멀티캐스트 플로우를 위한 NAT
멀티캐스트 그룹 주소 변환을 구현하기 위해 정적 NAT 또는 대상 NAT가 사용됩니다. NAT의 도움으로 IPv4의 소스 주소는 IPv4 멀티캐스트 그룹 대상 주소로 변환됩니다.
멀티캐스트 플로우에 대한 NAT 이해
NAT(네트워크 주소 변환)는 IPv4 멀티캐스트 플로우의 소스 주소를 변환하고 IPv4 멀티캐스트 그룹 대상 주소를 변환하는 데 사용할 수 있습니다.
정적 NAT 또는 대상 NAT를 사용하여 멀티캐스트 그룹 주소 변환을 수행할 수 있습니다. 정적 네트워크 주소 변환(NAT)을 사용하면 네트워크의 어느 쪽에서든 연결을 시작할 수 있지만 변환은 일대일 주소 또는 동일한 크기의 주소 블록 간으로 제한됩니다. 주소 풀이 필요하지 않습니다. [edit security nat] 계층 수준의 구성 문을 사용하여 static 멀티캐스트 트래픽에 대한 정적 네트워크 주소 변환(NAT) 규칙 세트를 구성합니다. 대상 NAT를 사용하면 들어오는 네트워크 연결(예: 인터넷에서 사설 네트워크로)에 대해서만 연결을 시작할 수 있습니다. [edit security nat] 계층 수준의 구성 문을 사용하여 destination 대상 NAT 풀 및 규칙 세트를 구성합니다.
멀티캐스트 트래픽에 대한 소스 NAT는 IP 주소 이동을 사용하여 원래 소스 IP 주소를 사용자 정의 주소 풀의 IP 주소로 변환해야만 지원됩니다. 이러한 유형의 변환은 일대일, 정적이며 포트 주소 변환이 없습니다. 원래 소스 IP 주소 범위가 사용자 정의 풀의 IP 주소 범위보다 크면 변환되지 않은 패킷은 삭제됩니다. 매핑은 정적 NAT가 제공하는 양방향 매핑을 제공하지 않습니다. [edit security nat] 계층 수준의 구성 문을 사용하여 source 소스 NAT 풀 및 규칙 세트를 구성합니다. 이 유형의 소스 NAT에 대한 소스 NAT 풀을 정의할 때 옵션을 사용하여 host-address-base 원래 소스 IP 주소 범위의 시작을 지정합니다.
또한보십시오
예: 멀티캐스트 플로우를 위한 네트워크 주소 변환(NAT) 구성
이 예는 멀티캐스트 플로우의 주소 변환을 위해 주니퍼 네트웍스 디바이스를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
-
멀티캐스트 포워딩을 위해 디바이스를 구성합니다. 멀티캐스트 개요를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 신뢰 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다. 그림 1 은 멀티캐스트 포워딩을 위한 주니퍼 네트웍스 디바이스의 일반적인 구축을 보여줍니다. 소스 라우터 R1은 소스 주소가 203.0.113.100에서 203.0.113.110 사이이고 그룹 주소가 233.252.0.1/32인 멀티캐스트 패킷을 주니퍼 네트웍스 디바이스로 보냅니다. 소스 라우터 R1은 주니퍼 네트웍스 디바이스의 프라이빗 네트워크(신뢰 영역) 업스트림에 있습니다. 디바이스의 공용 네트워크(신뢰할 수 없는 영역) 다운스트림에 여러 수신기가 있습니다.
주니퍼 네트웍스 디바이스는 R1에서 들어오는 멀티캐스트 패킷을 다운스트림 인터페이스로 전달하기 전에 변환합니다. 다음과 같은 번역이 적용됩니다.
R2에 대한 인터페이스의 경우, 소스 주소는 변환되지 않고 그룹 주소는 233.252.0.2/32로 변환됩니다.
R3에 대한 인터페이스의 경우, 소스 주소는 198.51.100.200에서 198.51.100.210 범위의 주소로 변환되고 그룹 주소는 233.252.0.2/32로 변환됩니다.
R4에 대한 인터페이스의 경우, 소스 주소는 10.10.10.100에서 10.10.10.110 범위의 주소로 변환되고 그룹 주소는 233.252.0.2/32로 변환됩니다.
에 대한 NAT 변환
이 예에서는 다음 구성을 설명합니다.
IP 주소 233.252.0.2/32를 포함하는 대상 NAT 풀
dst-nat-pool입니다.인터페이스 xe-2/0/1.0에 도착하는 패킷을 대상 IP 주소 233.252.0.1/32와 일치시키는 규칙
r1으로 설정된rs1대상 NAT 규칙입니다. 패킷이 일치하는 경우, 대상 주소는 풀의 IP 주소로 변환됩니다.dst-nat-poolIP 주소 범위 198.51.100.200/32에서 198.51.100.210/32까지 포함하는 소스 NAT 풀
src-nat-shift-1입니다. 이 풀의 경우 원래 소스 IP 주소 범위의 시작 부분은 203.0.113.100/32이며 옵션으로 지정됩니다.host-address-base신뢰할 수 있는 영역에서 인터페이스 xe-1/0/1.0으로 패킷을 203.0.113.96/28 서브넷의 소스 IP 주소로 일치시키는 규칙
r1이 포함된 소스 NAT 규칙 집합rs-shift1입니다. 구성으로src-nat-shift-1지정된 소스 IP 주소 범위에 속하는 일치하는 패킷의 경우, 소스 주소는 풀의 IP 주소로 변환됩니다.src-nat-shift-1IP 주소 범위 10.10.10.100/32에서 10.10.10.110/32까지 포함하는 소스 네트워크 주소 변환(NAT) 풀
src-nat-shift-2입니다. 이 풀의 경우 원래 소스 IP 주소 범위의 시작 부분은 203.0.113.100/32이며 옵션으로 지정됩니다.host-address-base트러스트 영역의 패킷을 인터페이스 xe-2/0/0.0과 203.0.113.96/28 서브넷의 소스 IP 주소로 일치시키는 규칙
r1이 포함된 소스 NAT 규칙 세트rs-shift2. 구성으로src-nat-shift-2지정된 소스 IP 주소 범위에 속하는 일치하는 패킷의 경우, 소스 주소는 풀의 IP 주소로 변환됩니다.src-nat-shift-2인터페이스 xe-1/0/0.0에서 주소 203.0.113.100에서 203.0.113.110, 인터페이스 xe-1/0/1.0에서 주소 198.51.100.200에서 198.51.100.210, 인터페이스 xe-2/0/0.0에서 주소 10.10.10.10.100에 대한 프록시 ARP입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
신뢰할 수 있는 영역에서 신뢰할 수 없는 영역으로 트래픽을 허용하는 보안 정책입니다.
신뢰할 수 없는 영역에서 신뢰할 수 있는 영역의 변환된 대상 IP 주소로 트래픽을 허용하는 보안 정책입니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
멀티캐스트 플로우에 대한 대상 및 소스 NAT 변환을 구성하려면 다음을 수행합니다.
대상 NAT 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
대상 NAT 규칙 세트를 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
패킷을 일치시키고 대상 주소를 대상 NAT 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
소스 NAT 풀을 만듭니다.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
원래 소스 IP 주소 범위의 시작을 지정합니다.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
패킷을 일치시키고 대상 주소를 소스 NAT 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
소스 NAT 풀을 만듭니다.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
원래 소스 IP 주소 범위의 시작을 지정합니다.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
패킷을 일치시키고 대상 주소를 소스 NAT 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
언트러스트(untrust) 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
결과
구성 모드에서 and show security policies 명령을 입력 show security nat 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
대상 NAT 풀 사용량 확인
목적
대상 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat destination pool all 변환 적중 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat destination rule all Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
소스 NAT 풀 사용량 확인
목적
소스 NAT 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat source pool all 변환 적중 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
소스 NAT 규칙 사용 확인
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat source rule all Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.