네트워크 주소 포트 변환
NAPT(Network Address Port Translation)를 위한 주소 풀 구성 개요
NAPT(네트워크 주소 포트 변환)를 사용하면 각각 최대 65,536개의 주소로 최대 32개의 주소 범위를 구성할 수 있습니다.
명령문은 port 변환된 주소에 대한 포트 할당을 지정합니다. 포트의 자동 할당을 구성하려면 계층 수준에서 [edit services nat pool nat-pool-name] 문을 포함 port automatic 합니다. 기본적으로 포트의 순차적 할당이 발생합니다.
Junos OS 릴리스 14.2부터 지정된 범위에서 포트의 순차적 할당을 위해 계층 수준에서 [edit services nat pool nat-pool-name] 문과 함께 port automatic 옵션을 포함 sequential 할 수 있습니다. 특정 범위의 포트 번호를 구성하려면 계층 수준에서 [edit services nat pool nat-pool-name] 문을 포함 port range low minimum-value high maximum-value 합니다.
napt-44 풀에 사용 가능한 총 포트의 99%가 되면 해당 NAT 풀에서 새 흐름이 허용되지 않습니다.
Junos OS 릴리스 14.2부터는 이 auto 옵션이 숨겨져 더 이상 사용되지 않으며, 이전 버전과의 호환성을 위해서만 유지됩니다. 향후 소프트웨어 릴리스에서 완전히 제거될 수 있습니다.
Junos OS는 포트 할당을 위한 몇 가지 대안을 제공합니다.
- NAPT를 위한 라운드 로빈 할당
- NAPT에 대한 순차 할당
- NAPT에 대한 패리티 보존 및 범위 보존
- NAPT를 위한 주소 풀링 및 엔드포인트 독립 매핑
- NAPT를 위한 보안 포트 블록 할당
- NAPT 구현 방법 비교
NAPT를 위한 라운드 로빈 할당
네트워크 주소 변환(NAT) 풀에 대한 라운드 로빈 할당을 구성하려면 계층 수준에서 [edit services nat pool pool-name] address-allocation 라운드 로빈 구성 문을 포함합니다. 라운드 로빈 할당을 사용할 때, 다음 범위의 각 주소에 대해 프로세스를 반복하기 전에 범위의 각 주소에서 하나의 포트가 할당됩니다. 마지막 범위의 모든 주소에 대해 포트가 할당된 후 할당 프로세스는 첫 번째 범위의 주소에 대해 사용하지 않는 다음 포트를 랩어링하고 할당합니다.
첫 번째 연결은 주소:포트 100.0.0.1:3333에 할당됩니다.
두 번째 연결은 주소:포트 100.0.0.2:3333에 할당됩니다.
세 번째 연결은 주소:포트 100.0.0.3:3333에 할당됩니다.
네 번째 연결은 주소:포트 100.0.0.4:3333에 할당됩니다.
다섯 번째 연결은 주소:포트 100.0.0.5:3333에 할당됩니다.
여섯 번째 연결은 주소:포트 100.0.0.6:3333에 할당됩니다.
일곱 번째 연결은 주소:포트 100.0.0.7:3333에 할당됩니다.
여덟 번째 연결은 주소:포트 100.0.0.8:3333에 할당됩니다.
아홉 번째 연결은 address:port 100.0.0.9:3333에 할당됩니다.
열 번째 연결은 주소:포트 100.0.0.10:3333에 할당됩니다.
일한 번째 연결은 주소:포트 100.0.0.11:3333에 할당됩니다.
열두 번째 연결은 주소:포트 100.0.0.12:3333에 할당됩니다.
랩어라운드가 발생하고 13번째 연결이 address:port 100.0.0.1:3334에 할당됩니다.
NAPT에 대한 순차 할당
순차적 할당을 사용하면 주소에서 사용할 수 있는 모든 포트가 소진된 경우에만 NAT 풀에서 사용 가능한 다음 주소가 선택됩니다.
순차 할당은 MS-DPC 및 MS-100, MS-400 및 MS-500 멀티서비스 PIC에 대해서만 구성할 수 있습니다. MS-MPC 및 MS-MIC 카드는 라운드 로빈 할당 접근 방식만 사용합니다.
이 레거시 구현은 이전 버전과의 호환성을 제공하며 더 이상 권장되는 접근 방식이 아닙니다.
다음 구성 예에서 napt 라고 하는 네트워크 주소 변환(NAT) 풀은 순차적 구현을 사용합니다.
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
이 예에서 포트는 첫 번째 주소 범위의 첫 번째 주소부터 시작하여 할당되며, 할당은 사용 가능한 모든 포트가 사용될 때까지 이 주소에서 계속됩니다. 사용 가능한 모든 포트가 사용되면 다음 주소(동일한 주소 범위 또는 다음 주소 범위)가 할당되고 필요에 따라 모든 포트가 선택됩니다. 예제 napt 풀의 경우, 튜플 주소 포트 100.0.0.4:3333은 첫 번째 범위의 모든 주소에 대한 모든 포트가 사용된 경우에만 할당됩니다.
첫 번째 연결은 주소:포트 100.0.0.1:3333에 할당됩니다.
두 번째 연결은 주소:포트 100.0.0.1:3334에 할당됩니다.
세 번째 연결은 주소:포트 100.0.0.2:3333에 할당됩니다.
네 번째 연결은 주소에 할당됩니다:포트 100.0.0.2:3334 등입니다.
NAPT에 대한 패리티 보존 및 범위 보존
패리티 유지 및 범위 보존 옵션은 NAPT에 사용할 수 있으며 MS-DPC 및 MS-100, MS-400 및 MS-500 멀티서비스 PIC에서 지원됩니다. MS-MPC 및 MS-MIC에 대한 지원은 Junos OS 릴리스 15.1R1에서 시작됩니다. NAPT에서 사용할 수 있는 옵션은 다음과 같습니다.
패리티 보존 - 명령어를
preserve-parity사용하여 짝수 소스 포트가 있는 패킷에 짝수 포트를 할당하고 홀수 소스 포트가 있는 패킷에 홀수 포트를 할당합니다.범위 보존 - 원본 패킷이 예약된 범위의 소스 포트를 포함하고 있다고 가정하고 0에서 1023 사이의 범위 내에 포트를 할당하기 위해 명령을 사용합니다
preserve-range. 이는 데이터 세션이 아닌 제어 세션에 적용됩니다.
NAPT를 위한 주소 풀링 및 엔드포인트 독립 매핑
주소 풀링
주소 풀링 또는 APP(Address Pooling Paired)는 동일한 내부 호스트에서 발생하는 모든 세션에 대해 동일한 외부 IP 주소를 할당하도록 보장합니다. 풀에서 외부 IP 주소를 할당할 때 이 기능을 사용할 수 있습니다. 이 옵션은 포트 활용도에 영향을 주지 않습니다
주소 풀링은 애플리케이션이 여러 연결을 여는 문제를 해결합니다. 예를 들어, SIP(Session Initiation Protocol) 클라이언트가 RTP(Real-Time Transport Protocol) 및 RTCP(Real-Time Control Protocol) 패킷을 전송할 때 SIP 일반 서버는 NAT의 대상이 되더라도 동일한 IP 주소에서 전송되도록 요구합니다. RTP 및 RTCP IP 주소가 다른 경우, 수신 엔드포인트가 패킷을 삭제할 수 있습니다. 포트를 협상하는 모든 P2P(포인트 투 포인트) 프로토콜(주소 안정성 가정)은 주소 풀링의 이점을 누릴 수 있습니다.
다음은 주소 풀링의 사용 사례입니다.
인스턴트 메시징 서비스를 제공하는 사이트에서는 채팅 및 해당 제어 세션이 동일한 공용 원본 주소에서 제공되어야 합니다. 사용자가 채팅에 로그온하면 제어 세션에서 사용자를 인증합니다. 사용자가 채팅 세션을 시작하면 다른 세션이 시작됩니다. 채팅 세션이 인증 세션과 다른 원본 주소에서 시작된 경우 인스턴트 메시징 서버는 채팅 세션이 승인되지 않은 주소에서 시작되었기 때문에 채팅 세션을 거부합니다.
온라인 뱅킹 사이트와 같은 특정 웹 사이트에서는 해당 호스트의 모든 연결이 동일한 IP 주소에서 이루어지도록 요구합니다.
Junos OS 릴리스 14.1부터 해당 서비스 세트에 대한 APP(주소 풀링 페어링)가 포함된 서비스 세트를 비활성화하면 PIC 콘솔에 메시지가 표시되고 해당 서비스 세트에 대한 매핑이 지워집니다. 이러한 메시지는 서비스 세트 삭제가 시작될 때 트리거되고 서비스 세트 삭제가 완료되면 다시 생성됩니다. 삭제가 시작되고 종료될 때 다음 샘플 메시지가 표시됩니다.
Nov 15 08:33:13.974 LOG: Critical] SVC-SET ss1(iid 5) 비활성화/삭제: NAT 매핑 및 흐름 삭제가 시작되었습니다.
Nov 15 08:33:14.674 LOG: Critical] SVC-SET ss1(iid 5) 비활성화/삭제: NAT 매핑 및 흐름 삭제 완료
서비스 세트에 많은 수의 APP를 포함하는 확장된 환경에서는 대량의 메시지가 생성되고 이 프로세스에 약간의 시간이 걸립니다. 서비스 세트 삭제 완료를 알리는 콘솔 메시지가 완료될 때까지 기다렸다가 서비스 세트를 다시 활성화하는 것이 좋습니다.
엔드포인트 독립 매핑 및 엔드포인트 독립 필터링
EIM(Endpoint Independent Mapping)은 동일한 내부 포트를 사용하는 경우 지정된 호스트의 모든 연결에 대해 동일한 외부 주소 및 포트를 할당하도록 보장합니다. 즉, 다른 소스 포트에서 오는 경우 다른 외부 주소를 자유롭게 할당할 수 있습니다.
EIM과 APP는 다음과 같이 다릅니다.
APP는 동일한 외부 IP 주소를 할당합니다.
EIM은 외부 호스트가 연결할 수 있는 안정적인 외부 IP 주소 및 포트(일정 기간 동안)를 제공합니다. 엔드포인트 독립 필터링(EIF)은 내부 호스트에 연결할 수 있는 외부 호스트를 제어합니다.
Junos OS 릴리스 14.1부터 해당 서비스 세트에 대한 엔드포인트 독립 매핑(EIM) 매핑이 포함된 서비스 세트를 비활성화하면 PIC 콘솔에 메시지가 표시되고 해당 서비스 세트에 대한 매핑이 지워집니다. 이러한 메시지는 서비스 세트 삭제가 시작될 때 트리거되고 서비스 세트 삭제가 완료되면 다시 생성됩니다. 삭제가 시작되고 종료될 때 다음 샘플 메시지가 표시됩니다.
Nov 15 08:33:13.974 LOG: Critical] SVC-SET ss1(iid 5) 비활성화/삭제: NAT 매핑 및 흐름 삭제가 시작되었습니다.
Nov 15 08:33:14.674 LOG: Critical] SVC-SET ss1(iid 5) 비활성화/삭제: NAT 매핑 및 흐름 삭제 완료
서비스 세트에 많은 수의 EIM 맵핑을 포함하는 스케일링된 환경에서는 대량의 메시지가 생성되고 이 프로세스에 약간의 시간이 걸립니다. 서비스 세트 삭제 완료를 알리는 콘솔 메시지가 완료될 때까지 기다렸다가 서비스 세트를 다시 활성화하는 것이 좋습니다.
NAPT를 위한 보안 포트 블록 할당
포트 블록 할당은 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 포트 블록 할당은 Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.
통신사는 IP 주소(RADIUS 또는 DHCP) 로그를 사용하여 가입자를 추적합니다. NAPT를 사용하는 경우 IP 주소는 여러 가입자가 공유하며, 통신사는 NAT 로그의 일부인 IP 주소와 포트를 추적해야 합니다. 포트가 매우 빠른 속도로 사용되고 재사용되기 때문에 로그를 사용하여 가입자를 추적하기가 어려워집니다. 이는 보관 및 상관 관계 파악이 어렵기 어렵습니다. 블록 단위로 포트 할당을 활성화함으로써 포트 블록 할당은 로그 수를 크게 줄여 가입자를 더 쉽게 추적할 수 있습니다.
NAPT를 위한 보안 포트 블록 할당
보안 포트 블록 할당은 변환 유형 napt-44 및 stateful-nat64에 사용할 수 있습니다.
포트 블록을 할당할 때 가장 최근에 할당된 블록은 현재 활성 블록입니다. 네트워크 주소 변환(NAT) 포트에 대한 새로운 요청은 활성 블록에서 처리됩니다. 포트는 현재 활성 블록에서 무작위로 할당됩니다.
보안 포트 블록 할당을 구성할 때 다음을 지정할 수 있습니다.
block-sizemax-blocks-per-addressactive-block-timeout
포트 블록 할당을 위한 중간 로깅
포트 블록 할당을 사용하면 가입자에게 할당된 포트 집합당 하나의 syslog 로그를 생성합니다. 이러한 로그는 UDP 기반이며 특히 장기 실행 흐름의 경우 네트워크에서 손실될 수 있습니다. 중간 로깅은 블록의 포트 중 하나 이상에 트래픽이 있는 활성 블록에 대해 구성된 간격으로 위의 로그를 다시 전송하는 트리거입니다.
sp- 인터페이스에 대한 문을 포함하여 pba-interim-logging-interval services-options 중간 로깅이 활성화됩니다.
또한보십시오
NAPT 구현 방법 비교
표 1 은 사용 가능한 NAPT 구현 방법의 기능 비교를 제공합니다.
특징/기능 |
동적 포트 할당 |
안전한 포트 블록 할당 |
명확한 포트 블록 할당 |
|---|---|---|---|
IP당 사용자 수 |
높음 |
보통 |
낮음 |
보안 위험 |
낮음 |
보통 |
보통 |
로그 사용률 |
높음 |
낮음 |
없음(로그 필요 없음) |
보안 위험 감소 |
무작위 할당 |
active-block-timeout 기능 |
해당 없음 |
IP당 사용자 증가 |
해당 없음 |
사용자/공용 IP를 최대화하기 위해 작은 포트 블록의 배수를 구성 |
알고리즘 기반 포트 할당 |
IPv4 네트워크에서 NAPT 구성
NAPT(네트워크 주소 포트 변환)는 많은 네트워크 주소와 해당 TCP/UDP 포트를 단일 네트워크 주소와 해당 TCP/UDP 포트로 변환하는 방법입니다. 이 변환은 IPv4 및 IPv6 네트워크 모두에서 구성할 수 있습니다. 이 섹션에서는 IPv4 네트워크에서 NAPT를 구성하는 단계를 설명합니다.
NAPT를 구성하려면 소스 IPv4 주소를 동적으로 변환하기 위한 규칙을 계층 수준에서 [edit services nat] 구성해야 합니다.
IPv4 네트워크에서 NAPT를 구성하려면:
다음 예제에서는 변환 유형을 napt-44로 구성합니다.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
NAT로 폴백을 사용하여 작은 풀로 동적 주소 변환
다음 구성은 큰 접두사에서 작은 풀로의 동적 주소 변환을 보여주며, /24 서브넷을 10개 주소 풀로 변환하는 것입니다. 소스 풀(src-pool)의 주소가 소진되면 NAPT 오버로드 풀(pat-pool)에서 NAT를 제공합니다.
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
소형 풀을 통한 동적 주소 변환
다음 구성은 큰 접두사에서 작은 풀로의 동적 주소 변환을 보여주며, /24 서브넷을 10개 주소 풀로 변환하는 것입니다. 처음 10개의 호스트 세션의 세션에는 선착순으로 풀의 주소가 할당되며 추가 요청은 거부됩니다. 네트워크 주소 변환(NAT)이 할당된 각 호스트는 여러 세션에 참여할 수 있습니다.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
IPv6 네트워크에서 NAPT 구성
NAPT(네트워크 주소 포트 변환)는 많은 네트워크 주소와 해당 TCP/UDP 포트를 단일 네트워크 주소와 해당 TCP/UDP 포트로 변환하는 방법입니다. 이 변환은 IPv4 및 IPv6 네트워크 모두에서 구성할 수 있습니다. 이 섹션에서는 IPv6 네트워크에서 NAPT를 구성하는 단계를 설명합니다. MS-MPC 또는 MS-MIC를 사용하는 경우 IPv6 네트워크에서 NAPT를 구성할 수 없습니다. IPv4 네트워크에서 NAPT를 구성하는 방법에 대한 자세한 내용은 IPv4 네트워크에서 NAPT 구성을 참조하십시오.
NAPT를 구성하려면 소스 IPv6 주소를 동적으로 변환하기 위한 규칙을 계층 수준에서 [edit services nat] 구성해야 합니다.
IPv6 네트워크에서 NAPT를 구성하려면:
다음 예에서는 IPv6 네트워크에 대한 동적 소스(주소 및 포트) 변환 또는 NAPT를 구성합니다.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
예: 포트 변환을 통한 네트워크 주소 변환(NAT) 구성
이 예는 포트 변환을 사용하여 네트워크 주소 변환(NAT)을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
서비스 DPC가 있는 MX 시리즈 5G 유니버설 라우팅 플랫폼 또는 서비스 PIC가 있는 M Series 멀티서비스 에지 라우터
DNS(도메인 이름 서버)
Junos OS 릴리스 11.4 이상
개요
이 예는 전체 CGN NAT44 구성 및 고급 옵션을 보여줍니다.
포트 변환을 통한 네트워크 주소 변환(NAT) 구성
절차
단계별 절차
서비스 집합을 구성하려면 다음을 수행합니다.
-
서비스 집합을 구성합니다.
user@host# edit services service-set ss2 -
구성 모드에서 계층 수준으로
[edit services nat]이동합니다.[edit] user@host# edit services nat
-
동적 변환에 사용해야 하는 소스 주소 풀을 정의합니다. NAPT의 경우 소스 풀을 구성할 때 포트 번호도 지정합니다.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
예를 들어:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
사용할 네트워크 주소 변환(NAT) 규칙을 지정합니다.
[edit services service-set ss2]host# set nat-rules r1 - 소스 주소를 변환하기 위한 NAT 규칙을 정의합니다. 이렇게 하려면 규칙 문을 로 설정합니다
match-direction.input또한 이전 단계에서 정의한 풀의 주소를 변환하기 위한 변환 유형으로 사용하는napt-44용어를 정의합니다.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
예를 들어:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
인터페이스 서비스를 지정합니다.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
결과
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
예: 인터페이스 서비스 세트가 있는 MS-MPC의 NAPT 구성
이 예는 MS-MPC(MultiServices Modular Port Concentrator)를 서비스 인터페이스 카드로 사용하여 MX 시리즈 라우터에서 포트 변환(NAPT)을 통한 네트워크 주소 변환을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MX 시리즈 라우터
MS-MPC(MultiServices Modular Port Concentrator)
Junos OS 릴리스 13.2R1 이상
개요
한 서비스 프로바이더가 신규 가입자를 수용하기 위해 네트워크 주소 변환(NAT) 서비스를 제공하는 플랫폼으로 MS-MPC를 선택했습니다.
구성
MS-MPC를 서비스 인터페이스 카드로 사용하여 NAPT44를 구성하려면 다음 작업을 수행합니다.
- CLI 빠른 구성
- 인터페이스 구성
- 허용되는 애플리케이션 트래픽의 애플리케이션 세트 구성
- 스테이트풀 방화벽 규칙 구성
- 네트워크 주소 변환(NAT) 풀 및 규칙 구성
- 서비스 집합 구성
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣고 줄 바꿈을 제거한 다음 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여넣습니다.
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
인터페이스 구성
단계별 절차
네트워크 주소 변환(NAT) 처리에 필요한 인터페이스를 구성합니다. 다음 인터페이스가 필요합니다.
고객과 주고받는 트래픽을 처리하는 고객 대면 인터페이스입니다.
인터넷 연결 인터페이스.
고객 대면 인터페이스에 NAT 및 스테이트풀 방화벽 서비스를 제공하는 서비스 인터페이스
고객 대면 인터페이스에 대한 인터페이스를 구성합니다.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
인터넷 연결 인터페이스에 대한 인터페이스를 구성합니다.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
서비스를 고객 대면 인터페이스에 연결할 서비스 세트의 인터페이스를 구성합니다. 이 예에서 인터페이스는 MS-MPC에 있습니다.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
허용되는 애플리케이션 트래픽의 애플리케이션 세트 구성
단계별 절차
들어오는 트래픽에 대해 허용되는 애플리케이션을 식별합니다.
허용 가능한 수신 애플리케이션 트래픽을 포함하는 애플리케이션 세트를 지정합니다.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
결과
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
스테이트풀 방화벽 규칙 구성
단계별 절차
들어오는 모든 트래픽을 허용하는 상태 저장 방화벽 규칙을 구성합니다.
모든 입력 및 출력에 대해 방화벽 일치를 지정합니다
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
고객 대면 인터페이스에서 소스 주소 및 허용 가능한 애플리케이션 트래픽을 식별합니다.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
결과
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
네트워크 주소 변환(NAT) 풀 및 규칙 구성
단계별 절차
자동 포트 할당을 사용하여 주소 변환을 위한 NAT 풀 및 규칙을 구성합니다.
자동 포트 할당으로 네트워크 주소 변환(NAT) 풀을 구성합니다.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
정의된 네트워크 주소 변환(NAT) 풀을 사용하여 변환 유형을
napt-44적용하는 네트워크 주소 변환(NAT) 규칙을 구성합니다.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
결과
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
서비스 집합 구성
단계별 절차
인터페이스 유형 서비스 세트를 구성합니다.
고객 트래픽에 적용되는 네트워크 주소 변환(NAT) 및 스테이트풀 방화벽 규칙을 지정합니다.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
고객 트래픽에 규칙을 적용하는 서비스 인터페이스를 지정합니다.
set services service-set sset1 interface-service service-interface ms-3/0/0
결과
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
[edit services nat pool nat-pool-name] 문과 함께
port automatic 옵션을 포함
sequential 할 수 있습니다.
auto 옵션이 숨겨져 더 이상 사용되지 않으며, 이전 버전과의 호환성을 위해서만 유지됩니다.
sequential 포트의 순차적 할당을 구성할 수 있는 옵션이 도입되었습니다.