차세대 서비스를 위한 네트워크 주소 포트 변환 구성
NAPT를 위한 소스 풀 구성
NAPT에 대한 소스 풀을 구성하려면 다음을 수행합니다.
- 소스 풀을 생성합니다.
user@host# edit services nat source pool nat-pool-name
- 소스 주소가 변환되는 주소 또는 서브넷을 정의합니다.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
또는
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- 풀에 대한 자동 포트 할당을 구성하려면 임의 할당 또는 라운드 로빈 할당을 지정합니다. 라운드 로빈 할당이 기본값입니다.
[edit services nat source pool nat-pool-name port] user@host# set automatic (random-allocation | round-robin)
무작위 할당은 각 포트 변환에 대해 1024 - 65535 범위의 포트를 무작위로 할당합니다. 라운드 로빈 할당은 먼저 포트 1024를 할당하고 각 연속 포트 할당에 대해 다음으로 높은 포트를 사용합니다.
- 설정을 지정
automatic (random-allocation | round-robin)하지 않는 모든 네트워크 주소 변환(NAT) 풀에 대해 라운드 로빈 포트 할당을 사용하지 않도록 설정하려면 전역 설정을 구성합니다.[edit services nat source] user@host# set port-round-robin disable
- 풀에 할당할 포트 범위를 구성하려면 다음을 수행합니다.
메모:
할당
automatic할 포트 범위를 지정하면 문이 무시됩니다.- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않는 경우 포트 범위를 구성해야 합니다.
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- 임의 할당 또는 라운드 로빈 할당을 지정합니다. 라운드 로빈 할당이 기본값입니다.
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않는 경우 포트 범위를 구성해야 합니다.
- 수신 포트와 동일한 범위(0에서 1023 또는 1024에서 65,535) 내의 포트를 할당합니다. 포트 블록 할당을 구성하는 경우에는 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 수신 소스 포트와 동일한 패리티(짝수 또는 홀수)를 가진 포트를 할당합니다. 포트 블록 할당을 구성하는 경우에는 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- 포트 변환을 사용하는 NAT 풀에 대한 글로벌 기본 포트 범위를 구성합니다. 이 포트 범위는 NAT 풀이 포트 범위를 지정하지 않고 자동 포트 할당을 지정하지 않을 때 사용됩니다. 전역 포트 범위는 1024에서 65,535까지입니다.
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- NAPT에 사용할 각 가입자에 포트 블록을 할당하려면 포트 블록 할당을 구성합니다.
- 블록의 포트 수를 구성합니다. 범위는 1에서 64,512까지이며 기본값은 128입니다.
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- 블록이 활성화되는 간격을 초 단위로 구성합니다. 시간 초과 후에는 활성 블록에서 포트를 사용할 수 있더라도 새 블록이 할당됩니다. 시간 제한을 0으로 설정하면 새 포트 블록이 할당되기 전에 포트 블록이 완전히 채워지고 마지막 포트 블록이 무기한 활성 상태로 유지됩니다. 범위는 0에서 86,400까지이며 기본값은 0입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- 네트워크 주소 변환(NAT) 풀을 사용하는 주소 풀링 쌍을 이루는 매핑에 대한 타임아웃 기간을 지정합니다. 범위는 120초에서 86,400초까지이며 기본값은 300초입니다. 이 시간 동안 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립적 변환
mapping-timeout에 대해 을(를) 구성ei-mapping-timeout하지 않는 경우 값은 엔드포인트 독립적 번역에 사용됩니다. - 사용자 주소에 할당할 수 있는 최대 블록 수를 구성합니다. 범위는 1에서 512까지이며 기본값은 8입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- 활성 포트 블록과 라이브 세션이 있는 비활성 포트 블록에 대한 중간 시스템 로그를 보내는 빈도를 지정합니다. 이렇게 하면 UDP 기반이며 네트워크에서 손실될 수 있는 시스템 로그의 신뢰성이 향상됩니다. 범위는 1800초에서 86,400초까지이며 기본값은 0(중간 로그가 비활성화됨)입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- 블록의 포트 수를 구성합니다. 범위는 1에서 64,512까지이며 기본값은 128입니다.
- 지정된 네트워크 주소 변환(NAT) 풀을 사용하는 엔드포인트 독립적 변환에 대한 시간 제한 기간을 지정합니다. 이 시간 동안 비활성 상태인 매핑은 삭제됩니다. 범위는 120초에서 86,400초까지입니다. 을(를) 구성
ei-mapping-timeoutmapping-timeout하지 않으면 이 값은 엔드포인트 독립적 변환에 사용됩니다.[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- 네트워크 주소 변환(NAT) 풀을 사용하는 주소 풀링 쌍을 이루는 매핑에 대한 타임아웃 기간을 지정합니다. 범위는 120초에서 86,400초까지이며 기본값은 300초입니다. 이 시간 동안 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립적 변환
mapping-timeout에 대해 을(를) 구성ei-mapping-timeout하지 않는 경우 값은 엔드포인트 독립적 번역에 사용됩니다. - SNMP 트랩을 트리거하는 NAT 풀 활용 수준을 정의합니다. 은
raise-threshold(는) 트랩을 트리거하는 풀 사용률이며, 범위는 50에서 100까지입니다. 은clear-threshold(는) 트랩을 지우는 풀 활용률이며, 범위는 40에서 100까지입니다. 포트 블록 할당을 사용하는 풀의 경우 사용률은 사용되는 포트 수를 기반으로 합니다. 포트 블록 할당을 사용하지 않는 풀의 경우, 사용률은 사용되는 주소의 수를 기반으로 합니다.[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
을(를) 구성
pool-utilization-alarm하지 않으면 트랩이 생성되지 않습니다. - NAT 풀의 IP 주소가 다른 서비스 집합에서 사용되는 풀의 IP 주소와 겹치도록 허용하려면 을 구성합니다
allow-overlapping-pools. 그러나 포트 블록 할당을 구성하는 풀은 다른 풀과 겹치지 않아야 합니다.[edit services nat] user@host# set allow-overlapping-pools
NAPT에 대한 NAT 소스 규칙 구성
NAPT에 대한 NAT 소스 규칙을 구성하려면 다음을 수행합니다.
- 네트워크 주소 변환(NAT) 규칙 이름을 구성합니다.
[edit services nat source] user@host# edit rule-set rule-set-name rule rule-name
- NAT 규칙 집합이 적용되는 트래픽 방향을 지정합니다.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 소스 네트워크 주소 변환(NAT) 규칙에 의해 변환되는 소스 주소를 지정합니다.
하나의 주소 또는 접두사 값을 지정하기 위해 다음을 수행합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
주소 범위를 지정하려면 원하는 주소 범위로 주소록 전역 주소를 구성하고 NAT 규칙에 전역 주소를 할당합니다.
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
유니캐스트 주소를 지정하려면:
[edit services nat source rule-set rule-set-name rule rule-name rule rule-name] user@host# set match source-address any-unicast
- NAT 규칙이 적용되는 애플리케이션 프로토콜을 하나 이상 지정합니다. 규칙에 나열된 응용 프로그램 수는 3072개를 초과할 수 없습니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 변환된 트래픽의 주소를 포함하는 NAT 풀을 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 동일한 내부 호스트에서 발생하는 모든 세션에 대해 동일한 외부 IP 주소를 할당하려면 주소 풀링 페어링 기능을 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling
- 지정된 호스트의 모든 연결에 동일한 외부 주소와 포트가 할당되도록 하려면 엔드포인트 독립적 매핑을 구성합니다.
- 매핑 유형을 엔드포인트 독립으로 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- 끝점 독립적 매핑을 사용하여 인바운드 연결을 설정할 수 있는 호스트가 포함된 접두사 목록을 지정합니다. (접두사 목록은 계층 수준에서 구성됩니다
[edit policy-options].)[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- : 엔드포인트 독립적 매핑에서 동시에 허용되는 최대 인바운드 플로우 수를 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name filtering-type then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- 활성 끝점 독립적 매핑이 새로 고쳐지는 방향을 지정합니다. 기본적으로 매핑은 인바운드 및 아웃바운드 활성 흐름 모두에 대해 새로 고쳐집니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- 매핑 유형을 엔드포인트 독립으로 구성합니다.
- 트래픽이 NAT 규칙 조건과 일치할 때 syslog 생성을 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
NAPT를 위한 서비스 세트 구성
NAPT를 위한 서비스 세트를 구성하려면 다음을 수행합니다.
- 서비스 집합을 정의합니다.
[edit services] user@host# edit service-set service-set-name
- 단일 서비스 인터페이스가 필요한 인터페이스 서비스 또는 내부 및 외부 서비스 인터페이스가 필요한 다음 홉 서비스 중 하나를 구성합니다.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
또는
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- 서비스 집합과 함께 사용할 NAT 규칙 집합을 지정합니다.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name