네트워크 주소 포트 변환
NAPT(Network Address Port Translation)를 위한 주소 풀 구성 개요
NAPT(Network Address Port Translation)를 사용하면 각각 최대 65,536개의 주소로 최대 32개의 주소 범위를 구성할 수 있습니다.
명령문은 port
변환된 주소에 대한 포트 할당을 지정합니다. 포트의 자동 할당을 [edit services nat pool nat-pool-name]
구성하려면 계층 수준에서 문을 포함합니다port automatic
. 기본적으로 포트의 순차적 할당이 발생합니다.
Junos OS 릴리스 14.2부터는 지정된 범위에서 포트를 순차적으로 할당하기 위해 계층 수준에서 문 [edit services nat pool nat-pool-name]
과 함께 port automatic
옵션을 포함할 sequential
수 있습니다. 특정 범위의 포트 번호를 구성하려면 계층 수준에서 명령문을 [edit services nat pool nat-pool-name]
포함합니다port range low minimum-value high maximum-value
.
사용 가능한 총 포트의 99%가 napt-44에 대해 풀에 있는 경우 해당 NAT 풀에서 새 흐름이 허용되지 않습니다.
Junos OS 릴리스 14.2부터는 auto
옵션이 숨겨져 더 이상 사용되지 않으며, 이전 버전과의 호환성을 위해서만 유지됩니다. 향후 소프트웨어 릴리스에서 완전히 제거될 수 있습니다.
Junos OS는 포트 할당을 위한 몇 가지 대안을 제공합니다.
- NAPT에 대한 라운드 로빈 할당
- NAPT에 대한 순차적 할당
- NAPT의 패리티 유지 및 범위 유지
- NAPT에 대한 주소 풀링 및 엔드포인트 독립 매핑
- NAPT에 대한 보안 포트 블록 할당
- NAPT 구현 방법 비교
NAPT에 대한 라운드 로빈 할당
네트워크 주소 변환(NAT) 풀에 대한 라운드 로빈 할당을 [edit services nat pool pool-name]
구성하려면 계층 수준에서 address-allocation 라운드 로빈 구성 명령문을 포함합니다. 라운드 로빈 할당을 사용하는 경우 다음 범위의 각 주소에 대해 프로세스를 반복하기 전에 범위의 각 주소에서 하나의 포트가 할당됩니다. 마지막 범위의 모든 주소에 대해 포트가 할당되면 할당 프로세스가 래핑되어 첫 번째 범위의 주소에 대해 사용되지 않는 다음 포트를 할당합니다.
첫 번째 연결은 주소:포트 100.0.0.1:3333에 할당됩니다.
두 번째 연결은 주소:포트 100.0.0.2:3333에 할당됩니다.
세 번째 연결은 주소:포트 100.0.0.3:3333에 할당됩니다.
네 번째 연결은 주소:포트 100.0.0.4:3333에 할당됩니다.
다섯 번째 연결은 주소:포트 100.0.0.5:3333에 할당됩니다.
여섯 번째 연결은 주소:포트 100.0.0.6:3333에 할당됩니다.
일곱 번째 연결은 주소:포트 100.0.0.7:3333에 할당됩니다.
여덟 번째 연결은 주소:포트 100.0.0.8:3333에 할당됩니다.
아홉 번째 연결은 주소:포트 100.0.0.9:3333에 할당됩니다.
열 번째 연결은 주소:포트 100.0.0.10:3333에 할당됩니다.
11번째 연결은 주소:포트 100.0.0.11:3333에 할당됩니다.
12번째 연결은 주소:포트 100.0.0.12:3333에 할당됩니다.
랩어라운드가 발생하고 13번째 연결이 주소:포트 100.0.0.1:3334에 할당됩니다.
NAPT에 대한 순차적 할당
순차적 할당을 사용하면 주소에서 사용 가능한 모든 포트가 소진된 경우에만 NAT 풀에서 사용 가능한 다음 주소가 선택됩니다.
순차적 할당은 MS-DPC 및 MS-100, MS-400 및 MS-500 MultiServices PICS에 대해서만 구성할 수 있습니다. MS-MPC 및 MS-MIC 카드는 라운드 로빈 할당 방식만 사용합니다.
이 레거시 구현은 이전 버전과의 호환성을 제공하며 더 이상 권장되는 접근 방식이 아닙니다.
다음 구성 예에서 napt 라는 NAT 풀은 순차적 구현을 사용합니다.
pool napt { address-range low 100.0.0.1 high 100.0.0.3; address-range low 100.0.0.4 high 100.0.0.6; address-range low 100.0.0.8 high 100.0.0.10; address-range low 100.0.0.12 high 100.0.0.13; port { range low 3333 high 3334; } }
이 예에서 포트는 첫 번째 주소 범위의 첫 번째 주소부터 할당되며 사용 가능한 모든 포트가 사용될 때까지 이 주소에서 할당이 계속됩니다. 사용 가능한 모든 포트가 사용되면 다음 주소(동일한 주소 범위 또는 다음 주소 범위)가 할당되고 필요에 따라 모든 포트가 선택됩니다. 예제 napt 풀의 경우 튜플 주소인 포트 100.0.0.4:3333은 첫 번째 범위의 모든 주소에 대한 모든 포트가 사용된 경우에만 할당됩니다.
첫 번째 연결은 주소:포트 100.0.0.1:3333에 할당됩니다.
두 번째 연결은 주소:포트 100.0.0.1:3334에 할당됩니다.
세 번째 연결은 주소:포트 100.0.0.2:3333에 할당됩니다.
네 번째 연결은 주소:포트 100.0.0.2:3334 등에 할당됩니다.
NAPT의 패리티 유지 및 범위 유지
패리티 유지 및 범위 보존 옵션은 NAPT에 사용할 수 있으며 MS-DPC 및 MS-100, MS-400 및 MS-500 MultiServices PICS에서 지원됩니다. MS-MPC 및 MS-MIC에 대한 지원은 Junos OS 릴리스 15.1R1에서 시작됩니다. NAPT에 사용할 수 있는 옵션은 다음과 같습니다.
패리티 유지—짝수 소스 포트가 있는 패킷에 짝수 포트를 할당하고 홀수 소스 포트가 있는 패킷에 홀수 포트를 할당하려면 명령을 사용합니다
preserve-parity
.범위 보존 - 명령을 사용하여
preserve-range
원래 패킷에 예약된 범위의 소스 포트가 포함되어 있다고 가정하고 0에서 1023 사이의 범위 내에서 포트를 할당합니다. 이는 데이터 세션이 아닌 제어 세션에 적용됩니다.
NAPT에 대한 주소 풀링 및 엔드포인트 독립 매핑
주소 풀링
주소 풀링 또는 주소 풀링(APP)은 동일한 내부 호스트에서 시작되는 모든 세션에 대해 동일한 외부 IP 주소를 할당하도록 합니다. 풀에서 외부 IP 주소를 할당할 때 이 기능을 사용할 수 있습니다. 이 옵션은 포트 사용률에 영향을 주지 않습니다
주소 풀링은 응용 프로그램이 여러 연결을 열 때 발생하는 문제를 해결합니다. 예를 들어, SIP(Session Initiation Protocol) 클라이언트가 RTP(Real-Time Transport Protocol) 및 RTCP(Real-Time Control Protocol) 패킷을 보낼 때 SIP는 일반적으로 서버가 NAT의 대상이 되더라도 동일한 IP 주소에서 올 것을 요구합니다. RTP 및 RTCP IP 주소가 다른 경우 수신 엔드포인트에서 패킷을 삭제할 수 있습니다. 포트를 협상하는 모든 P2P(Point-to-Point) 프로토콜(주소 안정성 가정)은 쌍을 이루는 주소 풀링의 이점을 누릴 수 있습니다.
다음은 주소 풀링의 사용 사례입니다.
인스턴트 메시징 서비스를 제공하는 사이트에서는 채팅 및 해당 제어 세션이 동일한 공용 소스 주소에서 제공되어야 합니다. 사용자가 채팅에 로그인하면 제어 세션이 사용자를 인증합니다. 사용자가 채팅 세션을 시작하면 다른 세션이 시작됩니다. 채팅 세션이 인증 세션과 다른 원본 주소에서 시작된 경우 인스턴트 메시징 서버는 권한이 없는 주소에서 시작되었기 때문에 채팅 세션을 거부합니다.
온라인 뱅킹 사이트와 같은 특정 웹 사이트에서는 지정된 호스트의 모든 연결이 동일한 IP 주소에서 제공되어야 합니다.
Junos OS 릴리스 14.1부터 해당 서비스 세트에 대한 주소 풀링 페어링(APP)이 포함된 서비스 세트를 비활성화하면 PIC 콘솔에 메시지가 표시되고 해당 서비스 세트에 대한 매핑이 지워집니다. 이러한 메시지는 서비스 세트 삭제가 시작될 때 트리거되고 서비스 세트 삭제가 완료되면 다시 생성됩니다. 다음 샘플 메시지는 삭제가 시작되고 종료될 때 표시됩니다.
Nov 15 08:33:13.974 LOG: Critical] SVC-SET ss1(iid 5) 비활성화/삭제:NAT 매핑 및 흐름 삭제 시작
Nov 15 08:33:14.674 LOG: 중요] SVC-SET ss1(iid 5) 비활성화/삭제: NAT 매핑 및 흐름 삭제 완료
서비스 세트에 많은 수의 APP가 포함된 확장된 환경에서는 많은 양의 메시지가 생성되며 이 프로세스에는 약간의 시간이 걸립니다. 서비스 세트를 다시 활성화하기 전에 서비스 세트 삭제 완료를 나타내는 콘솔 메시지가 완료될 때까지 기다리는 것이 좋습니다.
엔드포인트 독립 매핑 및 엔드포인트 독립 필터링
엔드포인트 독립 매핑(EIM)은 동일한 내부 포트를 사용하는 경우 지정된 호스트의 모든 연결에 대해 동일한 외부 주소 및 포트를 할당하도록 합니다. 즉, 다른 소스 포트에서 오는 경우 다른 외부 주소를 자유롭게 할당할 수 있습니다.
EIM과 APP는 다음과 같이 다릅니다.
APP는 동일한 외부 IP 주소 할당을 보장합니다.
EIM은 외부 호스트가 연결할 수 있는 안정적인 외부 IP 주소 및 포트(일정 기간 동안)를 제공합니다. 엔드포인트 독립 필터링(EIF)은 내부 호스트에 연결할 수 있는 외부 호스트를 제어합니다.
Junos OS 릴리스 14.1부터 해당 서비스 세트에 대한 EIM(Endpoint Independent Mapping) 매핑이 포함된 서비스 세트를 비활성화하면 PIC 콘솔에 메시지가 표시되고 해당 서비스 세트에 대한 매핑이 지워집니다. 이러한 메시지는 서비스 세트 삭제가 시작될 때 트리거되고 서비스 세트 삭제가 완료되면 다시 생성됩니다. 다음 샘플 메시지는 삭제가 시작되고 종료될 때 표시됩니다.
Nov 15 08:33:13.974 LOG: Critical] SVC-SET ss1(iid 5) 비활성화/삭제:NAT 매핑 및 흐름 삭제 시작
Nov 15 08:33:14.674 LOG: 중요] SVC-SET ss1(iid 5) 비활성화/삭제: NAT 매핑 및 흐름 삭제 완료
서비스 세트에 많은 EIM 맵핑이 포함된 확장 환경에서는 많은 양의 메시지가 생성되며 이 프로세스에는 약간의 시간이 걸립니다. 서비스 세트를 다시 활성화하기 전에 서비스 세트 삭제 완료를 나타내는 콘솔 메시지가 완료될 때까지 기다리는 것이 좋습니다.
NAPT에 대한 보안 포트 블록 할당
포트 블록 할당은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. 포트 블록 할당은 Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.
이동통신사는 IP 주소(RADIUS 또는 DHCP) 로그를 사용하여 가입자를 추적합니다. NAPT를 사용하는 경우 여러 가입자가 IP 주소를 공유하므로 서비스 프로바이더는 NAT 로그의 일부인 IP 주소와 포트를 추적해야 합니다. 포트는 매우 빠른 속도로 사용되고 재사용되기 때문에 많은 수의 메시지로 인해 로그를 사용하여 구독자를 추적하기가 어려워지며, 이는 보관 및 상호 연관시키기가 어렵습니다. 포트 할당을 통해 포트 블록을 블록으로 할당하면 로그 수를 크게 줄여 가입자를 더 쉽게 추적할 수 있습니다.
NAPT에 대한 보안 포트 블록 할당
보안 포트 블록 할당은 변환 유형 napt-44
및 에 사용할 수 있습니다 stateful-nat64
.
포트 블록을 할당할 때 가장 최근에 할당된 블록이 현재 활성 블록입니다. NAT 포트에 대한 새로운 요청은 활성 블록에서 제공됩니다. 포트는 현재 활성 블록에서 무작위로 할당됩니다.
보안 포트 블록 할당을 구성할 때 다음을 지정할 수 있습니다.
block-size
max-blocks-per-address
active-block-timeout
포트 블록 할당을 위한 중간 로깅
포트 블록 할당을 통해 가입자에게 할당된 포트 세트당 하나의 syslog 로그를 생성합니다. 이러한 로그는 UDP 기반이며 특히 장기 실행 흐름의 경우 네트워크에서 손실될 수 있습니다. 중간 로깅은 블록의 포트 중 하나 이상에 트래픽이 있는 활성 블록에 대해 구성된 간격으로 위의 로그를 다시 전송하도록 트리거합니다.
중간 로깅은 sp- 인터페이스에 대해 아래의 services-options
문을 포함하여 pba-interim-logging-interval
활성화됩니다.
또한보십시오
NAPT 구현 방법 비교
표 1 은 사용 가능한 NAPT 구현 방법의 기능 비교를 제공합니다.
특징/기능 |
동적 포트 할당 |
보안 포트 블록 할당 |
결정론적 포트 블록 할당 |
---|---|---|---|
IP당 사용자 수 |
높은 |
매체 |
낮은 |
보안 위험 |
낮은 |
매체 |
매체 |
로그 사용률 |
높은 |
낮은 |
없음(로그 필요 없음) |
보안 위험 감소 |
무작위 할당 |
active-block-timeout 기능 |
N/A |
IP당 사용자 수 증가 |
N/A |
사용자/공용 IP를 최대화하기 위해 여러 개의 작은 포트 블록 구성 |
알고리즘 기반 포트 할당 |
IPv4 네트워크에서 NAPT 구성
NAPT(네트워크 주소 포트 변환)는 많은 네트워크 주소와 해당 TCP/UDP 포트를 단일 네트워크 주소와 해당 TCP/UDP 포트로 변환하는 방법입니다. 이 변환은 IPv4 및 IPv6 네트워크 모두에서 구성할 수 있습니다. 이 섹션에서는 IPv4 네트워크에서 NAPT를 구성하는 단계에 대해 설명합니다.
NAPT를 [edit services nat]
구성하려면 소스 IPv4 주소를 동적으로 변환하기 위한 규칙을 계층 수준에서 구성해야 합니다.
IPv4 네트워크에서 NAPT를 구성하려면 다음을 수행합니다.
다음 예제에서는 변환 유형을 napt-44로 구성합니다.
[edit services] user@host# show service-set s1 { nat-rules rule-napt-44; interface-service { service-interface ms-0/1/0; } } nat { pool napt-pool { address 10.10.10.0/32; port { automatic auto; } } rule rule-napt-44 { match-direction input; term t1 { then { translated { source-pool napt-pool; translation-type { napt-44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
NAT로 폴백하여 작은 풀로 동적 주소 변환
다음 구성은 /24 서브넷을 10개 주소 풀로 변환하는 큰 접두사에서 작은 풀로의 동적 주소 변환을 보여 줍니다. 소스 풀(src-pool)의 주소가 모두 사용되면 NAPT 오버로드 풀(pat-pool)에서 NAT를 제공합니다.
[edit services nat] pool src-pool { address-range low 192.16.2.1 high 192.16.2.10; } pool pat-pool { address-range low 192.16.2.11 high 192.16.2.12; port automatic auto; rule myrule { match-direction input; term myterm { from { source-address 10.150.1.0/24; } then { translated { source-pool src-pool; overload-pool pat-pool; translation-type napt-44; } } } }
작은 풀로 동적 주소 변환
다음 구성은 /24 서브넷을 10개 주소 풀로 변환하는 큰 접두사에서 작은 풀로의 동적 주소 변환을 보여 줍니다. 처음 10개 호스트 세션의 세션에는 선착순으로 풀의 주소가 할당되며 추가 요청은 거부됩니다. 할당된 NAT가 있는 각 호스트는 여러 세션에 참여할 수 있습니다.
[edit services nat] pool my-pool { address-range low 10.10.10.1 high 10.10.10.10; } rule src-nat { match-direction input; term t1 { from { source-address 192.168.1.0/24; } then { translated { translation-type dynamic-nat44; source-pool my-pool; } } } }
IPv6 네트워크에서 NAPT 구성
NAPT(네트워크 주소 포트 변환)는 많은 네트워크 주소와 해당 TCP/UDP 포트를 단일 네트워크 주소와 해당 TCP/UDP 포트로 변환하는 방법입니다. 이 변환은 IPv4 및 IPv6 네트워크 모두에서 구성할 수 있습니다. 이 섹션에서는 IPv6 네트워크에서 NAPT를 구성하는 단계에 대해 설명합니다. MS-MPC 또는 MS-MIC를 사용하는 경우 IPv6 네트워크에서 NAPT를 구성할 수 없습니다. IPv4 네트워크에서 NAPT를 구성하는 방법에 대한 자세한 내용은 IPv4 네트워크에서 NAPT 구성을 참조하십시오.
NAPT를 [edit services nat]
구성하려면 소스 IPv6 주소를 동적으로 변환하기 위한 규칙을 계층 수준에서 구성해야 합니다.
IPv6 네트워크에서 NAPT를 구성하려면 다음을 수행합니다.
다음 예에서는 IPv6 네트워크에 대해 동적 소스(주소 및 포트) 변환 또는 NAPT를 구성합니다.
[edit services] user@host# show service-set IPV6-NAPT-ServiceSet { nat-rules IPV6-NAPT-Rule; interface-service { service-interface sp-0/1/0; } } nat { pool IPV6-NAPT-Pool { address 2002::1/96; port automatic sequential; } rule IPV6-NAPT-Rule { match-direction input; term term1 { then { translated { source-pool IPV6-NAPT-Pool; translation-type { napt-66; } } } } } } adaptive-services-pics { traceoptions { flag all; } } }
예: 포트 변환으로 네트워크 주소 변환(NAT) 구성
이 예에서는 포트 변환을 사용하여 네트워크 주소 변환(NAT)을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
서비스 DPC가 있는 MX 시리즈 5G 유니버설 라우팅 플랫폼 또는 서비스 PIC가 있는 M 시리즈 멀티서비스 에지 라우터
DNS(도메인 이름 서버)
Junos OS 릴리스 11.4 이상
개요
이 예에서는 전체 CGN NAT44 구성 및 고급 옵션을 보여 줍니다.
포트 변환을 사용하여 NAT 구성
절차
단계별 절차
서비스 세트를 구성하려면 다음을 수행합니다.
-
서비스 세트를 구성합니다.
user@host# edit services service-set ss2
-
구성 모드에서 계층 수준으로 이동합니다
[edit services nat]
.[edit] user@host# edit services nat
-
동적 변환에 사용해야 하는 소스 주소 풀을 정의합니다. NAPT의 경우 소스 풀을 구성할 때 포트 번호도 지정합니다.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
예를 들어:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
사용할 NAT 규칙을 지정합니다.
[edit services service-set ss2]
host# set nat-rules r1 - 소스 주소를 변환하기 위한 NAT 규칙을 정의합니다. 이렇게 하려면 규칙의
match-direction
문을 로input
설정합니다. 또한 이전 단계에서 정의한 풀의 주소를 변환하기 위한 변환 유형으로 사용하는napt-44
용어를 정의합니다.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
예를 들어:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
인터페이스 서비스를 지정합니다.
[edit services service-set ss2]
host# set interface-service service-interface sp-5/0/0
결과
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
예: 인터페이스 서비스 세트가 있는 MS-MPC의 NAPT 구성
이 예에서는 MS-MPC(MultiServices Modular Port Concentrator)를 서비스 인터페이스 카드로 사용하여 MX 시리즈 라우터에서 NAPT(Network Address Translation with Port Translation)를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MX 시리즈 라우터
MS-MPC(MultiServices Modular Port Concentrator)
Junos OS 릴리스 13.2R1 이상
개요
한 서비스 프로바이더가 신규 가입자를 수용하기 위한 네트워크 주소 변환(NAT) 서비스를 제공하기 위한 플랫폼으로 MS-MPC를 선택했습니다.
구성
MS-MPC를 서비스 인터페이스 카드로 사용하여 NAPT44를 구성하려면 다음 작업을 수행하십시오.
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 [edit] 계층 수준에서 CLI에 붙여넣습니다.
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
인터페이스 구성
단계별 절차
NAT 처리에 필요한 인터페이스를 구성합니다. 다음과 같은 인터페이스가 필요합니다.
고객과 주고받는 트래픽을 처리하는 고객 대면 인터페이스입니다.
인터넷 연결 인터페이스.
고객 대면 인터페이스에 NAT 및 스테이트풀 방화벽 서비스를 제공하는 서비스 인터페이스
고객 대면 인터페이스를 위한 인터페이스를 구성합니다.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
인터넷 연결 인터페이스에 대한 인터페이스를 구성합니다.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
서비스를 고객 대면 인터페이스에 연결할 서비스 세트에 대한 인터페이스를 구성합니다. 이 예에서 인터페이스는 MS-MPC에 상주합니다.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
허용되는 애플리케이션 트래픽의 애플리케이션 집합 구성
단계별 절차
들어오는 트래픽에 대해 허용 가능한 애플리케이션을 식별합니다.
허용 가능한 수신 애플리케이션 트래픽을 포함하는 애플리케이션 세트를 지정합니다.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
결과
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
스테이트풀 방화벽 규칙 구성
단계별 절차
들어오는 모든 트래픽을 수락하는 상태 저장 방화벽 규칙을 구성합니다.
모든 입력 및 출력에 대한 방화벽 일치 지정
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
고객 대면 인터페이스에서 소스 주소 및 허용 가능한 애플리케이션 트래픽을 식별합니다.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
결과
user@host# edit services stateful-firewall user@host# show rule sf-rule1 { match-direction input-output; term sf-term1 { from { source-address { 10.255.247.0/24; } application-sets accept-algs; } then { accept; } } }
NAT 풀 및 규칙 구성
단계별 절차
자동 포트 할당을 통해 주소 변환을 위한 NAT 풀 및 규칙을 구성합니다.
자동 포트 할당을 사용하여 NAT 풀을 구성합니다.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
정의된 NAT 풀을 사용하여 변환 유형을
napt-44
적용하는 NAT 규칙을 구성합니다.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
결과
user@host#edit services nat user@host#show pool napt-pool { address 1.1.1.0/24; port { automatic; } } rule nat-rule1 { match-direction input; term nat-term1 { from { source-address { 10.255.247.0/24; } application-sets accept-algs; } then { translated { source-pool napt-pool; translation-type { napt-44; } } } } }
서비스 세트 구성
단계별 절차
인터페이스 유형 서비스 세트를 구성합니다.
고객 트래픽에 적용되는 NAT 및 스테이트풀 방화벽 규칙을 지정합니다.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
고객 트래픽에 규칙을 적용하는 서비스 인터페이스를 지정합니다.
set services service-set sset1 interface-service service-interface ms-3/0/0
결과
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
[edit services nat pool nat-pool-name]
과 함께
port automatic
옵션을 포함할
sequential
수 있습니다.
auto
옵션이 숨겨져 더 이상 사용되지 않으며, 이전 버전과의 호환성을 위해서만 유지됩니다.
sequential
부터 포트의 순차적 할당을 구성할 수 있도록 옵션이 도입되었습니다.