Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

대상 NAT

대상 NAT는 라우터를 통과하는 패킷의 대상 주소를 변경합니다. 또한 TCP/UDP 헤더에서 포트 변환을 수행하는 옵션도 제공합니다. 대상 NAT는 주로 외부 주소 또는 포트 대상의 수신 패킷을 네트워크 내의 내부 IP 주소 또는 포트로 리디렉션하는 데 사용됩니다.

대상 NAT 이해하기

대상 NAT는 주니퍼 네트웍스 디바이스로 들어오는 패킷의 대상 IP 주소 변환입니다. 대상 NAT는 가상 호스트(원래 대상 IP 주소로 식별)로 향하는 트래픽을 실제 호스트(번역된 대상 IP 주소로 식별)로 리디렉션하는 데 사용됩니다.

참고:

대상 NAT가 수행되면 구성된 대상 NAT 규칙에 따라 대상 IP 주소가 변환되고 보안 정책이 적용됩니다.

대상 NAT를 사용하면 들어오는 네트워크 연결(예: 인터넷에서 프라이빗 네트워크)에 대해서만 연결을 시작할 수 있습니다. 대상 NAT는 일반적으로 다음 작업을 수행하는 데 사용됩니다.

  • 단일 IP 주소를 다른 주소로 변환합니다(예: 인터넷의 디바이스가 프라이빗 네트워크의 호스트에 연결할 수 있도록 함).

  • 인접한 주소 블록을 동일한 크기의 다른 주소 블록으로 변환합니다(예: 서버 그룹에 대한 액세스를 허용).

  • 대상 IP 주소와 포트를 다른 대상 IP 주소 및 포트로 변환합니다(예: 동일한 IP 주소이지만 다른 포트를 사용하는 여러 서비스에 대한 액세스를 허용하려면).

다음과 같은 유형의 대상 NAT가 지원됩니다.

  • 사용자 정의 풀에서 원래 대상 IP 주소를 IP 주소로 변환합니다. 이러한 유형의 변환에는 PAT(Port Address Translation)가 포함되지 않습니다. 원래 대상 IP 주소 범위가 사용자 정의 주소 풀의 주소 범위보다 큰 경우, 번역되지 않은 패킷은 모두 삭제됩니다.

  • 사용자 정의 풀에서 원래 대상 IP 주소(및 선택 사항 포트 번호)를 하나의 특정 IP 주소(및 포트 번호)로 변환합니다.

대상 NAT 주소 풀 이해하기

NAT 풀은 변환에 사용되는 사용자 정의 IP 주소 집합입니다. 한 방향으로 대상 IP 주소 변환을 포함하고 역방향으로 소스 IP 주소 변환을 포함하는 일대일 매핑이 있는 정적 NAT와 달리 대상 NAT를 사용하면 원래 목적지 주소를 주소 풀의 IP 주소로 변환합니다.

대상 NAT 주소 풀의 경우, 다음을 지정합니다.

  • 대상 NAT 주소 풀 이름

  • 대상 주소 또는 주소 범위

    참고:

    하나의 라우팅 인스턴스 내에서 소스 NAT, 대상 NAT 및 정적 NAT에 대한 NAT 주소와 겹치지 마십시오.

  • 포트 포워딩에 사용되는 대상 포트

  • 풀이 속한 라우팅 인스턴스 - 특정 라우팅 인스턴스를 지정하지 않는 대상 NAT 풀은 기본적으로 수신 영역의 라우팅 인스턴스에 적용됩니다.

    참고:

    기본 라우팅 인스턴스에 존재하도록 NAT 풀을 구성할 수 있습니다. 기본 라우팅 인스턴스에 NAT 풀이 존재하는 것을 지정하는 구성 옵션을 사용할 수 있습니다. 결과적으로 NAT 풀은 기본 라우팅 인스턴스의 영역과 다른 라우팅 인스턴스의 영역에서 연결할 수 있습니다.

대상 NAT 규칙 이해

대상 NAT 규칙은 두 가지 일치 조건 계층을 지정합니다.

  • 트래픽 방향 - , 또는 from routing-instance을(를) from zone지정할 from interface수 있습니다.

  • 패킷 정보 - 소스 IP 주소, 대상 IP 주소 또는 서브넷, 대상 포트 번호 또는 포트 범위, 프로토콜 또는 애플리케이션일 수 있습니다.

ALG 트래픽의 경우 옵션이나 application 옵션을 일치하는 조건으로 사용하지 destination-port 않는 것이 좋습니다. 이러한 옵션이 사용되는 경우, 애플리케이션 페이로드의 포트 값이 IP 주소의 포트 값과 일치하지 않을 수 있기 때문에 변환에 실패할 수 있습니다.

일치 조건에서 여러 대상 NAT 규칙이 겹치는 경우 가장 구체적인 규칙이 선택됩니다. 예를 들어, 규칙 A와 B가 동일한 소스 및 대상 IP 주소를 지정하지만 규칙 A가 영역 1의 트래픽을 지정하고 규칙 B가 인터페이스 ge-0/0/0의 트래픽을 지정하는 경우, 규칙 B는 대상 NAT을 수행하는 데 사용됩니다. 인터페이스 일치는 라우팅 인스턴스 일치보다 더 구체적인 영역 일치보다 더 구체적인 것으로 간주됩니다.

대상 NAT 규칙에 대해 지정할 수 있는 작업은 다음과 같습니다.

  • off- 대상 NAT을 수행하지 마십시오.

  • 풀 - 지정된 사용자 정의 주소 풀을 사용하여 대상 NAT을 수행합니다.

대상 NAT 규칙은 플로우 또는 ALG의 빠른 경로에 처리되는 첫 번째 패킷의 트래픽에 적용됩니다. 목적지 NAT 규칙은 정적 NAT 규칙 이후에 처리되지만 소스 NAT 규칙 이전에 처리됩니다.

대상 NAT 구성 개요

대상 NAT의 주요 구성 작업은 다음과 같습니다.

  1. 네트워크 및 보안 요구 사항에 맞춰 대상 NAT 주소 풀을 구성합니다.
  2. 네트워크 및 보안 요구 사항에 맞춰 대상 NAT 규칙을 구성합니다.
  3. 수신 인터페이스의 동일한 서브넷에서 IP 주소에 대한 NAT 프록시 ARP 항목을 구성합니다.

예: 단일 주소 변환을 위한 대상 NAT 구성

이 예에서는 단일 공용 주소의 대상 NAT 매핑을 프라이빗 주소로 구성하는 방법을 설명합니다.

참고:

한 대상 IP 주소를 다른 주소로 매핑하는 것도 정적 NAT로 수행할 수 있습니다. 정적 NAT 매핑을 사용하면 게이트웨이 디바이스의 어느 쪽에서나 연결을 설정할 수 있는 반면 대상 NAT는 한쪽에서만 연결을 설정할 수 있습니다. 그러나 정적 NAT는 한 주소에서 다른 주소로 또는 동일한 크기의 주소 블록 간에만 변환을 허용합니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • SRX 시리즈 디바이스

  • 서버

시작하기 전에 다음을 수행합니다.

개요

대상 NAT는 일반적으로 공개적으로 액세스 가능한 IP 주소를 가진 프라이빗 네트워크에 위치한 서비스를 배포하는 데 사용됩니다. 이를 통해 사용자는 공용 IP 주소와 함께 프라이빗 서비스를 사용할 수 있습니다. 대상 NAT 주소 풀 및 대상 NAT 규칙 구성은 네트워크를 조정하고 보안 요구 사항을 개선하는 데 사용됩니다.

이 예에서 먼저 프라이빗 주소 공간에 대한 트러스트 보안 영역을 구성한 다음 공용 주소 공간에 대한 신뢰할 수 없는 보안 영역을 구성합니다. 그림 1에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.200/32를 통해 트러스트 영역의 서버에 액세스합니다. 대상 IP 주소가 203.0.113.200/32인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우 대상 IP 주소는 프라이빗 주소 192.168.1.200/32로 변환됩니다.

토폴로지

그림 1: 대상 NAT 단일 주소 변환 Destination NAT Single Address Translation

표 1 은 이 예에서 구성된 매개 변수를 보여줍니다.

표 1: 인터페이스, 영역, 서버 및 IP 주소 정보

매개 변수

설명

트러스트 존

프라이빗 주소 공간을 위한 보안 영역입니다.

Untrust Zone

공용 주소 공간을 위한 보안 영역입니다.

192.168.1.200/32

번역된 대상 NAT IP 주소입니다.

192.168.1.0/24

프라이빗 영역의 프라이빗 서브넷.

203.0.113.200/32

서버의 공용 주소입니다.

서버

프라이빗 주소 공간의 서버 주소입니다.

ge-0/0/0 및 ge-1/0/0

트래픽 방향을 위한 NAT 인터페이스.

이 예에서는 다음과 같은 구성을 설명합니다.

  • IP 주소 192.168.1.200/32를 포함하는 대상 NAT 풀 dst-nat-pool-1 입니다.

  • ge-0/0/0.0 인터페이스에서 수신된 패킷을 대상 IP 주소 203.0.113.200/32와 일치하도록 규칙 r1 으로 설정된 rs1 대상 NAT 규칙. 패킷을 일치시키면 대상 주소가 풀의 주소 dst-nat-pool-1 로 변환됩니다.

  • 인터페이스 ge-0/0/0.0에서 주소 203.0.113.200/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스가 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.

  • 신뢰할 수 없는 영역에서 트러스트 영역의 번역된 대상 IP 주소로 트래픽을 허용하는 보안 정책.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

공용 주소에서 프라이빗 주소로 대상 NAT 매핑을 구성하려면 다음을 수행합니다.

  1. 대상 NAT 풀을 생성합니다.

  2. 대상 NAT 규칙 집합을 생성합니다.

  3. 패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.

  4. 프록시 ARP를 구성합니다.

  5. 전역 주소록에 주소를 구성합니다.

  6. 신뢰할 수 없는 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.

결과

구성 모드에서 , show security zonesshow bridge-domains 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

대상 NAT 풀 사용 확인

목적

대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination pool all . 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.

의미

show security nat destination pool all 명령은 번역된 주소 풀을 표시합니다. 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.

대상 NAT 규칙 사용 확인

목적

대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination rule all .

의미

show security nat destination rule all 명령은 대상 NAT 규칙을 표시합니다. 번역 히트 필드를 보고 대상 규칙과 일치하는 트래픽을 확인합니다.

단일 주소 변환을 위한 대상 NAT 확인

목적

단일 주소 변환을 위한 대상 NAT 구성을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination summary .

의미

show security nat destination summary 명령은 대상 NAT 구성에 대한 정보를 표시합니다. 다음 정보를 확인할 수 있습니다.

  • 규칙 세트

  • 규칙

  • 주소 범위

  • NAT 풀

  • 포트 세부 정보

트래픽에 대한 NAT 애플리케이션 확인

목적

NAT가 지정된 트래픽에 적용되고 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security flow session .

의미

show security flow session 명령은 디바이스에 활성 세션과 각 세션의 관련 보안 정책을 표시합니다. 출력은 프라이빗 대상 IP 주소 192.168.1.200으로 변환되는 203.0.113.200에서 공용 호스트로 향하는 디바이스로 들어오는 트래픽을 보여줍니다.

  • Session ID—세션을 식별하는 번호입니다. 이 ID를 사용하여 정책 이름 또는 패킷 수와 같은 세션에 대한 자세한 정보를 얻을 수 있습니다.

  • server-access—신뢰할 수 없는 영역에서 변환된 대상 IP 주소로 트래픽을 허용하는 정책 이름입니다.

  • In-수신 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소, 세션은 ICMP이며, 이 세션의 소스 인터페이스는 ge-0/0/0.0)입니다.

  • Out-역 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소, 세션은 ICMP이며, 이 세션의 대상 인터페이스는 ge-0/0/1.0)입니다.

예: IP 주소 및 포트 변환을 위한 대상 NAT 구성

이 예에서는 포트 번호에 따라 공용 주소의 대상 NAT 매핑을 프라이빗 주소로 구성하는 방법을 설명합니다.

요구 사항

시작하기 전에 다음을 수행합니다.

  1. 디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.

  2. 보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.

개요

이 예에서는 프라이빗 주소 공간에 대한 트러스트 보안 영역과 공용 주소 공간에 대한 신뢰할 수 없는 보안 영역을 사용합니다. 그림 2에서는 포트 80 또는 8000에서 공용 주소 203.0.113.200을 통해 트러스트 영역의 신뢰할 수 없는 영역 액세스 서버의 디바이스를 사용합니다. 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷은 다음과 같이 서버의 프라이빗 주소에 매핑됩니다.

  • 대상 IP 주소 203.0.113.200 및 포트 80은 프라이빗 주소 192.168.1.200 및 포트 80으로 변환됩니다.

  • 대상 IP 주소 203.0.113.200 및 포트 8000은 프라이빗 주소 192.168.1.220 및 포트 8000으로 변환됩니다.

그림 2: 대상 NAT 주소 및 포트 변환 Destination NAT Address and Port Translation

이 예에서는 다음과 같은 구성을 설명합니다.

  • IP 주소 192.168.1.200 포트 80을 포함하는 대상 NAT 풀 dst-nat-pool-1 입니다.

  • IP 주소 192.168.1.220 및 포트 8000을 포함하는 대상 NAT 풀 dst-nat-pool-2 입니다.

  • 신뢰할 수 없는 영역에서 수신된 패킷을 대상 IP 주소 203.0.113.200 및 대상 포트 80과 일치하도록 규칙 r1 으로 설정된 rs1 대상 NAT 규칙. 패킷을 일치시키면 대상 주소가 풀의 주소 dst-nat-pool-1 로 변환됩니다.

  • r2 로 설정된 대상 NAT 규칙은 신뢰할 수 없는 영역에서 수신된 패킷을 대상 IP 주소 203.0.113.200 및 대상 포트 8000과 일치하도록 설정합니다rs1. 패킷과 일치하는 경우 대상 IP 주소와 포트가 풀의 주소와 포트로 dst-nat-pool-2 변환됩니다.

  • 주소 203.0.113.200/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스가 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.

  • 보안 정책은 신뢰할 수 없는 영역에서 트러스트 영역의 변환된 대상 IP 주소로 트래픽을 허용합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

공용 주소에서 프라이빗 주소로 대상 NAT 매핑을 구성하려면 다음을 수행합니다.

  1. 대상 NAT 풀을 생성합니다.

  2. 대상 NAT 규칙 집합을 생성합니다.

  3. 패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.

  4. 패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.

  5. 프록시 ARP를 구성합니다.

  6. 전역 주소록에 주소를 구성합니다.

  7. 신뢰할 수 없는 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.

결과

구성 모드에서 및 show security policies 명령을 입력하여 구성을 show security nat 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

대상 NAT 풀 사용 확인

목적

대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination pool all . 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.

대상 NAT 규칙 사용 확인

목적

대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination rule all . 변환 히트 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.

트래픽에 대한 NAT 애플리케이션 확인

목적

NAT가 지정된 트래픽에 적용되고 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security flow session .

예: 서브넷 변환을 위한 대상 NAT 구성

이 예에서는 공용 서브넷 주소의 대상 NAT 매핑을 프라이빗 서브넷 주소로 구성하는 방법을 설명합니다.

참고:

한 서브넷에서 다른 서브넷으로 주소를 매핑하는 것은 정적 NAT로도 수행할 수 있습니다. 정적 NAT 매핑은 게이트웨이 디바이스의 어느 쪽에서나 연결을 설정할 수 있도록 하는 반면, 대상 NAT는 한 쪽에서만 연결을 설정할 수 있습니다. 그러나 정적 NAT는 동일한 크기의 주소 블록 간에만 변환을 허용합니다.

요구 사항

시작하기 전에 다음을 수행합니다.

  1. 디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.

  2. 보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.

개요

이 예에서는 프라이빗 주소 공간에 대한 트러스트 보안 영역과 공용 주소 공간에 대한 신뢰할 수 없는 보안 영역을 사용합니다. 그림 3에서는 공용 서브넷 주소 203.0.113.0/24를 통해 신뢰할 수 없는 영역의 디바이스가 트러스트 영역의 디바이스에 액세스합니다. 대상 IP 주소가 203.0.113.0/24 서브넷인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우 대상 IP 주소는 192.168.1.0/24 서브넷의 프라이빗 주소로 변환됩니다.

그림 3: 대상 NAT 서브넷 변환 Destination NAT Subnet Translation

이 예에서는 다음과 같은 구성을 설명합니다.

  • IP 주소 192.168.1.0/24를 포함하는 대상 NAT 풀 dst-nat-pool-1 입니다.

  • ge-0/0/0.0 인터페이스에서 수신된 패킷과 203.0.113.0/24 서브넷의 대상 IP 주소와 일치하도록 규칙 r1 으로 설정된 rs1 대상 NAT 규칙. 패킷을 일치시키면 대상 주소가 풀의 주소 dst-nat-pool-1 로 변환됩니다.

  • 인터페이스 ge-0/0/0.0의 주소 203.0.113.1/32~ 203.0.113.62/32 주소에 대한 프록시 ARP; 이는 203.0.113.0/24 서브넷에서 변환해야 하는 호스트의 IP 주소입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스가 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다. 주소 203.0.113.0/24는 인터페이스 자체에 할당되므로 이 주소는 프록시 ARP 구성에 포함되지 않습니다. 203.0.113.1/32 ~ 203.0.113.62/32 범위에 없는 주소는 네트워크에 없을 것으로 예상되며 변환되지 않습니다.

  • 보안 정책은 신뢰할 수 없는 영역에서 트러스트 영역의 변환된 대상 IP 주소로 트래픽을 허용합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

공용 서브넷 주소에서 프라이빗 서브넷 주소로 대상 NAT 매핑을 구성하려면 다음을 수행합니다.

  1. 대상 NAT 풀을 생성합니다.

  2. 대상 NAT 규칙 집합을 생성합니다.

  3. 패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.

  4. 프록시 ARP를 구성합니다.

  5. 전역 주소록에 주소를 구성합니다.

  6. 신뢰할 수 없는 영역에서 트러스트 영역의 디바이스로 트래픽을 허용하는 보안 정책을 구성합니다.

결과

구성 모드에서 및 show security policies 명령을 입력하여 구성을 show security nat 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

대상 NAT 풀 사용 확인

목적

대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination pool all . 풀에서 IP 주소를 사용하여 트래픽을 확인하려면 변환 히트 필드를 봅니다.

대상 NAT 규칙 사용 확인

목적

대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security nat destination rule all . 변환 히트 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.

트래픽에 대한 NAT 애플리케이션 확인

목적

NAT가 지정된 트래픽에 적용되고 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security flow session .

대상 NAT 정보 모니터링

목적

목적지 네트워크 주소 변환(NAT) 요약 테이블과 지정된 NAT 대상 주소 풀 정보의 세부 정보를 봅니다.

작업

J-Web 사용자 인터페이스에서 Monitor>NAT> 대상 NAT 를 선택하거나 다음 CLI 명령을 입력합니다.

  • show security nat destination summary

  • show security nat destination pool pool-name

표 2 에는 대상 NAT 디스플레이의 주요 출력 필드가 요약되어 있습니다.

표 2: 주요 대상 NAT 출력 필드 요약

필드

작업

규칙

규칙 세트 이름

규칙 세트의 이름입니다.

목록에서 표시할 모든 규칙 세트 또는 특정 규칙 집합을 선택합니다.

총 규칙

구성된 규칙 수입니다.

자료

규칙 ID 번호입니다.

이름

규칙 이름 .

규칙 이름

규칙 세트의 이름입니다.

보낸 사람

패킷이 흐르는 라우팅 인스턴스/영역/인터페이스 이름입니다.

소스 주소 범위

소스 풀의 소스 IP 주소 범위입니다.

대상 주소 범위

소스 풀의 대상 IP 주소 범위입니다.

대상 포트

대상 풀의 대상 포트입니다.

IP 프로토콜

IP 프로토콜.

작업

규칙과 일치하는 패킷에 대해 수행된 작업.

알람 임계 값

활용 알람 임계값.

세션(Succ/Failed/Current)

성공, 실패, 현재 세션.

  • Succ– NAT 규칙이 일치한 후 성공적인 세션 설치 수.

  • 실패– NAT 규칙이 일치한 후 실패한 세션 설치 수.

  • 현재–지정된 규칙을 참조하는 세션 수입니다.

번역 히트

대상 네트워크 변환(NAT) 규칙에 사용되는 변환 테이블의 변환 횟수.

풀 이름

풀 이름입니다.

목록에서 표시할 모든 풀 또는 특정 풀을 선택합니다.

총 풀

총 풀이 추가되었습니다.

자료

풀 ID입니다.

이름

대상 풀 이름입니다.

주소 범위

대상 풀의 IP 주소 범위입니다.

포트

풀의 대상 포트 번호입니다.

라우팅 인스턴스

라우팅 인스턴스의 이름입니다.

총 주소

총 IP 주소, IP 주소 세트 또는 주소록 항목입니다.

번역 히트

대상 NAT에 번역 테이블이 사용된 변환 횟수.

상위 10개 번역 히트

그래프

상위 10개 번역 히트 그래프를 표시합니다.