차세대 서비스 스테이트풀 NAT64 구성
다음 단계를 수행하여 차세대 서비스 스테이트풀 NAT64를 구성합니다.
스테이트풀 NAT64에 대한 소스 풀 구성
스테이트풀 NAT64에 대한 소스 풀을 구성하려면,
- 소스 풀을 생성합니다.
user@host# edit services nat source pool nat-pool-name
- 소스 주소가 변환되는 주소 또는 서브넷을 정의합니다.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
또는
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
설정을 지정하지 않는 모든 NAT 풀에 대해 라운드 로빈 포트 할당을
automatic (random-allocation | round-robin)
비활성화하려면 전역 설정을 구성합니다.[edit services nat source] user@host# set port-round-robin disable
- 풀에 할당할 포트 범위를 구성하려면 다음을 수행합니다.
참고:
할당
automatic
할 포트 범위를 지정하면 문이 무시됩니다.- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않으면, 포트의 범위를 구성해야 합니다.
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- 임의의 할당 또는 라운드 로빈 할당을 지정합니다. 라운드 로빈 할당은 기본값입니다.
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- 포트의 낮은 값과 높은 값을 지정합니다. 자동 포트 할당을 구성하지 않으면, 포트의 범위를 구성해야 합니다.
- 수신 포트와 동일한 범위의 포트(0~1023 또는 1024~65,535)를 할당합니다. 포트 블록 할당을 구성하는 경우 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 들어오는 포트와 동일한 패리티(짝수 또는 홀수)를 가진 포트를 할당합니다. 포트 블록 할당을 구성하는 경우 이 기능을 사용할 수 없습니다.
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- 포트 변환을 사용하는 NAT 풀에 대한 전역 기본 포트 범위를 구성합니다. 이 포트 범위는 NAT 풀이 포트 범위를 지정하지 않고 자동 포트 할당을 지정하지 않을 때 사용됩니다. 글로벌 포트 범위는 1024~65,535입니다.
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- 포트 변환 없이 소스 풀을 구성합니다.
[edit services nat source pool nat-pool-name] user@host# set address-pooling no-paired
- 각 호스트에 할당할 수 있는 최대 포트 수를 구성합니다. 범위는 2~65,535입니다.
[edit services nat source pool nat-pool-name] user@host# set limit-ports-per-host number
- 각 가입자가 사용할 포트 블록을 할당하려면 포트 블록 할당을 구성합니다.
- 블록의 포트 수를 구성합니다. 범위는 1~64,512이며, 기본값은 128입니다.
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- 블록이 활성화된 간격을 초 단위로 구성합니다. 시간 제한 이후에는 활성 블록에서 포트를 사용할 수 있더라도 새 블록이 할당됩니다. 시간 초과를 0으로 설정하면 새 포트 블록이 할당되기 전에 포트 블록이 완전히 채워지고 마지막 포트 블록이 무기한 활성화됩니다. 범위는 0~86,400이며, 기본값은 0입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- NAT 풀을 사용하는 주소 풀링 쌍 매핑의 시간 제한 기간을 지정합니다. 범위는 120~86,400초이며, 기본값은 300입니다. 이 시간에 대해 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립 변환에 대해 구성
ei-mapping-timeout
하지 않으면 이mapping-timeout
값이 엔드포인트 독립 변환에 사용됩니다. - 사용자 주소에 할당할 수 있는 최대 블록 수를 구성합니다. 범위는 1~512이며, 기본값은 8입니다.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- 활성 포트 블록에 대한 중간 시스템 로그와 라이브 세션을 통한 비활성 포트 블록의 전송 빈도를 지정합니다. 이렇게 하면 UDP 기반의 시스템 로그의 안정성이 향상되고 네트워크에서 손실이 증가할 수 있습니다. 범위는 1800~86,400초이며, 기본값은 0입니다(중간 로그는 비활성화됨).
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- 블록의 포트 수를 구성합니다. 범위는 1~64,512이며, 기본값은 128입니다.
- 지정된 NAT 풀을 사용하는 엔드포인트 독립 변환의 시간 제한 기간을 지정합니다. 이 시간에 대해 비활성 상태인 매핑은 삭제됩니다. 범위는 120~86,400초입니다. 구성
ei-mapping-timeout
mapping-timeout
하지 않으면 이 값은 엔드포인트 독립 변환에 사용됩니다.[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- NAT 풀을 사용하는 주소 풀링 쌍 매핑의 시간 제한 기간을 지정합니다. 범위는 120~86,400초이며, 기본값은 300입니다. 이 시간에 대해 비활성 상태인 매핑은 삭제됩니다.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
엔드포인트 독립 변환에 대해 구성
ei-mapping-timeout
하지 않으면 이mapping-timeout
값이 엔드포인트 독립 변환에 사용됩니다. - NAT 소스 풀의 IP 주소가 다른 서비스 집합에서 사용되는 풀의 IP 주소와 겹치도록 허용하려면 을(를) 구성
allow-overlapping-pools
합니다.[edit services nat] user@host# set allow-overlapping-pools
스테이트풀 NAT64에 대한 NAT 규칙 구성
스테이트풀 NAT64의 경우 소스 규칙 및 대상 규칙을 구성해야 합니다. 스테이트풀 NAT64에 대한 NAT 규칙을 구성하려면,
- 소스 NAT 규칙 이름을 구성합니다.
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- NAT 규칙 세트가 적용되는 트래픽 방향을 지정합니다.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- NAT 규칙에 의해 번역된 IPv6 소스 주소를 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
- 일치하는 대상 주소를 0.0.0.0/0으로 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match destination-address 0.0.0.0/0
- NAT 규칙이 적용되는 하나 이상의 애플리케이션 프로토콜을 지정합니다. 규칙에 나열된 애플리케이션 수가 3072를 초과해서는 안 됩니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 변환된 소스 주소에 대한 주소를 포함하는 NAT 소스 풀을 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 지정된 호스트의 모든 연결에 동일한 외부 주소와 포트가 할당되도록 하는 엔드포인트 독립 매핑을 구성합니다.
- 매핑 유형을 엔드포인트 독립형으로 구성합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- 엔드포인트 독립 매핑을 사용하여 인바운드 연결을 설정할 수 있는 호스트를 포함하는 접두사 목록을 지정합니다. (접두사 목록은 계층 수준에서 구성
[edit policy-options]
됩니다.)[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- 엔드포인트 독립 매핑에서 동시에 허용되는 최대 인바운드 플로우 수를 지정합니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- 활성 엔드포인트 독립 매핑이 새로 고쳐지는 방향을 지정합니다. 기본적으로 인바운드 및 아웃바운드 활성 플로우 모두에 대해 매핑이 새로 고쳐집니다.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- 매핑 유형을 엔드포인트 독립형으로 구성합니다.
- 대상 NAT 규칙 이름을 구성합니다.
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- 대상 NAT 규칙 세트가 적용되는 트래픽 방향을 지정합니다.
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 대상 NAT 규칙에 의해 변환되는 IPv6 접두사 소스 주소를 지정합니다. NAT 소스 규칙에 사용한 것과 동일한 값을 사용합니다.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match source-address address
- IPv6 대상 주소에 IPv4 대상 주소를 포함하는 데 사용되는 접두사를 지정합니다.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat destination-prefix destination-prefix
- 일치하는 IPv6 대상 주소를 구성합니다. 이것은 을(를) 사용하여 IPv6에 내장된 IPv4 대상 주소입니다
destination-prefix
.[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
- 트래픽이 NAT 규칙 조건과 일치할 때 syslog 생성을 구성합니다.
[edit services nat (source | destination) rule-set rule-set-name rule rule-name then] user@host# set syslog
스테이트풀 NAT64에 대한 서비스 세트 구성
스테이트풀 NAT64에 대한 서비스 세트를 구성하려면 다음을 수행합니다.
- 서비스 세트를 정의합니다.
[edit services] user@host# edit service-set service-set-name
- 단일 서비스 인터페이스가 필요한 인터페이스 서비스 또는 내부 및 외부 서비스 인터페이스가 필요한 다음 홉 서비스를 구성합니다.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
또는
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- 서비스 세트와 함께 사용할 NAT 규칙 세트를 지정합니다.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name
비트 패킷 조각 제거
1280바이트 미만의 IPv4 패킷을 변환할 때 불필요한 IPv6 단편화 헤더 생성을 방지하기 위해 패킷 길이가 1280바이트 미만일 때 IPv4 패킷 헤더에 대한 DF(Don't Fragment) 비트가 지워지도록 지정할 수 있습니다.
[edit services nat natv6v4] user@host# set clear-dont-fragment-bit