트워크의 전체 또는 일부 주소가 다른 네트워크의 주소와 겹치는 두 개의 네트워크(네트워크가 개인 또는 공용)인 경우 두 번 NAT를 사용합니다. 기존 네트워크 주소 변환(NAT)에서는 주소 중 하나만 변환됩니다.
Twice NAT를 구성하려면 일치 방향, 풀 또는 접두사, 변환 유형에 대한 대상 주소와 소스 주소를 모두 지정해야 합니다.
동일한 서비스 세트에서 2회 NAT가 구성된 경우 스테이트풀 방화벽, NAT 또는 CoS(Class-of-Service) 규칙에 따라 ICMP 및 traceroute에 대한 ALG(Application-Level Gateways)를 구성할 수 있습니다. 이러한 ALG는 PGCP(Packet Gateway Control Protocol)에 의해 생성된 플로우에 적용될 수 없습니다. 두 번 NAT는 다른 ALG를 지원하지 않습니다. 기본적으로 두 번 NAT 기능은 ICMP 오류 메시지의 페이로드에 포함된 IP, TCP 및 UDP 헤더에 영향을 줄 수 있습니다.
RFC 2663, IP NAT(Network Address Translator) 용어 및 고려 사항에 명시된 두 번의 NAT는 Junos Address Aware Network Addressing에서 완벽하게 지원됩니다.
IPv6 네트워크 주소 변환(NAT)
인터넷 초안 draft-mrw-behave-nat66-01, IPv6-to-IPv6 NAT66(Network Address Translation)에 정의된 IPv6-to-IPv6 NAT(NAT66)는 Junos Address Aware Network Addressing에서 완벽하게 지원됩니다.
ALG(Application-Level Gateway) 지원
Junos Address Aware 네트워크 주소 지정은 여러 ALG를 지원합니다. 네트워크 주소 변환(NAT) 규칙을 사용하여 ALGS를 기반으로 수신 트래픽을 필터링할 수 있습니다. 자세한 내용은 네트워크 주소 변환 규칙 개요를 참조하십시오.
DNS ALG를 사용하는 NAT-PT
NAT-PT 및 DNS(Domain Name System) ALG는 IPv6 호스트와 IPv4 호스트 간의 통신을 용이하게 하는 데 사용됩니다. NAT-PT는 IPv4 주소 풀을 사용하여 IPv4 또는 IPv6 경계를 넘어 세션이 시작될 때 동적으로 해당 풀의 주소를 IPv6 노드에 할당합니다. 인바운드 및 아웃바운드 세션은 해당 세션을 추적할 수 있도록 동일한 NAT-PT 라우터를 통과해야 합니다. RFC 2766, NAT-PT(Network Address Translation - Protocol Translation)는 IPv6 노드 간 IPv6-IPv6 변환 또는 IPv4 노드 간 IPv4-IPv4 변환이 아닌 IPv6 전용 노드와 IPv4 전용 노드 간의 변환에 NAT-PT를 사용할 것을 권장합니다.
DNS는 컴퓨터, 서비스 또는 인터넷이나 개인 네트워크에 연결된 모든 리소스를 위한 분산 계층 명명 시스템입니다. DNS ALG는 IPv6 노드가 IPv4 노드와 통신하거나 그 반대로 통신할 수 있도록 하는 애플리케이션별 에이전트입니다.
DNS ALG가 NAT-PT와 함께 사용되면 DNS ALG는 DNS 쿼리 및 응답의 IPv6 주소를 해당 IPv4 주소로 변환하며 그 반대의 경우도 마찬가지입니다. IPv4 이름-주소 매핑은 "A" 쿼리를 사용하여 DNS에 보관됩니다. IPv6 이름-주소 매핑은 "AAAA" 쿼리를 통해 DNS에 보관됩니다.
IPv6 DNS 쿼리의 do-not-translate-AAAA-query-to-A-query
[edit applications application application-name]
경우 계층 수준에서 문을 사용합니다.
동적 NAT
동적 네트워크 주소 변환(NAT) 플로우는 그림 1에 나와 있습니다.
동적 NAT를 사용하면 개인 IP 주소(원본)를 등록된(공용) IP 주소 풀의 공용 IP 주소 그리기에 매핑할 수 있습니다. 풀의 네트워크 주소 변환(NAT) 주소는 동적으로 할당됩니다. 주소를 동적으로 할당하면 소스 정적 NAT에 필요한 동일한 크기의 풀과 달리 여러 프라이빗 호스트에서 몇 개의 공용 IP 주소를 사용할 수 있습니다.
동적 주소 변환에 대한 자세한 내용은 RFC 2663, IP NAT(Network Address Translator) 용어 및 고려 사항을 참조하십시오.
스테이트풀 NAT64
스테이트풀 NAT64 플로우는 그림 2에 나와 있습니다.
스테이트풀 NAT64는 IPv6 네트워크로 이동하는 동시에 IPv4 주소 고갈을 처리하는 메커니즘입니다. IPv6 전용 클라이언트가 유니캐스트 UDP, TCP 또는 ICMP를 사용하여 IPv4 서버에 연결할 수 있도록 허용하면 여러 IPv6 전용 클라이언트가 동일한 공용 IPv4 서버 주소를 공유할 수 있습니다. IPv4 서버 주소의 공유를 허용하기 위해 NAT64는 들어오는 IPv6 패킷을 IPv4로 변환합니다(반대의 경우도 마찬가지).
상태 저장 NAT64를 DNS64와 함께 사용하는 경우 일반적으로 IPv6 클라이언트 또는 IPv4 서버를 변경할 필요가 없습니다. DNS64는 일반적으로 현재 배포된 DNS 서버의 개선 사항으로 구현되므로 이 문서의 범위를 벗어납니다.
RFC 6146, Stateful NAT64: IPv6 클라이언트에서 IPv4 서버로의 네트워크 주소 및 프로토콜 변환에 지정된 Stateful NAT64는 Junos Address Aware Network Addressing에서 완전히 지원됩니다.
464XLAT
Junos OS 릴리스 17.1R1부터 464XLAT PLAT(Provider-Side Translater)를 구성할 수 있습니다. 이는 MS-MIC 및 MS-MPC에서만 지원됩니다. 464XLAT는 개인 주소를 가진 IPv4 클라이언트가 IPv6 네트워크를 통해 IPv4 호스트에 연결할 수 있는 간단하고 확장 가능한 기술을 제공합니다. 464XLAT는 클라이언트-서버 모델에서만 IPv4를 지원하므로 IPv4 피어 투 피어 통신 또는 인바운드 IPv4 연결은 지원하지 않습니다.
주니퍼 네트웍스 제품이 아닌 CLAT(Customer-Side Translator)는 IPv4 소스 및 대상 주소를 IPv6/96 접두사에 내장하여 IPv4 패킷을 IPv6로 변환하고 IPv6 네트워크를 통해 PLAT로 패킷을 보냅니다. PLAT는 패킷을 IPv4로 변환하고 IPv4 네트워크를 통해 패킷을 IPv4 호스트로 보냅니다( 그림 3 참조).
XLAT464 사용하면 IPv4 네트워크를 유지 관리할 필요가 없고 공용 IPv4 주소를 추가로 할당할 필요가 없다는 장점이 있습니다.
CLAT는 IPv6 전용 모바일 네트워크의 최종 사용자 모바일 디바이스에 상주할 수 있으므로 모바일 네트워크 제공업체는 사용자가 and 모바일 디바이스에서 IPv4 전용 애플리케이션을 지원하도록 IPv6를 롤아웃할 수 있습니다( 그림 4 참조).
듀얼 스택 Lite
듀얼 스택 라이트(DS-Lite) 플로우는 그림 5에 나와 있습니다.
DS-Lite는 IPv4-over-IPv6 터널을 사용하여 IPv6 액세스 네트워크를 통과하여 캐리어급 IPv4-IPv4 NAT에 도달합니다. 이는 IPv4와의 이전 버전과의 호환성을 제공하여 인터넷에 IPv6의 단계적 도입을 용이하게 합니다.
DS-Lite는 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다.
Junos Address Aware 네트워크 주소 지정 라인 카드 지원
Junos Address Aware 네트워크 주소 지정 기술은 다음 라인 카드에서 사용할 수 있습니다.
MS-DPC(MultiServices Dense Port Concentrator)
MS-100, MS-400 및 MS-500 멀티서비스 PICS
MS-MPC(MultiServices Modular Port Concentrator) 및 MS-MIC(MultiServices Modular Interface Card)
모듈형 포트 집중 장치(인라인 NAT).
각 카드 유형에서 지원되는 특정 네트워크 주소 변환(NAT) 유형의 목록은 인터페이스 카드 유형별 Junos 주소 인식에 대한 서비스 프로바이더급 NAT 기능 비교를 참조하십시오.
또한보십시오
샘플 IPv6 전환 시나리오
Junos OS는 Junos OS 고객이 필요로 하는 많은 IPv6 전환 시나리오를 지원합니다. 다음은 선택된 예입니다.
예 1: 비 IPv6 액세스 네트워크를 통한 IPv4 고갈
그림 6 은 ISP(인터넷 서비스 공급자)가 IPv4 네트워크를 크게 변경하지 않은 시나리오를 보여 줍니다. 이 접근 방식을 사용하면 IPv4 호스트가 IPv4 인터넷에 액세스하고 IPv6 호스트가 IPv6 인터넷에 액세스할 수 있습니다. 이중 스택 호스트는 IPv4 액세스 서비스를 사용할 때 IPv4 호스트로 취급되고 IPv6 액세스 서비스를 사용할 때 IPv6 호스트로 취급될 수 있습니다.
이 접근 방식에서는 듀얼 스택 홈 게이트웨이와 듀얼 스택 캐리어급 NAT(Network Address Translation)라는 두 가지 새로운 유형의 디바이스를 구축해야 합니다. 듀얼 스택 홈 게이트웨이는 IPv4 포워딩 및 v6-over-v4 터널링 기능을 통합합니다. 또한 v4-v4 NAT 기능을 통합할 수 있습니다. 듀얼 스택 CGN(carrier-grade NAT)은 v6-over-v4 터널링 및 서비스 프로바이더급 v4-v4 NAT 기능을 통합합니다.
예 2: IPv6 액세스 네트워크를 통한 IPv4 고갈
그림 7에 표시된 시나리오에서 ISP 네트워크는 IPv6 전용입니다.
듀얼 스택 라이트(DS-Lite) 솔루션은 IPv6 전용 ISP를 수용합니다. 이 접근 방식에 가장 적합한 비즈니스 모델은 CPE(Customer Premises Equipment)가 IPv6을 IPv4 백본으로 터널링하고 IPv4를 IPv6 백본으로 터널링하는 기능을 통합했으며 필요한 솔루션을 자동으로 감지할 수 있다는 것입니다.
특정 ISP의 모든 고객이 IPv4 액세스에서 IPv6 액세스로 동시에 전환해야 하는 것은 아닙니다. 실제로 고객 그룹(예: 단일 접속 지점에 연결된 모든 고객)을 점진적으로 전환하여 전환을 더 잘 관리할 수 있습니다. 이러한 점진적 접근 방식은 전면적인 변환보다 계획, 예약 및 실행이 더 쉬워야 합니다.
예제 3: 모바일 네트워크에 대한 IPv4 고갈
모바일 네트워크의 복잡성으로 인해 전환 과정에서 중단을 최소화하고 이전 버전과의 호환성을 극대화할 수 있는 유연한 마이그레이션 접근 방식이 필요합니다. NAT64는 IPv6 디바이스가 클라이언트를 수정하지 않고 IPv4 호스트와 통신할 수 있도록 하는 데 사용할 수 있습니다.
Junos OS 서비스 프로바이더급 NAT 구현 개요
Junos OS를 사용하면 구현에 사용되는 서비스 인터페이스 유형에 따라 CGNAT(서비스 프로바이더급 네트워크 주소 변환) 솔루션을 구현하고 확장할 수 있습니다.
MS-DPC(MultiServices Denser Port Concentrator) - 레이어 3 서비스 패키지는 MS-DPC 적응형 서비스 PIC에 대한 NAT를 구성하는 데 사용됩니다. 이 솔루션은 Junos Address Aware 네트워크 주소 지정 개요에 설명된 NAT 기능을 제공합니다.
MS-100, MS-400 및 MS-500 멀티서비스 PICS—레이어 3 서비스 패키지는 멀티서비스 PIC에 대한 네트워크 주소 변환(NAT)을 구성하는 데 사용됩니다. 이 솔루션은 Junos Address Aware 네트워크 주소 지정 개요에 설명된 NAT 기능을 제공합니다.
MS-MPC(MultiServices Modular Port Concentrator) 및 MS-MIC(MultiServices Modular Interface Card) - MS-MPC 및 MS-MIC는 서비스 프로바이더급 NAT를 구성할 수 있도록 사전 구성되어 있습니다. 이 솔루션은 Junos Address Aware 네트워크 주소 지정 개요에 설명된 NAT 기능을 제공합니다.
MPC(Modular Port Concentrator) 라인 카드에 대한 인라인 NAT) - 인라인 NAT는 MPC 라인 카드의 서비스 기능을 활용하여 인라인 네트워크 주소 변환 개요에 설명된 대로 데이터 플레인에서 NAT 기능을 비용 효율적으로 구현할 수 있도록 합니다.
또한보십시오
인터페이스 카드 유형별 Junos Address Aware에 대한 서비스 프로바이더급 NAT 기능 비교
표 1 에는 Junos OS 캐리어급 NAT 구현 간의 기능 차이점이 요약되어 있습니다.
Junos OS 릴리스 17.2R1부터 인라인 NAT는 MPC5E 및 MPC6E에서 지원됩니다.
Junos OS 릴리스 17.4R1부터 인라인 NAT는 MPC7E, MPC8E 및 MPC9E에서 지원됩니다.
기능 |
MS-DPC MS-100 시리즈 MS-400 시리즈 MS-500 시리즈 |
MS-MPC MS-마이크 |
MPC1, MPC2, MPC3, MPC5E, MPC6E, MPC7E, MPC8E 및 MPC9E 인라인 NAT |
---|---|---|---|
정적 소스 NAT |
예 |
예 |
예 |
동적 소스 NAT - 주소만 |
예 |
예 |
아니요 |
동적 소스 NAT - 보안 포트 블록 할당을 통한 NAPT 포트 변환 |
예 |
yes(Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC에 대해 지원되는 보안 포트 블록 할당을 통한 동적 소스 NAT - NAPT 포트 변환) |
아니요 |
동적 소스 NAT - 결정론적 포트 블록 할당을 통한 NAPT44 포트 변환 |
예 |
yes(동적 소스 NAT - Junos OS 릴리스 17.3R1, Junos OS 릴리스 14.2R7 이상 14.2 릴리스, 15.1R3 이상 15.1 릴리스, 16.1R5 이상 16.1 릴리스에서 시작하여 MS-MPC 및 MS-MIC에 대해 지원되는 결정론적 포트 블록 할당을 통한 NAPT44 포트 변환) |
아니요 |
동적 소스 NAT - 결정론적 포트 블록 할당을 통한 NAPT64 포트 변환 |
아니요 |
yes(Junos OS 릴리스 17.4R1부터 MS-MPC 및 MS-MIC에 대해 지원되는 결정론적 포트 블록 할당을 통한 동적 소스 NAT - NAPT64 포트 변환) |
아니요 |
정적 대상 NAT |
예 |
예 |
예
참고:
대상 NAT는 간접적으로 구현할 수 있습니다. 인라인 네트워크 주소 변환 개요를 참조하십시오 |
두 번 NAT |
예 |
예(Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에 대해 2회 네트워크 주소 변환(NAT) 지원) |
예
참고:
2회 NAT는 간접적으로 구현될 수 있습니다. 인라인 네트워크 주소 변환 개요를 참조하십시오 |
NAPT - 패리티 및 범위 유지 |
예 |
예(NAPT - Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에 대해 지원되는 패리티 및 범위 유지) |
아니요 |
NAPT - APP/EIF/EIM |
예 |
예 |
아니요 |
IKE ALG |
아니요 |
예(Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터 시작) |
아니요 |
스테이트풀 NAT64 |
예 |
예 |
아니요 |
스테이트풀 NAT64(APP/EIM/EIF 포함) |
아니요 |
예 |
아니요 |
ALG를 사용하는 스테이트풀 NAT64
|
아니요 |
예 |
아니요 |
DS-라이트 |
예 |
예(Junos OS 릴리스 17.4R1부터 MS-MPC 및 MS-MIC에 대해 DS-Lite 지원) |
아니요 |
6위 |
예 |
아니요 |
아니요 |
6 대 4 |
예 |
아니요 |
아니요 |
464XLAT |
아니요 |
예(Junos OS 릴리스 17.1R1부터) |
아니요 |
NAT 풀 전반의 중복 주소 |
예 |
예 |
아니요 |
오버로드 풀 |
예 |
아니요 |
아니요 |
포트 제어 프로토콜 |
예 |
예(NAPT44를 사용하는 포트 제어 프로토콜은 Junos OS 릴리스 17.4R1부터 MS-MPC 및 MS-MIC에 대해 지원됩니다. Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC의 포트 제어 프로토콜은 DS-Lite를 지원합니다. PCP는 NAT44 및 방화벽 장치와 같은 업스트림 장치에 의한 수신 패킷의 전달을 제어하는 메커니즘과 애플리케이션 keepalive 트래픽을 줄이는 메커니즘을 제공합니다. |
아니요 |
CGN-픽 |
예 |
아니요 |
아니요 |
AMS 지원 |
아니요 |
예 |
아니요 |
포트 포워딩 |
예 |
예(Junos OS 릴리스 17.4R1부터 MS-MPC 및 MS-MIC에 대해 포트 포워딩이 지원됩니다.) |
아니요 |
번역 없음 |
예 |
예(Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에 대해 변환이 지원되지 않음) |
예 |
표 2 는 라인 카드 유형별 변환 유형의 가용성을 요약한 것입니다.
번역 유형 |
MS-DPC MS-100 시리즈 MS-400 시리즈 MS-500 시리즈 |
MS-MPC MS-마이크 |
MPC1, MPC2, MPC3, MPC5E, MPC6E, MPC7E, MPC8E 및 MPC9E 인라인 NAT |
---|---|---|---|
|
예 |
예 |
예 |
|
예 |
아니요 |
아니요 |
|
예 |
아니요 |
아니요 |
|
예 |
예( |
아니요 |
|
아니요 |
예( |
아니요 |
|
예 |
예 |
아니요 |
|
예 |
예 |
아니요 |
|
예 |
예 |
아니요 |
|
예 |
아니요 |
아니요 |
|
예 |
아니요 |
아니요 |
|
아니요 |
예(Junos OS 릴리스 17.1R1부터) |
아니요 |
|
예 |
예 |
아니요 |
|
예 |
예( |
예( |
|
예 |
예( |
아니요 |
|
예 |
예( |
아니요 |
Junos OS Address Aware NAT에 사용할 수 있는 ALG
표 3에 나열된 다음 ALG(Application Level Gateway)는 나열된 플랫폼에서 NAT 처리를 지원합니다.
이러한 Junos OS 기본 애플리케이션에 대한 구현 세부 정보(포트, 프로토콜 등)를 보려면 테이블에서 Junos OS 기본 ALG 이름을 찾은 다음 에 나열된 이름을 groups
찾습니다. 예를 들어 TFTP에 대한 자세한 내용은 그림과 같이 조회합니다 junos-tftp
.
Junos OS는 을 제공하여 junos-alg
ALG 등록을 처리하고, 느린 경로 패킷이 등록된 ALG를 통해 흐르게 하며, ALG 이벤트를 ALG 플러그인으로 전송함으로써 다른 ALG가 작동할 수 있도록 합니다. junos-alg
ALG는 MS-MPC 및 MS-MIC 플랫폼에서 자동으로 사용할 수 있으며 추가 구성이 필요하지 않습니다.
원격 셸(RSH) 및 원격 로그인(rlogin) 애플리케이션 레이어 게이트웨이(ALG)는 MS-MIC 및 MS-MPC가 있는 MX 시리즈 라우터에서 NAPT(네트워크 주소 포트 변환)로 지원되지 않습니다.
user@host# show groups junos-defaults applications application junos-tftp application-protocol tftp; protocol udp; destination-port 69;
표 3 에는 서비스 인터페이스 카드용 Junos OS Address Aware NAT에 사용할 수 있는 ALG가 요약되어 있습니다.
Alg |
MS-DPC |
MS-MPC, MS-MIC |
Junos OS 기본 ALG 이름 |
---|---|---|---|
기본 TCP ALG |
예 |
예 |
참고:
특정 Junos OS ALG는 지원되지 않습니다. 그러나 기본적으로 사용할 수 있는 TCP 추적기라는 기능은 세그먼트 순서 지정, 재전송 및 연결 추적, TCP 연결에 대한 유효성 검사를 수행합니다. |
기본 UDP ALG |
예 |
예 |
참고:
TCP 추적기는 UDP에 대한 제한된 무결성 및 유효성 검사를 수행합니다. |
Bootp |
예 |
아니요 |
|
DCE RPC 서비스 |
예 |
예 |
|
Dns |
예 |
예 |
|
Dns |
아니요 |
아니요 |
|
Ftp |
예 |
예 |
|
게이트키퍼 RAS(Junos OS 릴리스 17.1R1부터 시작) |
아니요 |
예 |
|
H323 |
아니요 |
예 |
|
Icmp |
예 |
예
참고:
Junos OS 릴리스 14.1 및 이전 버전에서는 ICMP 메시지가 기본적으로 처리되지만 PING ALG 지원은 제공되지 않습니다. Junos OS 14.2부터 ICMP 메시지는 기본적으로 처리되며 PING ALG 지원이 제공됩니다. |
|
Iiop |
예 |
아니요 |
|
IKE ALG |
아니요 |
예
참고:
Junos OS 릴리스 14.2R7, 15.1R5, 16.1R2 및 17.1R1부터 MS-MPC 및 MS-MIC에서 IKE ALG ALG가 지원됩니다. |
|
Ip |
예 |
이러한 플랫폼에서 기본적으로 사용할 수 있는 TCP 추적기는 제한된 무결성 및 유효성 검사를 수행합니다. |
|
Netbios |
예 |
아니요 |
|
Netshow |
예 |
아니요 |
|
Pptp |
예 |
예 |
|
리얼오디오 |
예 |
아니요 |
|
Sun RPC 및 RPC 포트 맵 서비스 |
예 |
예 |
|
Rtsp |
예 |
예 |
|
Sip |
예 |
예 |
SIP
참고:
SIP 세션은 MS-MIC 및 MS-MPC 인터페이스 카드에서 NAT 처리를 위해 12시간(720분)으로 제한됩니다. MS-DPC의 SIP 세션에는 시간 제한이 없습니다.
|
Snmp |
예 |
아니요 |
|
SQLNET |
예 |
예 |
|
Tftp |
예 |
예 |
|
Traceroute |
예 |
예 |
|
Unix 원격 셸 서비스 |
예 |
예
참고:
원격 셸(RSH) ALG는 NAPT(네트워크 주소 포트 변환)에 지원되지 않습니다. |
|
WINFrame |
예 |
아니요 |
|
토크-UDP |
아니요 |
예 |
|
MS RPC |
아니요 |
예 |
|
또한보십시오
ACX500 라우터의 Junos OS Address Aware NAT에 기본적으로 사용 가능한 ALG
표 4에 나열된 다음 ALG(Application Level Gateway)는 ACX500 라우터의 NAT 처리를 지원합니다.
이러한 Junos OS 기본 애플리케이션에 대한 구현 세부 정보(포트, 프로토콜 등)를 보려면 테이블에서 Junos OS 기본 ALG 이름을 찾은 다음 에 나열된 이름을 groups
찾습니다. 예를 들어 TFTP에 대한 자세한 내용은 그림과 같이 조회합니다 junos-tftp
.
NAT용 ALG는 ACX500 실내 라우터에서만 지원됩니다.
Junos OS는 을 제공하여 junos-alg
ALG 등록을 처리하고, 느린 경로 패킷이 등록된 ALG를 통해 흐르게 하며, ALG 이벤트를 ALG 플러그인으로 전송함으로써 다른 ALG가 작동할 수 있도록 합니다. ALG는 junos-alg
ACX500 라우터에서 자동으로 사용할 수 있으며 추가 구성이 필요하지 않습니다.
원격 로그인(rlogin) 애플리케이션 레이어 게이트웨이(ALG)는 ACX500 라우터의 NAPT(네트워크 주소 포트 변환)에서 지원되지 않습니다.
Alg |
ACX500 라우터 |
Junos OS 기본 ALG 이름 |
---|---|---|
기본 TCP ALG |
예 |
참고:
특정 Junos OS ALG는 지원되지 않습니다. 그러나 기본적으로 사용할 수 있는 TCP 추적기라는 기능은 세그먼트 순서 지정, 재전송 및 연결 추적, TCP 연결에 대한 유효성 검사를 수행합니다. |
기본 UDP ALG |
예 |
참고:
TCP 추적기는 UDP에 대한 제한된 무결성 및 유효성 검사를 수행합니다. |
Dns |
예 |
|
Ftp |
예 |
|
Icmp |
예
참고:
ICMP 메시지는 기본적으로 처리되지만 PING ALG 지원은 제공되지 않습니다. |
|
Tftp |
예 |
|
Unix 원격 셸 서비스 |
예
참고:
원격 셸(RSH) ALG는 NAPT(네트워크 주소 포트 변환)에 지원되지 않습니다. |
|
ALG 지원 세부 정보
이 섹션에는 ALG에 대한 세부 정보가 포함되어 있습니다. 여기에는 다음이 포함됩니다.
기본 TCP
이 ALG는 TCP 패킷에 대한 기본적인 온전성 검사를 수행합니다. 오류가 발견되면 다음과 같은 이상 이벤트 및 시스템 로그 메시지를 생성합니다.
-
TCP 원본 또는 대상 포트 0
-
TCP 헤더 길이 검사 실패
-
TCP 시퀀스 번호가 0이고 플래그가 설정되지 않았습니다.
-
TCP 시퀀스 번호 0 및 FIN/PSH/RST 플래그가 설정됨
-
TCP FIN/RST 또는 SYN(URG|핀|RST) 플래그가 설정됩니다
TCP ALG는 다음 단계를 수행합니다.
-
라우터가 SYN 패킷을 수신하면 ALG는 TCP 순방향 및 역방향 플로우를 생성하고 대화에서 그룹화합니다. TCP 3방향 핸드셰이크를 추적합니다.
-
SYN 방어 메커니즘은 TCP 연결 설정 상태를 추적합니다. TCP 세션이 짧은 시간 간격(현재 4초) 내에 설정될 것으로 예상합니다. 해당 기간 동안 TCP 3방향 핸드셰이크가 설정되지 않으면 세션이 종료됩니다.
-
keepalive 메커니즘은 응답하지 않는 엔드포인트가 있는 TCP 세션을 감지합니다.
-
ICMP 오류는 흐름이 ICMP 데이터에 지정된 선택기 정보와 일치하는 경우에만 허용됩니다.
기본 UDP
이 ALG는 UDP 헤더에 대한 기본적인 온전성 검사를 수행합니다. 오류가 발견되면 다음과 같은 이상 이벤트 및 시스템 로그 메시지를 생성합니다.
-
UDP 원본 또는 대상 포트 0
-
UDP 헤더 길이 검사 실패
UDP ALG는 다음 단계를 수행합니다.
-
첫 번째 패킷을 수신하면 ALG는 양방향 흐름을 생성하여 정방향 및 역방향 UDP 세션 트래픽을 수락합니다.
-
세션이 최대 허용 유휴 시간(기본값은 30초)을 초과하여 유휴 상태이면 흐름이 삭제됩니다.
-
ICMP 오류는 흐름이 ICMP 데이터에 지정된 선택기 정보와 일치하는 경우에만 허용됩니다.
Dns
DNS(Domain Name System) ALG는 도메인 네임을 찾아 IP 주소로 변환하는 것과 관련된 데이터를 처리합니다. ALG는 일반적으로 포트 53에서 실행됩니다. ALG는 DNS 쿼리 및 응답 패킷을 모니터링하고 UDP 트래픽만 지원합니다. ALG는 페이로드 변환을 지원하지 않습니다. DNS ALG는 회신이 수신되거나 유휴 시간 제한에 도달한 경우에만 세션을 닫습니다.
다음은 DNS ALG를 구성하는 예입니다.
-
NAT 인터페이스 생성.
[edit] services { service-set set-dns { nat-rules nat-dns; interface-service { service-interface ms-0/2/0; } }
-
NAT 풀 구성.
[edit] services { nat { pool p-napt { address 10.1.1.1/32; } } }
-
DNS ALG에 대한 네트워크 주소 변환(NAT) 규칙 정의.
[edit] services { nat { rule nat-dns { match-direction input; term term1 { from { source-address { 10.50.50.2/32; } applications junos-dns-udp;; } then { translated { source-pool p-napt; translation-type { basic-nat44; } } } } } }
-
인터페이스에 서비스 세트를 바인딩합니다.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-dns; } output { service-set set-dns; } } address 10.50.50.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.60.60.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
Ftp
FTP는 RFC 959에 지정된 파일 전송 프로토콜입니다. 주 제어 연결 외에도 클라이언트와 서버 간의 모든 데이터 전송에 대한 데이터 연결도 이루어집니다. 호스트, 포트 및 방향은 제어 채널을 통해 협상됩니다.
비패시브 모드 FTP의 경우, Junos OS 스테이트풀 방화벽 서비스는 클라이언트-서버 애플리케이션 데이터에서 PORT 명령을 스캔하며, 이 명령은 서버가 연결할 IP 주소와 포트 번호를 제공합니다. 패시브 모드 FTP의 경우, Junos OS 스테이트풀 방화벽 서비스는 PASV 명령에 대한 클라이언트-서버 애플리케이션 데이터를 스캔한 다음 클라이언트가 연결하는 IP 주소 및 포트 번호가 포함된 227 응답에 대해 서버 간 응답을 스캔합니다.
FTP는 이러한 주소와 포트 번호를 ASCII로 나타냅니다. 따라서 주소와 포트를 다시 쓸 때 TCP 시퀀스 번호가 변경될 수 있으며, 그 후에 NAT 서비스는 모든 후속 패킷에서 시퀀스 NAT를 수행하여 이 델타를 SEQ 및 ACK 번호로 유지해야 합니다.
스테이트풀 방화벽 및 NAT 서비스를 지원하려면 TCP 포트 21에서 FTP ALG를 구성하여 FTP 제어 프로토콜을 활성화해야 합니다. ALG는 다음과 같은 작업을 수행합니다.
-
동적 데이터 연결을 위한 데이터 포트 및 방화벽 권한을 자동으로 할당합니다.
-
동적으로 협상된 데이터 연결에 대한 흐름을 만듭니다
-
능동 및 수동 모드 모두에서 제어 연결을 모니터링합니다.
-
적절한 NAT 주소 및 포트 정보를 사용하여 제어 패킷을 재작성합니다
ACX500에서 FTP ALG(Application Layer Gateway)가 활성화되지 않은 상태에서(계층 수준에서 문을 지정하지 application junos-ftp
않음) 패시브 FTP가 제대로 작동하려면, 계층 수준에서 문을 [edit services nat rule rule-name term term-name from]
[edit services nat rule rule-name term term-name then translated]
포함하여 address-pooling
활성화된 주소 풀링(APP) 기능을 활성화해야 합니다. 이러한 구성으로 인해 데이터 및 제어 FTP 세션이 동일한 NAT 주소를 수신합니다.
다음은 FTP ALG를 구성하는 예입니다.
-
NAT 인터페이스 생성.
[edit] services { service-set set-ftp { nat-rules nat-ftp; interface-service { service-interface ms-0/2/0; } }
-
NAT 풀 구성.
[edit] services { nat { pool p-napt { address 10.30.30.0/24; port { range low 9000 high 9010; } } }
-
FTP ALG에 대한 네트워크 주소 변환(NAT) 규칙 정의.
[edit] services { nat { rule nat-ftp { match-direction input; term term1 { from { source-address { 10.10.10.0/24; } applications junos-ftp; } then { translated { source-pool p-napt; translation-type { napt-44; } } } } } }
-
인터페이스에 서비스 세트를 바인딩합니다.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-ftp; } output { service-set set-ftp; } } address 10.10.10.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.10.10.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
Icmp
ICMP(Internet Control Message Protocol)는 RFC 792에 정의되어 있습니다. Junos OS를 사용하면 ICMP 메시지를 특정 유형 또는 특정 유형 코드 값으로 필터링할 수 있습니다. 특별히 구성된 유형 및 코드가 없는 ICMP 오류 패킷은 반대 방향의 기존 흐름과 일치하여 오류 패킷의 적법성을 확인합니다. 필터 일치를 통과하는 ICMP 오류 패킷은 NAT 변환의 대상이 됩니다.
ICMP ALG는 항상 ICMP 시퀀스 번호를 사용하여 핑 트래픽을 스테이트풀로 추적합니다. 각 에코 응답은 해당 시퀀스 번호의 에코 요청이 있는 경우에만 전달됩니다. 모든 ping 흐름의 경우 에코 응답을 수신하지 않고 20개의 에코 요청만 전달할 수 있습니다. 동적 네트워크 주소 변환(NAT)을 구성하면 PING 패킷 식별자가 변환되어 네트워크 주소 변환(NAT) 풀의 추가 호스트가 동일한 식별자를 사용할 수 있습니다.
네트워크 주소 변환(NAT) 서비스를 지원하려면 프로토콜이 필요한 경우 ICMP ALG를 구성해야 합니다. 추가 필터링을 위해 ICMP 유형 및 코드를 구성할 수 있습니다.
Tftp
TFTP(Trivial File Transfer Protocol)는 RFC 1350에 지정되어 있습니다. 초기 TFTP 요청은 UDP 대상 포트 69로 전송됩니다. 개별 파일을 가져오거나 넣 기 위해 추가 흐름을 만들 수 있습니다. NAT 서비스를 지원하려면 UDP 대상 포트 69에 대한 TFTP ALG를 구성해야 합니다.
다음은 TFTP ALG를 구성하는 예입니다.
-
NAT 인터페이스 생성.
[edit] services { service-set set-tftp { nat-rules nat-tftp; interface-service { service-interface ms-0/2/0; } }
-
NAT 풀 구성.
[edit] services { nat { pool p-napt { address 10.1.1.1/32; } } }
-
TFTP ALG에 대한 네트워크 주소 변환(NAT) 규칙 정의.
[edit] services { nat { rule nat-tftp { match-direction input; term term1 { from { source-address { 10.50.50.2/32; } applications junos-tftp; } then { translated { source-pool p-napt; translation-type { dynamic-nat44; } } } } } }
-
인터페이스에 서비스 세트를 바인딩합니다.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-tftp; } output { service-set set-tftp; } } address 10.50.50.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.60.60.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
UNIX 원격 셸 서비스
UNIX 원격 셸 서비스의 기반이 되는 세 가지 프로토콜은 다음과 같습니다.
-
Exec - 원격 명령 실행. 클라이언트 시스템의 사용자가 원격 시스템에서 명령을 실행할 수 있도록 합니다. 클라이언트(
rcmd
)에서 서버(rshd
)로의 첫 번째 명령은 잘 알려진 TCP 포트 512를 사용합니다. 의 요청에rcmd
따라 두 번째 TCP 연결을 열 수 있습니다. 두 번째 연결을 위한 클라이언트 포트 번호는 ASCII 문자열로 서버에 전송됩니다. -
로그인 - 더 잘 알려져 있으며
rlogin
잘 알려진 TCP 포트 513을 사용합니다. 자세한 내용은 RFC 1282를 참조하십시오. 특별한 방화벽 처리가 필요하지 않습니다. -
쉘 - 원격 명령 실행; 클라이언트 시스템의 사용자가 원격 시스템에서 명령을 실행할 수 있도록 합니다. 클라이언트(
rcmd
)에서 서버(rshd
)로의 첫 번째 명령은 잘 알려진 TCP 포트 514를 사용합니다. 의 요청에rcmd
따라 두 번째 TCP 연결을 열 수 있습니다. 두 번째 연결을 위한 클라이언트 포트 번호는 ASCII 문자열로 서버에 전송됩니다.
NAT 원격 셸 서비스를 사용하려면 할당된 모든 동적 소스 포트가 포트 범위 512에서 1023 사이에 있어야 합니다. NAT 풀을 구성하는 경우 이 포트 범위는 원격 셸 애플리케이션 전용으로 예약됩니다.
다음은 RSH ALG를 구성하는 예입니다.
-
NAT 인터페이스 생성.
[edit] services { service-set set-rsh { nat-rules nat-rsh; interface-service { service-interface ms-0/2/0; } }
-
NAT 풀 구성.
[edit] services { nat { pool p-napt { address 10.1.1.1/32; } } }
-
RSH ALG에 대한 네트워크 주소 변환(NAT) 규칙 정의.
[edit] services { nat { rule nat-rsh { match-direction input; term term1 { from { source-address { 510.0.50.2/32; } applications junos-rsh; } then { translated { source-pool p-napt; translation-type { dynamic-nat44; } } } } } }
-
인터페이스에 서비스 세트를 바인딩합니다.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-rsh; } output { service-set set-rsh; } } address 10.50.50.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.60.60.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
또한보십시오
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
deterministic-napt64
MS-MPC 및 MS-MIC에 대해 지원됨
stateful-nat464
twice-dynamic-nat-44
MS-MPC 및 MS-MIC에 대해 지원됨
twice-basic-nat-44
인라인 NAT에 대해 지원됨
twice-dynamic-nat-44
MS-MPC 및 MS-MIC에 대해 지원됨
twice-dynamic-napt-44
MS-MPC 및 MS-MIC에 대해 지원됨
deterministic-napt44
MS-MPC 및 MS-MIC에 대해 지원됨