차세대 서비스 스테이트풀 NAT64 구성
다음 단계를 수행하여 차세대 서비스 Stateful NAT64를 구성합니다
Stateful NAT64를 위한 소스 풀 구성
Stateful NAT64에 대한 소스 풀을 구성하려면 다음을 수행합니다.
- 소스 풀을 생성합니다.
user@host# edit services nat source pool nat-pool-name
- 소스 주소가 변환되는 주소 또는 서브넷을 정의합니다.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
또는
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
설정을 지정
automatic (random-allocation | round-robin)하지 않는 모든 네트워크 주소 변환(NAT) 풀에 대해 라운드 로빈 포트 할당을 사용하지 않도록 설정하려면 전역 설정을 구성합니다.[edit services nat source] user@host# set port-round-robin disable
- 풀에 할당할 포트 범위를 구성하려면 다음을 수행합니다.
메모:
할당
automatic할 포트 범위를 지정하면 문이 무시됩니다.- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않는 경우 포트 범위를 구성해야 합니다.
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- 임의 할당 또는 라운드 로빈 할당을 지정합니다. 라운드 로빈 할당이 기본값입니다.
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않는 경우 포트 범위를 구성해야 합니다.
- 수신 포트와 동일한 범위(0에서 1023 또는 1024에서 65,535) 내의 포트를 할당합니다. 포트 블록 할당을 구성하는 경우에는 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 수신 포트와 동일한 패리티(짝수 또는 홀수)를 가진 포트를 할당합니다. 포트 블록 할당을 구성하는 경우에는 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- 포트 변환을 사용하는 NAT 풀에 대한 글로벌 기본 포트 범위를 구성합니다. 이 포트 범위는 NAT 풀이 포트 범위를 지정하지 않고 자동 포트 할당을 지정하지 않을 때 사용됩니다. 전역 포트 범위는 1024에서 65,535까지입니다.
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- 포트 변환 없이 소스 풀을 구성합니다.
[edit services nat source pool nat-pool-name] user@host# set address-pooling no-paired
- 각 호스트에 할당할 수 있는 최대 포트 수를 구성합니다. 범위는 2에서 65,535입니다.
[edit services nat source pool nat-pool-name] user@host# set limit-ports-per-host number
- 각 가입자가 사용할 포트 블록을 할당하려면 포트 블록 할당을 구성합니다.
- 블록의 포트 수를 구성합니다. 범위는 1에서 64,512까지이며 기본값은 128입니다.
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- 블록이 활성화되는 간격을 초 단위로 구성합니다. 시간 초과 후에는 활성 블록에서 포트를 사용할 수 있더라도 새 블록이 할당됩니다. 시간 제한을 0으로 설정하면 새 포트 블록이 할당되기 전에 포트 블록이 완전히 채워지고 마지막 포트 블록이 무기한 활성 상태로 유지됩니다. 범위는 0에서 86,400까지이며 기본값은 0입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- 네트워크 주소 변환(NAT) 풀을 사용하는 주소 풀링 쌍을 이루는 매핑에 대한 타임아웃 기간을 지정합니다. 범위는 120초에서 86,400초까지이며 기본값은 300초입니다. 이 시간 동안 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립적 변환
mapping-timeout에 대해 을(를) 구성ei-mapping-timeout하지 않는 경우 값은 엔드포인트 독립적 번역에 사용됩니다. - 사용자 주소에 할당할 수 있는 최대 블록 수를 구성합니다. 범위는 1에서 512까지이며 기본값은 8입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- 활성 포트 블록과 라이브 세션이 있는 비활성 포트 블록에 대한 중간 시스템 로그를 보내는 빈도를 지정합니다. 이렇게 하면 UDP 기반이며 네트워크에서 손실될 수 있는 시스템 로그의 신뢰성이 향상됩니다. 범위는 1800초에서 86,400초까지이며 기본값은 0(중간 로그가 비활성화됨)입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- 블록의 포트 수를 구성합니다. 범위는 1에서 64,512까지이며 기본값은 128입니다.
- 지정된 네트워크 주소 변환(NAT) 풀을 사용하는 엔드포인트 독립적 변환에 대한 시간 제한 기간을 지정합니다. 이 시간 동안 비활성 상태인 매핑은 삭제됩니다. 범위는 120초에서 86,400초까지입니다. 을(를) 구성
ei-mapping-timeoutmapping-timeout하지 않으면 이 값은 엔드포인트 독립적 변환에 사용됩니다.[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- 네트워크 주소 변환(NAT) 풀을 사용하는 주소 풀링 쌍을 이루는 매핑에 대한 타임아웃 기간을 지정합니다. 범위는 120초에서 86,400초까지이며 기본값은 300초입니다. 이 시간 동안 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립적 변환
mapping-timeout에 대해 을(를) 구성ei-mapping-timeout하지 않는 경우 값은 엔드포인트 독립적 번역에 사용됩니다. - NAT 소스 풀의 IP 주소가 다른 서비스 집합에서 사용되는 풀의 IP 주소와 겹치도록 허용하려면 을 구성합니다
allow-overlapping-pools.[edit services nat] user@host# set allow-overlapping-pools
Stateful NAT64에 대한 NAT 규칙 구성
Stateful NAT64의 경우 원본 규칙과 대상 규칙을 구성해야 합니다. Stateful NAT64에 대한 NAT 규칙을 구성하려면 다음을 수행합니다.
- 소스 네트워크 주소 변환(NAT) 규칙 이름을 구성합니다.
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- NAT 규칙 집합이 적용되는 트래픽 방향을 지정합니다.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- NAT 규칙에 의해 변환되는 IPv6 소스 주소를 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
- 일치하는 대상 주소를 0.0.0.0/0으로 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match destination-address 0.0.0.0/0
- NAT 규칙이 적용되는 애플리케이션 프로토콜을 하나 이상 지정합니다. 규칙에 나열된 응용 프로그램 수는 3072개를 초과할 수 없습니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 변환된 소스 주소의 주소를 포함하는 NAT 소스 풀을 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 지정된 호스트의 모든 연결에 동일한 외부 주소 및 포트가 할당되도록 엔드포인트 독립적 매핑을 구성합니다.
- 매핑 유형을 엔드포인트 독립으로 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- 끝점 독립적 매핑을 사용하여 인바운드 연결을 설정할 수 있는 호스트가 포함된 접두사 목록을 지정합니다. (접두사 목록은 계층 수준에서 구성됩니다
[edit policy-options].)[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- : 엔드포인트 독립적 매핑에서 동시에 허용되는 최대 인바운드 플로우 수를 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- 활성 끝점 독립적 매핑이 새로 고쳐지는 방향을 지정합니다. 기본적으로 매핑은 인바운드 및 아웃바운드 활성 흐름 모두에 대해 새로 고쳐집니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- 매핑 유형을 엔드포인트 독립으로 구성합니다.
- 대상 NAT 규칙 이름을 구성합니다.
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- 대상 NAT 규칙 집합이 적용되는 트래픽 방향을 지정합니다.
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 대상 NAT 규칙에 의해 변환되는 IPv6 접두사 소스 주소를 지정합니다. NAT 소스 규칙에 사용한 것과 동일한 값을 사용합니다.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match source-address address
- IPv6 대상 주소에 IPv4 대상 주소를 포함하는 데 사용되는 접두사를 지정합니다.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat destination-prefix destination-prefix
- 일치하도록 IPv6 대상 주소를 구성합니다. 을(를) 사용하여 IPv6에 내장된 IPv4 대상 주소입니다
destination-prefix.[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
- 트래픽이 NAT 규칙 조건과 일치할 때 syslog 생성을 구성합니다.
[edit services nat (source | destination) rule-set rule-set-name rule rule-name then] user@host# set syslog
스테이트풀 NAT64를 위한 서비스 세트 구성
스테이트풀 NAT64를 위한 서비스 세트를 구성하려면 다음을 수행합니다.
- 서비스 집합을 정의합니다.
[edit services] user@host# edit service-set service-set-name
- 단일 서비스 인터페이스가 필요한 인터페이스 서비스 또는 내부 및 외부 서비스 인터페이스가 필요한 다음 홉 서비스 중 하나를 구성합니다.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
또는
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- 서비스 집합과 함께 사용할 NAT 규칙 집합을 지정합니다.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name
Don't Fragment 비트 지우기
1280바이트 미만의 IPv4 패킷을 변환할 때 IPv6 단편화 헤더가 불필요하게 생성되는 것을 방지하기 위해 패킷 길이가 1280바이트 미만일 때 IPv4 패킷 헤더에 대한 DF(Don't Fragment) 비트가 삭제되도록 지정할 수 있습니다.
[edit services nat natv6v4] user@host# set clear-dont-fragment-bit