대상 NAT
대상 NAT는 라우터를 통과하는 패킷의 대상 주소를 변경합니다. 또한 TCP/UDP 헤더에서 포트 변환을 수행하는 옵션도 제공합니다. 대상 NAT는 주로 외부 주소 또는 포트 대상의 수신 패킷을 네트워크 내부의 내부 IP 주소 또는 포트로 리디렉션하는 데 사용됩니다.
대상 NAT 이해하기
대상 NAT는 주니퍼 네트웍스 디바이스에 들어가는 패킷의 대상 IP 주소를 변환한 것입니다. 대상 NAT는 가상 호스트(원래 대상 IP 주소로 식별됨)로 향하는 트래픽을 실제 호스트(변환된 대상 IP 주소로 식별됨)로 리디렉션하는 데 사용됩니다.
대상 네트워크 주소 변환(NAT)이 수행되면 구성된 대상 네트워크 주소 변환(NAT) 규칙에 따라 대상 IP 주소가 변환된 다음 보안 정책이 적용됩니다.
대상 NAT를 사용하면 들어오는 네트워크 연결(예: 인터넷에서 개인 네트워크로)에 대해서만 연결을 시작할 수 있습니다. 일반적으로 대상 네트워크 주소 변환(NAT)은 다음 작업을 수행하는 데 사용됩니다.
단일 IP 주소를 다른 주소로 변환합니다(예: 인터넷의 디바이스가 개인 네트워크의 호스트에 연결할 수 있도록 허용).
연속된 주소 블록을 동일한 크기의 다른 주소 블록으로 변환합니다(예: 서버 그룹에 대한 액세스 허용).
대상 IP 주소 및 포트를 다른 대상 IP 주소 및 포트로 변환합니다(예: 동일한 IP 주소를 사용하지만 다른 포트를 사용하는 여러 서비스에 대한 액세스 허용).
지원되는 대상 네트워크 주소 변환(NAT) 유형은 다음과 같습니다.
원래 대상 IP 주소를 사용자 정의 풀의 IP 주소로 변환합니다. 이 유형의 변환에는 PAT(Port Address Translation)가 포함되지 않습니다. 원래 대상 IP 주소 범위가 사용자 정의 주소 풀의 주소 범위보다 크면 변환되지 않은 패킷은 삭제됩니다.
원래 대상 IP 주소(및 선택적 포트 번호)를 사용자 정의 풀의 특정 IP 주소(및 포트 번호)로 변환합니다.
대상 네트워크 주소 변환(NAT) 주소 풀 이해하기
NAT 풀은 변환에 사용되는 사용자 정의 IP 주소 집합입니다. 한 방향의 대상 IP 주소 변환과 역방향의 소스 IP 주소 변환을 포함하는 일대일 매핑이 있는 정적 NAT와 달리, 대상 NAT를 사용하면 원래 대상 주소를 주소 풀의 IP 주소로 변환합니다.
대상 네트워크 주소 변환(NAT) 주소 풀의 경우 다음을 지정합니다.
대상 네트워크 주소 변환(NAT) 주소 풀의 이름입니다
대상 주소 또는 주소 범위
한 라우팅 인스턴스 내에서 소스 NAT, 대상 NAT 및 정적 NAT에 대한 NAT 주소를 오버래핑하지 마십시오.
포트 전달에 사용되는 대상 포트
풀이 속한 라우팅 인스턴스 - 특정 라우팅 인스턴스를 지정하지 않은 대상 NAT 풀은 기본적으로 수신 영역의 라우팅 인스턴스로 설정됩니다.
기본 라우팅 인스턴스에 존재하도록 NAT 풀을 구성할 수 있습니다. 기본 routing-instance에 네트워크 주소 변환(NAT) 풀이 존재하도록 지정하는 구성 옵션을 사용할 수 있습니다. 그 결과, 기본 라우팅 인스턴스의 영역과 다른 라우팅 인스턴스의 영역에서 NAT 풀에 연결할 수 있습니다.
대상 NAT 규칙 이해
대상 네트워크 주소 변환(NAT) 규칙은 일치 조건의 두 계층을 지정합니다.
트래픽 방향 - ,
from zone또는from routing-instance을(를) 지정할from interface수 있습니다.패킷 정보 - 소스 IP 주소, 대상 IP 주소 또는 서브넷, 대상 포트 번호 또는 포트 범위, 프로토콜 또는 애플리케이션일 수 있습니다.
ALG 트래픽의 경우, 옵션 또는 application 옵션을 일치 조건으로 사용하지 destination-port 않는 것이 좋습니다. 이러한 옵션을 사용하면 애플리케이션 페이로드의 포트 값이 IP 주소의 포트 값과 일치하지 않을 수 있으므로 변환이 실패할 수 있습니다.
일치 조건에서 여러 대상 네트워크 주소 변환(NAT) 규칙이 겹치는 경우 가장 구체적인 규칙이 선택됩니다. 예를 들어, 규칙 A와 B가 동일한 소스 및 대상 IP 주소를 지정하지만 규칙 A가 영역 1의 트래픽을 지정하고 규칙 B가 인터페이스 ge-0/0/0의 트래픽을 지정하는 경우, 규칙 B는 대상 네트워크 주소 변환(NAT)을 수행하는 데 사용됩니다. 인터페이스 일치는 영역 일치보다 더 구체적인 것으로 간주되며, 이는 라우팅 인스턴스 일치보다 더 구체적입니다.
대상 NAT 규칙에 대해 지정할 수 있는 작업은 다음과 같습니다.
off—대상 네트워크 주소 변환(NAT)을 수행하지 않습니다.
pool—지정된 사용자 정의 주소 풀을 사용하여 대상 네트워크 주소 변환(NAT)을 수행합니다.
목적지 네트워크 주소 변환(NAT) 규칙은 플로우에 대해 처리되는 첫 번째 패킷의 트래픽 또는 ALG의 빠른 경로에 적용됩니다. 대상 NAT 규칙은 정적 NAT 규칙 이후, 소스 NAT 규칙 이전에 처리됩니다.
대상 NAT 구성 개요
대상 네트워크 주소 변환(NAT)의 주요 구성 작업은 다음과 같습니다.
- 네트워크 및 보안 요구 사항에 맞는 대상 NAT 주소 풀을 구성합니다.
- 네트워크 및 보안 요구 사항에 맞는 대상 NAT 규칙을 구성합니다.
- 수신 인터페이스의 동일한 서브넷에 있는 IP 주소에 대한 NAT 프록시 ARP 항목을 구성합니다.
예: 단일 주소 변환을 위한 대상 NAT 구성
이 예에서는 단일 공용 주소의 대상 네트워크 주소 변환(NAT) 프라이빗 주소로의 매핑을 구성하는 방법을 설명합니다.
정적 NAT를 사용하여 하나의 대상 IP 주소를 다른 대상 IP 주소에 매핑할 수도 있습니다. 정적 네트워크 주소 변환(NAT) 매핑을 사용하면 게이트웨이 디바이스의 어느 쪽에서든 연결을 설정할 수 있지만, 대상 네트워크 주소 변환(NAT)은 한 쪽에서만 연결을 설정할 수 있습니다. 그러나 정적 NAT는 한 주소에서 다른 주소로의 변환 또는 동일한 크기의 주소 블록 간의 변환만 허용합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽
서버
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
대상 네트워크 주소 변환(NAT)은 일반적으로 공개적으로 액세스할 수 있는 IP 주소를 사용하여 사설 네트워크에 있는 서비스를 배포하는 데 사용됩니다. 이를 통해 사용자는 공용 IP 주소로 프라이빗 서비스를 사용할 수 있습니다. 대상 NAT 주소 풀 및 대상 NAT 규칙 구성은 네트워크를 정렬하고 보안 요구 사항을 개선하는 데 사용됩니다.
이 예에서는 먼저 프라이빗 주소 공간에 대한 트러스트 보안 영역을 구성한 다음 공용 주소 공간에 대한 언트러스트 보안 영역을 구성합니다. 그림 1에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.200/32를 통해 신뢰할 수 있는 영역의 서버에 액세스합니다. 대상 IP 주소가 203.0.113.200/32인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우, 대상 IP 주소는 전용 주소 192.168.1.200/32로 변환됩니다.
위상수학
표 1 에는 이 예에서 구성된 매개 변수가 나와 있습니다.
매개 변수 |
묘사 |
|---|---|
트러스트 존(Trust Zone) |
개인 주소 공간에 대한 보안 영역입니다. |
언트러스트(untrust) 영역 |
공용 주소 공간의 보안 영역입니다. |
192.168.1.200/32 |
변환된 대상 NAT IP 주소입니다. |
192.168.1.0/24 |
개인 영역의 전용 서브넷입니다. |
203.0.113.200/32 |
서버의 공용 주소입니다. |
서버 |
개인 주소 공간의 서버 주소입니다. |
ge-0/0/0 및 ge-1/0/0 |
트래픽 방향을 위한 NAT 인터페이스. |
이 예제에서는 다음 구성을 설명합니다.
IP 주소 192.168.1.200/32를 포함하는 대상 NAT 풀
dst-nat-pool-1입니다.ge-0/0/0.0 인터페이스에서 수신한 패킷을 대상 IP 주소 203.0.113.200/32와 일치시키는 규칙
r1으로 설정된rs1대상 NAT 규칙. 패킷 매칭을 위해 대상 주소가 풀의 주소로 변환됩니다dst-nat-pool-1.인터페이스 ge-0/0/0.0의 주소 203.0.113.200/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
언트러스트(untrust) 영역에서 트러스트 영역의 번역된 대상 IP 주소까지 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
공용 주소에서 개인 주소로의 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
대상 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷을 일치시키고 대상 주소를 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
전체 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
언트러스트(untrust) 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
결과
구성 모드에서 , show security zones, 및 show bridge-domains 명령을 입력하여 show interfaces구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
대상 네트워크 주소 변환(NAT) 풀 사용 확인
목적
대상 네트워크 주소 변환(NAT) 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination pool all . 번역 히트 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
의미
명령은 변환된 주소의 풀을 show security nat destination pool all 표시합니다. 번역 히트 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination rule all .
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
의미
show security nat destination rule all 명령은 대상 NAT 규칙을 표시합니다. Translation hits 필드를 보고 대상 규칙과 일치하는 트래픽을 확인합니다.
단일 주소 변환을 위한 대상 NAT 검증
목적
단일 주소 변환을 위한 대상 네트워크 주소 변환(NAT) 구성을 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination summary .
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
의미
명령은 대상 네트워크 주소 변환( show security nat destination summary NAT) 구성에 대한 정보를 표시합니다. 다음 정보를 확인할 수 있습니다.
규칙 집합
규칙
주소 범위
NAT 풀
포트 세부 정보
NAT 애플리케이션-트래픽 검증
목적
NAT가 지정된 트래픽에 적용되고 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security flow session .
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
의미
명령은 show security flow session 디바이스의 활성 세션과 각 세션의 관련 보안 정책을 표시합니다. 출력은 프라이빗 대상 IP 주소 192.168.1.200으로 변환되는 203.0.113.200의 공용 호스트로 향하는 디바이스로 들어가는 트래픽을 보여줍니다.
Session ID- 세션을 식별하는 번호입니다. 이 ID를 사용하여 정책 이름 또는 수신 및 발신 패킷 수와 같은 세션에 대한 자세한 정보를 얻을 수 있습니다.
server-access- 언트러스트(untrust) 영역에서 트러스트 영역의 번역된 대상 IP 주소로 트래픽을 허용한 정책 이름.
In—수신 플로우(각각의 소스 및 대상 포트 번호를 가진 소스 및 대상 IP 주소, 세션은 ICMP, 이 세션의 소스 인터페이스는 ge-0/0/0.0).
Out—역방향 흐름(각각의 소스 및 대상 포트 번호를 가진 소스 및 대상 IP 주소, 세션은 ICMP, 이 세션의 대상 인터페이스는 ge-0/0/1.0).
예: IP 주소 및 포트 변환을 위한 대상 NAT 구성
이 예에서는 포트 번호에 따라 공용 주소의 대상 네트워크 주소 변환(NAT) 프라이빗 주소 매핑을 구성하는 방법을 설명합니다.
요구 사항
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 트러스트 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다. 그림 2에서 신뢰할 수 없는 영역의 디바이스는 포트 80 또는 8000의 공용 주소 203.0.113.200을 통해 신뢰할 수 있는 영역의 서버에 액세스합니다. 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어오는 패킷은 다음과 같이 서버의 전용 주소에 매핑됩니다.
대상 IP 주소 203.0.113.200 및 포트 80은 전용 주소 192.168.1.200 및 포트 80으로 변환됩니다.
대상 IP 주소 203.0.113.200 및 포트 8000은 전용 주소 192.168.1.220 및 포트 8000으로 변환됩니다.
이 예제에서는 다음 구성을 설명합니다.
IP 주소 192.168.1.200 포트 80을 포함하는 대상 NAT 풀
dst-nat-pool-1.IP 주소 192.168.1.220 및 포트 8000을 포함하는 대상 NAT 풀
dst-nat-pool-2입니다.신뢰할 수 없는 영역에서 수신한 패킷을 대상 IP 주소 203.0.113.200 및 대상 포트 80과 일치시키는 규칙
r1으로 설정된rs1대상 NAT 규칙. 패킷 매칭을 위해 대상 주소가 풀의 주소로 변환됩니다dst-nat-pool-1.신뢰할 수 없는 영역에서 수신한 패킷을 대상 IP 주소 203.0.113.200 및 대상 포트 8000과 일치시키는 규칙
r2으로 설정된rs1대상 NAT 규칙. 패킷 매칭을 위해 대상 IP 주소 및 포트가 풀의 주소 및 포트로 변환됩니다dst-nat-pool-2.주소 203.0.113.200/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
언트러스트(untrust) 영역에서 트러스트 영역의 번역된 대상 IP 주소로 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
공용 주소에서 개인 주소로의 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
대상 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
패킷을 일치시키고 대상 주소를 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
패킷을 일치시키고 대상 주소를 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
전체 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
언트러스트(untrust) 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
대상 네트워크 주소 변환(NAT) 풀 사용 확인
목적
대상 네트워크 주소 변환(NAT) 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination pool all . 번역 히트 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination rule all . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 서브넷 변환을 위한 대상 NAT 구성
이 예에서는 퍼블릭 서브넷 주소의 대상 네트워크 주소 변환(NAT) 프라이빗 서브넷 주소 매핑을 구성하는 방법을 설명합니다.
한 서브넷에서 다른 서브넷으로의 주소 매핑은 정적 NAT를 사용하여 수행할 수도 있습니다. 정적 네트워크 주소 변환(NAT) 매핑을 사용하면 게이트웨이 디바이스의 어느 쪽에서든 연결을 설정할 수 있는 반면, 대상 네트워크 주소 변환(NAT)을 사용하면 한 쪽에서만 연결을 설정할 수 있습니다. 그러나 정적 NAT는 동일한 크기의 주소 블록 간에만 변환을 허용합니다.
요구 사항
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 트러스트 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다. 그림 3에서 신뢰할 수 없는 영역의 디바이스는 공용 서브넷 주소 203.0.113.0/24를 통해 신뢰할 수 있는 영역의 디바이스에 액세스합니다. 203.0.113.0/24 서브넷의 대상 IP 주소를 가진 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우, 대상 IP 주소는 192.168.1.0/24 서브넷의 프라이빗 주소로 변환됩니다.
이 예제에서는 다음 구성을 설명합니다.
IP 주소 192.168.1.0/24를 포함하는 대상 NAT 풀
dst-nat-pool-1입니다.ge-0/0/0.0 인터페이스에서 수신한 패킷을 203.0.113.0/24 서브넷의 대상 IP 주소와 일치시키는 규칙이
r1있는 대상 NAT 규칙 집합rs1. 패킷 매칭을 위해 대상 주소가 풀의 주소로 변환됩니다dst-nat-pool-1.인터페이스 ge-0/0/0.0에서 주소 203.0.113.1/32부터 203.0.113.62/32에 대한 프록시 ARP; 203.0.113.0/24 서브넷에서 변환해야 하는 호스트의 IP 주소입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다. 주소 203.0.113.0/24는 인터페이스 자체에 할당되므로 이 주소는 프록시 ARP 구성에 포함되지 않습니다. 203.0.113.1/32 - 203.0.113.62/32 범위에 있지 않은 주소는 네트워크에 존재하지 않을 것으로 예상되며 변환되지 않습니다.
언트러스트(untrust) 영역에서 트러스트 영역의 번역된 대상 IP 주소로 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
퍼블릭 서브넷 주소에서 프라이빗 서브넷 주소로의 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
대상 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷을 일치시키고 대상 주소를 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
전체 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
언트러스트(untrust) 영역에서 트러스트 영역의 디바이스로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
대상 네트워크 주소 변환(NAT) 풀 사용 확인
목적
대상 네트워크 주소 변환(NAT) 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination pool all . 번역 히트 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination rule all . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
대상 NAT 정보 모니터링
목적
대상 네트워크 주소 변환(NAT) 요약 테이블 및 지정된 네트워크 주소 변환(NAT) 대상 주소 풀 정보의 세부 정보를 확인합니다.
행동
J-Web 사용자 인터페이스에서 Monitor>NAT> 대상 NAT 를 선택하거나, 다음의 CLI 명령을 입력하세요.
show security nat destination summaryshow security nat destination pool pool-name
표 2 에는 대상 네트워크 주소 변환(NAT) 디스플레이의 키 출력 필드가 요약되어 있습니다.
밭 |
값 |
행동 |
|---|---|---|
| 규칙 | ||
규칙 집합 이름 |
규칙 집합의 이름입니다. |
목록에서 표시할 모든 규칙 집합 또는 특정 규칙 집합을 선택합니다. |
합계 규칙 |
구성된 규칙의 수입니다. |
– |
아이디 |
규칙 ID 번호입니다. |
– |
이름 |
규칙의 이름입니다. |
– |
규칙 집합 이름 |
규칙 집합의 이름입니다. |
– |
보낸 사람 |
패킷이 흐르는 라우팅 인스턴스/영역/인터페이스 이름. |
– |
소스 주소 범위 |
소스 풀의 소스 IP 주소 범위입니다. |
– |
대상 주소 범위 |
소스 풀의 대상 IP 주소 범위입니다. |
– |
목적지 포트 |
대상 풀의 대상 포트입니다. |
– |
IP 프로토콜 |
IP 프로토콜. |
– |
행동 |
규칙과 일치하는 패킷에 대해 수행된 작업입니다. |
– |
경보 임계값 |
사용률 경보 임계값입니다. |
– |
세션(성공/실패/현재) |
성공, 실패 및 현재 세션.
|
– |
번역 히트 |
변환 테이블의 변환이 대상 네트워크 주소 변환(NAT) 규칙에 사용되는 횟수. |
– |
| 풀 | ||
풀 이름 |
풀의 이름입니다. |
목록에서 표시할 모든 풀 또는 특정 풀을 선택합니다. |
총 풀 |
총 풀이 추가되었습니다. |
– |
아이디 |
풀의 ID입니다. |
– |
이름 |
대상 풀의 이름입니다. |
– |
주소 범위 |
대상 풀의 IP 주소 범위입니다. |
– |
항구 |
풀의 대상 포트 번호입니다. |
– |
라우팅 인스턴스 |
라우팅 인스턴스의 이름입니다. |
– |
총 주소 |
총 IP 주소, IP 주소 집합 또는 주소록 항목입니다. |
– |
번역 히트 |
변환 테이블의 변환이 대상 네트워크 주소 변환(NAT)에 사용되는 횟수. |
– |
| Top 10 번역 히트 | ||
그래프 |
상위 10개의 번역 히트 그래프를 표시합니다. |
– |