Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서는
 

네트워크 주소 변환(NAT) 구성 개요

이 주제는 네트워크 주소 변환(네트워크 주소 변환(NAT)) 및 여러 ISP의 구성 방법을 설명하고 있습니다. 또한 이 주제는 추적 옵션을 구성하고 네트워크 주소 변환(NAT) 테이블을 모니터링하여 네트워크 주소 변환(NAT) 데 도움이 됩니다.

마법사를 네트워크 주소 변환(NAT) 구성하기 네트워크 주소 변환(NAT) 마법사

네트워크 주소 변환(NAT) 마법사를 사용하여 디바이스, 네트워크 주소 변환(NAT), SRX340, SRX345 및 SRX550M SRX300 기본 SRX320 구성을 수행할 수 있습니다. 보다 향상된 구성을 수행하려면 J-Web 인터페이스 또는 CLI.

매니지드 네트워크 주소 변환(NAT) 사용하여 네트워크 주소 변환(NAT) 구성:

  1. Configure>Tasks>Configure NATJ-Web 인터페이스에서 선택합니다.
  2. Launch 네트워크 주소 변환(NAT) Wizard 버튼 클릭
  3. 마법사 프롬프트를 따라가기.

마법사 페이지의 좌측 상단 영역은 구성 프로세스의 위치를 보여줍니다. 페이지의 왼쪽 하단 영역은 현장에 민감한 도움말을 보여줍니다. Resources 제목의 링크를 클릭하면 브라우저에서 문서가 열립니다. 새 탭에서 문서가 열리면 문서를 닫을 때 탭(브라우저 창이 아니)만 닫아야 합니다.

예: 네트워크 주소 변환(NAT) ISP에 대한 구성

이 예에서는 여러 ISP의 주소 변환을 위해 주니퍼 네트웍스 디바이스를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  1. 디바이스에서 네트워크 인터페이스를 구성합니다. 보안 장비의 인터페이스 사용자 가이드를 참조하십시오.

  2. 보안 존을 생성하고 인터페이스에 할당합니다. 보안 존 이해 를 참조합니다.

개요

이 예에서는 2개의 ISP 연결을 통해 서비스 게이트웨이 기능을 사용하여 LAN을 네트워크 주소 변환(NAT) 구성할 수 있습니다. 이 구성에서는 신뢰할 수 있는 전용 주소 공간을 위한 보안 존과 공용 주소 공간을 위한 신뢰할 수 없는 두 보안 존이 LAN에서 2개의 ISP로 연결하고 그 반대의 경우도 마찬가지입니다. 예를 들어, LAN에서 인터넷에 네트워크 주소 변환(NAT) 소스 네트워크 주소 변환(NAT) 규칙과 인터넷에서 LAN에 연결하기 위한 대상 및 정적 네트워크 주소 변환(NAT) 규칙이 있습니다.

구성

여러 ISP에 네트워크 주소 변환(NAT) 구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [편집] 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이러한 작업을 하는 방법에 대한 지침은 CLI 사용자 가이드의 CLI 편집기 사용 Junos OS CLI 참조하십시오.

  1. 라우팅 인스턴스를 구성합니다.

  2. Rib 그룹 및 라우팅 옵션을 구성합니다.

  3. 보안 정책을 구성합니다.

  4. 소스 네트워크 주소 변환(NAT) 풀 및 규칙을 구성합니다.

  5. 대상 네트워크 주소 변환(NAT) 풀 및 규칙을 구성합니다.

  6. 정적 네트워크 주소 변환(NAT) 규칙을 구성합니다.

결과

구성 모드에서 show 구성 명령을 입력하여 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

인터페이스 검증

목적

인터페이스가 올바르게 구성되어 있는지 확인합니다.

작업

작동 모드에서 다음 명령을 입력합니다.

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

네트워크 주소 변환(NAT) 프록시 ARP 구성(CLI 절차)

네트워크 주소 변환(NAT) 프록시 ARP 기능을 사용하여 소스 또는 대상 네트워크 주소 변환(NAT) 및 ingress 인터페이스와 동일한 서브넷에 있는 IP 주소에 대한 프록시 ARP 엔트리를 구성할 수 있습니다.

참고:

SRX 시리즈 디바이스에서 프록시 ARP를 명시적으로 네트워크 주소 변환(NAT) 수 있어야 합니다.

프록시 ARP를 네트워크 주소 변환(NAT) 구성할 경우 프록시 ARP를 구성할 논리적 인터페이스를 지정해야 합니다. 그런 다음 주소 또는 주소 범위를 입력합니다.

이 장치는 다음과 같은 조건에 따라 프록시 ARP를 수행합니다.

  • 정적 네트워크 주소 변환(NAT) 및 Source 네트워크 주소 변환(NAT) 풀이 ingress 인터페이스와 동일한 서브넷에 있는 경우

  • 대상의 원래 대상 주소 엔트리의 주소는 네트워크 주소 변환(NAT) ingress 인터페이스와 동일한 서브넷에 있는 경우

네트워크 주소 변환(NAT) 추적 옵션 구성

목적

네트워크 주소 변환(NAT) trace 옵션 계층은 검증 목적으로 trace 파일 및 플래그를 구성합니다.

SRX 시리즈 디바이스에는 두 가지 주요 구성 요소가 있습니다. 이 라우팅 엔진(re)와 패킷 전달 엔진(PFE). PFE는 ukernel 부분과 실시간 부분으로 나뉘어 있습니다.

네트워크 주소 변환(NAT) 구성이 커밋되는 경우 먼저 구성을 검사하고 RE에서 검증합니다. 검증 후 구성은 PFE로 푸시됩니다. 이 구성은 ukernel PFE에 설치되면 실시간 PFE에서 각 네트워크 주소 변환(NAT) 규칙과 일치하는 각 패킷에서 조치가 수행됩니다.

검증을 위해, RE, ukernel PFE 또는 네트워크 주소 변환(NAT) PFE의 기능 디버그를 개별적으로 플래그를 켜면 됩니다.

  • 플래그는 RE에서 네트워크 주소 변환(NAT) 구성 검증의 추적과 PFE로 푸시된 nat-re 구성의 추적을 기록합니다.

  • 플래그는 nat-pfe ukernel PFE에 네트워크 주소 변환(NAT) 구성 설치의 추적을 기록합니다.

  • 플래그는 규칙 일치의 추적과 네트워크 주소 변환(NAT) PFE에 대한 후속 nat-rt 조치를 기록합니다.

추적 데이터는 기본적으로 /var/log/security-trace에 기록되어 있으며, 이 명령어를 사용하여 볼 수 show log security-trace 있습니다.

참고:

장비의 정책 구성에서 세션 로깅이 활성화된 경우 세션 로그에는 각 세션에 대한 특정 네트워크 주소 변환(NAT) 정보가 포함됩니다. SRX 시리즈 서비스 게이트웨이의 세션 로그 입력 시 제공되는 세션 로그 입력 방법에 대한 정보는 세션 로그에서 제공되는 정보에 대한 자세한 내용은 보안 정책 통계 모니터링을 참조하십시오.

작업

커밋 시 네트워크 주소 변환(NAT) 구성이 장비에 올바르게 업데이트되는지, 네트워크 주소 변환(NAT) 규칙과 후속 작업이 올바르게 일치하는지 확인하려면 명령문을 security nat traceoptions 사용합니다.

네트워크 주소 변환(NAT) 변환이 트래픽에 적용되고 있는지 확인하고, 네트워크 주소 변환(NAT) 변환을 통해 개별 트래픽 플로우 처리를 확인하기 위해 명령과 명령어를 함께 security nat traceoptions security flow traceoptions 사용하세요. 명령이 네트워크 주소 변환(NAT) 없는 경우, 명령어를 사용해 구성된 네트워크 주소 변환(NAT) 추적(trace)이 기록되지 않을 수 있기 때문에 명령어는 함께 security nat traceoptions flow traceoptions 사용됩니다.

특정 플로우를 필터링하기 위해 패킷 필터를 정의하고 추적(traceoption)으로 사용할 수 있습니다.

패킷 네트워크 주소 변환(NAT) 검증하고 데이터 플레인에서 모든 트래픽 추적을 활성화하려면 간단한 패킷 필터를 사용하는 다음 예제와 같이 traceoptions 명령을 set security flow traceoptions flag basic-datapath 사용하십시오.

수신 네트워크 주소 변환(NAT) 정보 모니터링

목적

표 네트워크 주소 변환(NAT) 보기.

작업

J-Web 사용자 인터페이스에서 Monitor>네트워크 주소 변환(NAT)>Incoming Table을 선택하거나 다음 명령을 CLI 입력합니다.

show security nat incoming-table

표 1은 수신 테이블 디스플레이의 주요 출력 필드를 요약하고 있습니다.

수신 테이블 출력 필드 요약
표 1: 주요

필드

통계

사용 중

표의 엔트리 네트워크 주소 변환(NAT).

최대

각 테이블에서 가능한 최대 네트워크 주소 변환(NAT) 수 있습니다.

엔트리 할당 실패

할당에 대해 실패한 엔트리 수입니다.
수신 테이블

명확한

대상

대상 IP 주소 및 포트 번호.

호스트

대상 IP 주소가 매핑된 호스트 IP 주소 및 포트 번호

참조

항목을 참조하는 세션 수입니다.

타임 아웃

타임아웃(초) 테이블의 엔트리 네트워크 주소 변환(NAT).

소스 풀

변환이 할당되는 소스 풀의 이름

인터페이스 네트워크 주소 변환(NAT) 포트 정보 모니터링

목적

인터페이스 소스 풀 정보에 대한 포트 사용량을 볼 수 있습니다.

작업

인터페이스 및 포트 네트워크 주소 변환(NAT) 모니터링할 경우 다음 중 하나를 진행하십시오.

  • SRX5400, SRX5600 또는 SRX5800 플랫폼을 사용하는 경우 J-Web 사용자 인터페이스에서 Monitor>Firewall/네트워크 주소 변환(NAT)>Interface 네트워크 주소 변환(NAT)를 선택하거나 CLI 명령을 show security nat interface-nat-ports 입력합니다.

  • J-Web >네트워크 주소 변환(NAT)> 인터페이스에서 네트워크 주소 변환(NAT) 포트에 대한 모니터링을 선택합니다.

표 2는 인터페이스 및 디스플레이의 주요 출력 필드를 네트워크 주소 변환(NAT) 요약되어 있습니다.

출력 네트워크 주소 변환(NAT) 요약
표 2: 주요 인터페이스 및

필드

추가 정보
인터페이스 네트워크 주소 변환(NAT) 요약 표

풀 인덱스

포트 풀 인덱스.

총 포트

포트 풀의 총 포트 수.

할당된 단일 포트

사용 시 한 번씩 할당된 포트 수입니다.

단일 포트 사용 가능

무료로 한 시간 동안 하나씩 할당된 포트 수입니다.

트윈 포트 할당

사용 시 2개로 할당된 포트 수입니다.

트윈 포트 제공

무료로 2개의 포트를 할당한 포트 수입니다.