차세대 서비스를 위한 네트워크 주소 포트 변환 구성
NAPT에 대한 소스 풀 구성
NAPT에 대한 소스 풀을 구성하려면 다음을 수행합니다.
- 소스 풀을 생성합니다.
user@host# edit services nat source pool nat-pool-name
- 소스 주소가 변환되는 주소 또는 서브넷을 정의합니다.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
또는
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- 풀에 대한 자동 포트 할당을 구성하려면 임의의 할당 또는 라운드 로빈 할당을 지정합니다. 라운드 로빈 할당은 기본값입니다.
[edit services nat source pool nat-pool-name port] user@host# set automatic (random-allocation | round-robin)
임의의 할당은 각 포트 변환에 대해 1024~65535 범위의 포트를 무작위로 할당합니다. 라운드 로빈 할당은 먼저 포트 1024를 할당하고 연속된 각 포트 할당에 대해 다음 상위 포트를 사용합니다.
- 설정을 지정하지 않는 모든 NAT 풀에 대해 라운드 로빈 포트 할당을
automatic (random-allocation | round-robin)비활성화하려면 전역 설정을 구성합니다.[edit services nat source] user@host# set port-round-robin disable
- 풀에 할당할 포트 범위를 구성하려면 다음을 수행합니다.
참고:
할당
automatic할 포트 범위를 지정하면 문이 무시됩니다.- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않으면, 포트의 범위를 구성해야 합니다.
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- 임의의 할당 또는 라운드 로빈 할당을 지정합니다. 라운드 로빈 할당은 기본값입니다.
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않으면, 포트의 범위를 구성해야 합니다.
- 수신 포트와 동일한 범위의 포트(0~1023 또는 1024~65,535)를 할당합니다. 포트 블록 할당을 구성하는 경우 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 수신 소스 포트와 동일한 패리티(짝수 또는 홀수)를 가진 포트를 할당합니다. 포트 블록 할당을 구성하는 경우 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- 포트 변환을 사용하는 NAT 풀에 대한 전역 기본 포트 범위를 구성합니다. 이 포트 범위는 NAT 풀이 포트 범위를 지정하지 않고 자동 포트 할당을 지정하지 않을 때 사용됩니다. 글로벌 포트 범위는 1024~65,535입니다.
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- 각 가입자가 NAPT에 사용할 포트 블록을 할당하려면 포트 블록 할당을 구성합니다.
- 블록의 포트 수를 구성합니다. 범위는 1~64,512이며, 기본값은 128입니다.
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- 블록이 활성화된 간격을 초 단위로 구성합니다. 시간 제한 이후에는 활성 블록에서 포트를 사용할 수 있더라도 새 블록이 할당됩니다. 시간 초과를 0으로 설정하면 새 포트 블록이 할당되기 전에 포트 블록이 완전히 채워지고 마지막 포트 블록이 무기한 활성화됩니다. 범위는 0~86,400이며, 기본값은 0입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- NAT 풀을 사용하는 주소 풀링 쌍 매핑의 시간 제한 기간을 지정합니다. 범위는 120~86,400초이며, 기본값은 300입니다. 이 시간에 대해 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립 변환에 대해 구성
ei-mapping-timeout하지 않으면 이mapping-timeout값이 엔드포인트 독립 변환에 사용됩니다. - 사용자 주소에 할당할 수 있는 최대 블록 수를 구성합니다. 범위는 1~512이며, 기본값은 8입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- 활성 포트 블록에 대한 중간 시스템 로그와 라이브 세션을 통한 비활성 포트 블록의 전송 빈도를 지정합니다. 이렇게 하면 UDP 기반의 시스템 로그의 안정성이 향상되고 네트워크에서 손실이 증가할 수 있습니다. 범위는 1800~86,400초이며, 기본값은 0입니다(중간 로그는 비활성화됨).
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- 블록의 포트 수를 구성합니다. 범위는 1~64,512이며, 기본값은 128입니다.
- 지정된 NAT 풀을 사용하는 엔드포인트 독립 변환의 시간 제한 기간을 지정합니다. 이 시간에 대해 비활성 상태인 매핑은 삭제됩니다. 범위는 120~86,400초입니다. 구성
ei-mapping-timeoutmapping-timeout하지 않으면 이 값은 엔드포인트 독립 변환에 사용됩니다.[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- NAT 풀을 사용하는 주소 풀링 쌍 매핑의 시간 제한 기간을 지정합니다. 범위는 120~86,400초이며, 기본값은 300입니다. 이 시간에 대해 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립 변환에 대해 구성
ei-mapping-timeout하지 않으면 이mapping-timeout값이 엔드포인트 독립 변환에 사용됩니다. - SNMP 트랩을 트리거하는 NAT 풀 활용 수준을 정의합니다. 은
raise-threshold(는) 트랩을 트리거하는 풀 사용률이며 범위는 50~100입니다. 은clear-threshold(는) 트랩을 지우는 풀 사용률이며 범위는 40~100입니다. 포트 블록 할당을 사용하는 풀의 경우, 사용량은 사용되는 포트 수를 기반으로 합니다. 포트 블록 할당을 사용하지 않는 풀의 경우, 사용량은 사용되는 주소 수를 기반으로 합니다.[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
구성
pool-utilization-alarm하지 않으면 트랩이 생성되지 않습니다. - NAT 풀의 IP 주소가 다른 서비스 집합에서 사용되는 풀의 IP 주소와 겹치도록 허용하려면 을(를) 구성
allow-overlapping-pools합니다. 그러나 포트 블록 할당을 구성하는 풀은 다른 풀과 겹쳐서는 안 됩니다.[edit services nat] user@host# set allow-overlapping-pools
NAPT에 대한 NAT 소스 규칙 구성
NAPT에 대한 NAT 소스 규칙을 구성하려면 다음을 수행합니다.
- NAT 규칙 이름을 구성합니다.
[edit services nat source] user@host# edit rule-set rule-set-name rule rule-name
- NAT 규칙 세트가 적용되는 트래픽 방향을 지정합니다.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 소스 NAT 규칙에 의해 번역된 소스 주소를 지정합니다.
하나의 주소 또는 접두사 값을 지정하려면 다음을 수행합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
주소 범위를 지정하려면 원하는 주소 범위로 주소록 전역 주소를 구성하고 네트워크 주소 변환(NAT) 규칙에 전역 주소를 할당합니다.
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
유니캐스트 주소를 지정하려면 다음을 수행합니다.
[edit services nat source rule-set rule-set-name rule rule-name rule rule-name] user@host# set match source-address any-unicast
- NAT 규칙이 적용되는 하나 이상의 애플리케이션 프로토콜을 지정합니다. 규칙에 나열된 애플리케이션 수가 3072를 초과해서는 안 됩니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 변환된 트래픽에 대한 주소를 포함하는 네트워크 주소 변환(NAT) 풀을 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 동일한 내부 호스트에서 발생하는 모든 세션에 대해 동일한 외부 IP 주소의 할당을 보장하려면 주소 풀링 쌍 기능을 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling
- 지정된 호스트의 모든 연결에 동일한 외부 주소와 포트가 할당되도록 하려면 엔드포인트 독립 매핑을 구성합니다.
- 매핑 유형을 엔드포인트 독립형으로 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- 엔드포인트 독립 매핑을 사용하여 인바운드 연결을 설정할 수 있는 호스트를 포함하는 접두사 목록을 지정합니다. (접두사 목록은 계층 수준에서 구성
[edit policy-options]됩니다.)[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- 엔드포인트 독립 매핑에서 동시에 허용되는 최대 인바운드 플로우 수를 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name filtering-type then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- 활성 엔드포인트 독립 매핑이 새로 고쳐지는 방향을 지정합니다. 기본적으로 인바운드 및 아웃바운드 활성 플로우 모두에 대해 매핑이 새로 고쳐집니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- 매핑 유형을 엔드포인트 독립형으로 구성합니다.
- 트래픽이 NAT 규칙 조건과 일치할 때 syslog 생성을 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
NAPT에 대한 서비스 세트 구성
NAPT에 대한 서비스 세트를 구성하려면 다음을 수행합니다.
- 서비스 세트를 정의합니다.
[edit services] user@host# edit service-set service-set-name
- 단일 서비스 인터페이스가 필요한 인터페이스 서비스 또는 내부 및 외부 서비스 인터페이스가 필요한 다음 홉 서비스를 구성합니다.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
또는
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- 서비스 세트와 함께 사용할 NAT 규칙 세트를 지정합니다.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name