사용자 논리적 시스템을 위한 라우팅, 인터페이스 및 NAT
사용자 논리적 시스템을 사용하면 라우팅 프로토콜, 인터페이스 및 NAT를 구성할 수 있습니다. 라우팅 프로토콜은 모든 라우팅 메시지를 처리합니다. NAT는 패킷이 인터넷으로 전송되면 컴퓨터 또는 컴퓨터 그룹의 IP 주소를 단일 공개 주소로 변환하는 메커니즘입니다. 자세한 내용은 다음 주제를 참조하십시오.
논리적 시스템 네트워크 주소 변환 이해
네트워크 주소 변환(NAT)는 패킷 헤더에서 네트워크 주소 정보를 수정하거나 변환하는 방법입니다. 패킷의 소스 및 대상 주소 중 하나 또는 둘 다 변환될 수 있습니다. NAT는 IP 주소뿐만 아니라 포트 번호 변환을 포함할 수 있습니다.
정적, 대상 또는 소스 NAT의 모든 조합은 루트 또는 사용자 논리적 시스템에서 구성할 수 있습니다. 논리적 시스템에서 NAT를 구성하는 것은 루트 시스템에서 NAT를 구성하는 것과 동일합니다. 기본 관리자는 기본 논리적 시스템뿐만 아니라 모든 사용자 논리적 시스템에서 NAT를 구성하고 모니터링할 수 있습니다.
Junos OS 릴리스 18.2R1부터 NAT 기능은 SRX1500, SRX5400, SRX5600 및 SRX5800 디바이스에 대한 기존 지원 외에 SRX4100 및 SRX4200 디바이스의 논리적 시스템에 대해 지원됩니다.
각 사용자 논리적 시스템에 대해 기본 관리자는 다음 NAT 리소스에 대해 최대 및 예약된 수를 구성할 수 있습니다.
소스 NAT 풀 및 대상 NAT 풀
포트 주소 변환 및 없는 소스 NAT 풀의 IP 주소
소스, 대상 및 정적 NAT에 대한 규칙
영구 NAT 바인딩
포트 오버로드를 지원하는 IP 주소
사용자 논리적 시스템에서 사용자 논리적 시스템 관리자는 NAT 옵션과 함께 운영 명령을 show system security-profile
사용하여 사용자 논리적 시스템에 할당된 NAT 리소스 수를 확인할 수 있습니다.
기본 관리자는 기본 논리적 시스템에 적용된 최대 및 예약된 NAT 리소스 수를 지정하는 기본 논리적 시스템에 대한 보안 프로필을 구성할 수 있습니다. 기본 논리적 시스템에 구성된 리소스 수는 디바이스에서 사용할 수 있는 NAT 리소스의 최대 수에 대한 수입니다.
사용자 논리적 시스템에서 사용자 논리적 시스템 관리자는 명령을 사용하여 show security nat
사용자 논리적 시스템에 대한 NAT 정보를 볼 수 있습니다. 기본 논리적 시스템에서 기본 관리자는 동일한 명령을 사용하여 기본 논리적 시스템, 특정 사용자 논리적 시스템 또는 모든 논리적 시스템에 대한 정보를 볼 수 있습니다.
더 보기
예: 사용자 논리 시스템에 대한 네트워크 주소 변환 구성
이 예는 사용자 논리적 시스템에 대해 정적 NAT를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
논리적 시스템 관리자로서 사용자 논리적 시스템에 로그인합니다. 사용자 논리적 시스템 구성 개요를 참조하십시오.
show system security-profile nat-static-rule
명령을 사용하여 논리적 시스템에 할당된 정적 NAT 리소스를 확인합니다.보안 정책을 구성합니다. 예: 사용자 논리적 시스템에서 보안 정책 구성을 참조하십시오.
개요
이 예는 예에 표시된 ls-product-design 사용자 논리적 시스템을 구성 합니다. 사용자 논리적 시스템 생성, 관리자, 사용자 및 상호 연결 논리적 시스템.
ls-product-design-untrust 영역의 디바이스는 주소 12.1.1.200/32를 통해 ls-product-design-trust 영역의 특정 호스트에 액세스합니다. 대상 IP 주소 12.1.1.200/32가 있는 ls-product-design-untrust 영역의 ls-product-design 논리 시스템에 들어가는 패킷의 경우 대상 IP 주소는 12.1.1.100/32로 변환됩니다. 이 예는 표 1에 설명된 정적 NAT를 구성합니다.
기능 |
이름 |
구성 매개 변수 |
---|---|---|
정적 NAT 규칙 세트 |
rs1 |
|
프록시 ARP |
|
인터페이스 lt-0/0/0.3의 주소 12.1.1.200입니다. |
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat static rule-set rs1 from zone ls-product-design-untrust set security nat static rule-set rs1 rule r1 match destination-address 12.1.1.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32 set security nat proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템에서 NAT를 구성하려면 다음을 수행합니다.
논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
정적 NAT 규칙 집합을 구성합니다.
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 from zone ls-product-design-untrust
패킷과 일치하는 규칙을 구성하고 패킷의 대상 주소를 변환합니다.
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 match destination-address 12.1.1.200/32 lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32
프록시 ARP를 구성합니다.
[edit security nat] lsdesignadmin1@host:ls-product-design# set proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security nat
. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
lsdesignadmin1@host:ls-product-design# show security nat static { rule-set rs1 { from zone ls-product-design-untrust; rule r1 { match { destination-address 12.1.1.200/32; } then { static-nat prefix 12.1.1.100/32; } } } } proxy-arp { interface lt-0/0/0.3 { address { 12.1.1.200/32; } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
정적 NAT 구성 확인
목적
정적 NAT 규칙 세트와 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat static rule
. 변환 히트 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 사용자 논리적 시스템에 대한 인터페이스 및 라우팅 인스턴스 구성
이 예는 테넌트 시스템에 대한 인터페이스 및 라우팅 인스턴스를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
사용자 논리적 시스템 관리자로서 사용자 논리적 시스템에 로그인합니다. 사용자 논리적 시스템 구성 개요를 참조하십시오.
어떤 논리적 인터페이스와 선택적으로 기본 관리자가 사용자 논리적 시스템에 할당하는 논리적 터널 인터페이스를 결정합니다. 기본 관리자는 논리적 터널 인터페이스를 구성합니다. 기본 논리적 시스템 및 기본 관리자 역할 이해를 참조하십시오.
개요
이 예는 예에 표시된 ls-product-design 사용자 논리적 시스템을 구성 합니다. 사용자 논리적 시스템 생성, 관리자, 사용자 및 상호 연결 논리적 시스템.
이 예는 표 2에 설명된 인터페이스 및 라우팅 인스턴스를 구성합니다.
기능 |
이름 |
구성 매개 변수 |
---|---|---|
인터페이스 |
ge-0/0/5.1 |
|
라우팅 인스턴스 |
pd-vr1 |
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set interfaces ge-0/0/5 unit 1 family inet address 12.1.1.1/24 set interfaces ge-0/0/5 unit 1 vlan-id 700 set routing-instances pd-vr1 instance-type virtual-router set routing-instances pd-vr1 interface ge-0/0/5.1 set routing-instances pd-vr1 interface lt-0/0/0.3 set routing-instances pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set routing-instances pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템에서 인터페이스 및 라우팅 인스턴스를 구성하려면 다음을 수행합니다.
논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
사용자 논리적 시스템에 대한 논리적 인터페이스를 구성합니다.
[edit interfaces] lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 family inet address 12.1.1.1/24 lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 vlan-id 700
라우팅 인스턴스를 구성하고 인터페이스를 할당합니다.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 instance-type virtual-router lsdesignadmin1@host:ls-product-design# set pd-vr1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 interface lt-0/0/0.3
정적 경로를 구성합니다.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
결과
구성 모드에서 및 show routing-instances
명령을 입력하여 구성을 show interfaces
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
기본 관리자는 lt-0/0/0.3 인터페이스를 구성합니다. 따라서 이 항목을 구성하지 않았더라도 lt-0/0/0.3 구성이 출력에 show interfaces
나타납니다.
lsdesignadmin1@host:ls-product-design# show interfaces ge-0/0/5 { unit 1 { vlan-id 700; family inet { address 12.1.1.1/24; } } } lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 2; family inet { address 10.0.1.2/24; } } } lsdesignadmin1@host:ls-product-design# show routing-instances pd-vr1 { instance-type virtual-router; interface ge-0/0/5.1; interface lt-0/0/0.3; routing-options { static { route 13.1.1.0/24 next-hop 10.0.1.3; route 14.1.1.0/24 next-hop 10.0.1.4; route 12.12.1.0/24 next-hop 10.0.1.1; } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
예: 사용자 논리적 시스템에 대한 OSPF 라우팅 프로토콜 구성
이 예는 사용자 논리적 시스템에 대해 OSPF를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
사용자 논리적 시스템 관리자로서 사용자 논리적 시스템에 로그인합니다. 사용자 논리적 시스템 구성 개요를 참조하십시오.
논리적 인터페이스 ge-0/0/5.1을 구성합니다. pd-vr1 라우팅 인스턴스에 ge-0/0/5.1 및 lt-0/0/0.3을 할당합니다. 예: 사용자 논리적 시스템에 대한 인터페이스 및 라우팅 인스턴스 구성을 참조하십시오.
개요
이 예에서는 예제에 표시된 ls-product-design 사용자 논리적 시스템에 대해 OSPF를 구성합니다 . 예: 사용자 논리적 시스템 생성, 관리자, 사용자 및 상호 연결 논리적 시스템.
이 예는 ls-product-design 사용자 논리 시스템에서 ge-0/0/5.1 및 lt-0/0/0.3 인터페이스에서 OSPF 라우팅을 활성화합니다. pd-vr1 라우팅 인스턴스에서 Junos OS 라우팅 테이블 경로를 OSPF로 내보내기 위해 다음 라우팅 정책을 구성합니다.
ospf-redist-direct - 직접 연결된 인터페이스에서 학습된 경로입니다.
ospf-redist-static - 정적 경로입니다.
ospf-to-ospf - OSPF에서 학습된 경로입니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set policy-options policy-statement ospf-redist-direct from protocol direct set policy-options policy-statement ospf-redist-direct then accept set policy-options policy-statement ospf-redist-static from protocol static set policy-options policy-statement ospf-redist-static then accept set policy-options policy-statement ospf-to-ospf from protocol ospf set policy-options policy-statement ospf-to-ospf then accept set routing-instances pd-vr1 protocols ospf export ospf-redist-direct set routing-instances pd-vr1 protocols ospf export ospf-redist-static set routing-instances pd-vr1 protocols ospf export ospf-to-ospf set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리 시스템에 대해 OSPF를 구성하려면:
사용자 논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
경로를 수용하는 라우팅 정책을 생성합니다.
[edit policy-options] lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct from protocol direct lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static from protocol static lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf from protocol ospf lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf then accept
Junos OS 라우팅 테이블 OSPF로 내보낸 경로에 라우팅 정책을 적용합니다.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-direct lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-static lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-to-ospf
논리적 인터페이스에서 OSPF를 활성화합니다.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
결과
구성 모드에서 및 show routing-instances
명령을 입력하여 구성을 show policy-options
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
간결성을 위해 이 show
명령 출력에는 이 예와 관련된 구성만 포함됩니다. 시스템의 다른 구성은 타원(...)으로 대체되었습니다.
[edit] lsdesignadmin1@host:ls-product-design# show policy-options policy-statement ospf-redist-direct { from protocol direct; then accept; } policy-statement ospf-redist-static { from protocol static; then accept; } policy-statement ospf-to-ospf { from protocol ospf; then accept; } [edit] lsdesignadmin1@host:ls-product-design# show routing-instances pd-vr1 { ... protocols { ospf { export [ ospf-redist-direct ospf-to-ospf ospf-redist-static ]; area 0.0.0.1 { interface lt-0/0/0.3; interface ge-0/0/5.1; } } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인합니다.
OSPF 인터페이스 확인
목적
OSPF 지원 인터페이스를 확인합니다.
작업
CLI에서 명령을 입력합니다 show ospf interface instance pd-vr1
.
lsdesignadmin1@host:ls-product-design> show ospf interface instance pd-vr1 Interface State Area DR ID BDR ID Nbrs lt-0/0/0.3 DR 0.0.0.0 10.0.1.2 0.0.0.0 0 ge-0/0/5.1 DR 0.0.0.1 10.0.1.2 0.0.0.0 0
OSPF 이웃 확인
목적
OSPF neighbor를 확인합니다.
작업
CLI에서 명령을 입력합니다 show ospf neighbor instance pd-vr1
.
lsdesignadmin1@host:ls-product-design> show ospf neighbor instance pd-vr1 Address Interface State ID Pri Dead 10.0.1.1 plt0.1 Full 0.0.0.0 128 39
OSPF 경로 확인
목적
OSPF 경로를 확인합니다.
작업
CLI에서 명령을 입력합니다 show ospf route instance pd-vr1
.
lsdesignadmin1@host:ls-product-design> show ospf route instance pd-vr1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 10.0.1.0/24 Intra Network IP 1 lt-0/0/0.3 12.12.1.0/24 Intra Network IP 1 ge-0/0/5.1