멀티캐스트 플로우용 NAT
멀티캐스트 그룹 주소 변환을 구현하기 위해 정적 네트워크 주소 변환(NAT) 또는 대상 네트워크 주소 변환(NAT) 중 하나가 사용됩니다. NAT의 도움으로 IPv4의 소스 주소는 IPv4 멀티캐스트 그룹 대상 주소로 변환됩니다.
멀티캐스트 플로우에 대한 NAT 이해하기
NAT(네트워크 주소 변환)를 사용하여 IPv4 멀티캐스트 플로우의 소스 주소를 변환하고 IPv4 멀티캐스트 그룹 대상 주소를 변환할 수 있습니다.
정적 네트워크 주소 변환(NAT) 또는 대상 네트워크 주소 변환(NAT)을 사용하여 멀티캐스트 그룹 주소 변환을 수행할 수 있습니다. 정적 NAT를 사용하면 네트워크의 어느 쪽에서든 연결을 시작할 수 있지만 변환은 일대일 주소 또는 동일한 크기의 주소 블록 간으로 제한됩니다. 주소 풀이 필요하지 않습니다. static[edit security nat] 계층 수준의 구성 문을 사용하여 멀티캐스트 트래픽에 대한 정적 네트워크 주소 변환(NAT) 규칙 세트를 구성합니다. 대상 NAT를 사용하면 들어오는 네트워크 연결(예: 인터넷에서 개인 네트워크로)에 대해서만 연결을 시작할 수 있습니다. destination[edit security nat] 계층 수준의 구성 문을 사용하여 대상 NAT 풀 및 규칙 세트를 구성합니다.
멀티캐스트 트래픽에 대한 소스 NAT는 IP 주소 이동을 사용하여 원래 소스 IP 주소를 사용자 정의 주소 풀의 IP 주소로 변환하는 경우에만 지원됩니다. 이러한 유형의 변환은 일대일, 정적이며 포트 주소 변환이 없습니다. 원래 소스 IP 주소 범위가 사용자 정의 풀의 IP 주소 범위보다 크면 변환되지 않은 패킷이 삭제됩니다. 매핑은 정적 네트워크 주소 변환(NAT)이 제공하는 양방향 매핑을 제공하지 않습니다. source [edit security nat] 계층 수준의 구성 문을 사용하여 소스 네트워크 주소 변환(NAT) 풀 및 규칙 세트를 구성합니다. 이 유형의 소스 NAT에 대한 소스 네트워크 주소 변환(NAT) 풀을 host-address-base 정의할 때 옵션을 사용하여 원래 소스 IP 주소 범위의 시작을 지정합니다.
참조
예: 멀티캐스트 플로우에 대한 네트워크 주소 변환(NAT) 구성
이 예는 멀티캐스트 플로우의 주소 변환을 위해 주니퍼 네트웍스 디바이스를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
-
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
-
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
-
멀티캐스트 전달을 위한 디바이스를 구성합니다. 멀티캐스트 개요를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 트러스트 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다. 그림 1 은 멀티캐스트 포워딩을 위한 주니퍼 네트웍스 디바이스의 일반적인 구축을 보여줍니다. 소스 라우터 R1은 203.0.113.100에서 203.0.113.110 사이의 소스 주소와 233.252.0.1/32 범위의 소스 주소를 가진 멀티캐스트 패킷을 주니퍼 네트웍스 디바이스로 보냅니다. 소스 라우터 R1은 주니퍼 네트웍스 디바이스 업스트림의 프라이빗 네트워크(신뢰 영역)에 있습니다. 디바이스의 퍼블릭 네트워크(신뢰할 수 없는 영역) 다운스트림에 여러 수신기가 있습니다.
주니퍼 네트웍스 디바이스는 다운스트림 인터페이스로 전달하기 전에 R1에서 수신되는 멀티캐스트 패킷을 변환합니다. 다음 번역이 적용됩니다.
-
R2에 대한 인터페이스의 경우 소스 주소는 변환되지 않고 그룹 주소는 233.252.0.2/32로 변환됩니다.
-
R3에 대한 인터페이스의 경우, 소스 주소는 198.51.100.200에서 198.51.100.210 사이의 주소로 변환되고 그룹 주소는 233.252.0.2/32로 변환됩니다.
-
R4에 대한 인터페이스의 경우, 소스 주소는 10.10.10.100에서 10.10.10.110 범위의 주소로 변환되고 그룹 주소는 233.252.0.2/32로 변환됩니다.
에 대한 NAT 변환
이 예제에서는 다음 구성을 설명합니다.
-
IP 주소 233.252.0.2/32를 포함하는 대상 NAT 풀
dst-nat-pool입니다. -
인터페이스 xe-2/0/1.0에 도착하는 패킷을 대상 IP 주소 233.252.0.1/32와 일치시키는 규칙
r1으로 설정된rs1대상 NAT 규칙입니다. 패킷 일치를 위해 대상 주소가 풀의dst-nat-poolIP 주소로 변환됩니다. -
198.51.100.200/32부터 198.51.100.210/32까지의 IP 주소 범위를 포함하는 소스 NAT 풀
src-nat-shift-1입니다. 이 풀의 경우 원래 소스 IP 주소 범위의 시작은 203.0.113.100/32이며 옵션으로host-address-base지정됩니다. -
트러스트 존의 패킷을 203.0.113.96/28 서브넷의 소스 IP 주소와 인터페이스 xe-1/0/1.0과 일치시키는 규칙
r1으로 설정된rs-shift1소스 NAT 규칙입니다. 구성에 의해 지정된 소스 IP 주소 범위 내에 속하는 패킷을src-nat-shift-1일치시키기 위해 소스 주소가 풀의 IP 주소로 변환됩니다src-nat-shift-1. -
IP 주소 범위 10.10.10.100/32에서 10.10.10.110/32를 포함하는 소스 NAT 풀
src-nat-shift-2입니다. 이 풀의 경우 원래 소스 IP 주소 범위의 시작은 203.0.113.100/32이며 옵션으로host-address-base지정됩니다. -
트러스트 존의 패킷을 203.0.113.96/28 서브넷의 소스 IP 주소와 인터페이스 xe-2/0/0.0과 일치시키는 규칙
r1으로 설정된rs-shift2소스 NAT 규칙입니다. 구성에 의해 지정된 소스 IP 주소 범위 내에 속하는 패킷을src-nat-shift-2일치시키기 위해 소스 주소가 풀의 IP 주소로 변환됩니다src-nat-shift-2. -
인터페이스 xe-1/0/0.0의 주소 203.0.113.100부터 203.0.113.110, 인터페이스 xe-1/0/1.0의 주소 198.51.100.200부터 198.51.100.210, 인터페이스 xe-2/0/0.0의 주소 10.10.10.100부터 10.10.10.110에 대한 프록시 ARP입니다. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
-
트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책.
-
언트러스트(untrust) 영역에서 트러스트 영역의 번역된 대상 IP 주소로 트래픽을 허용하는 보안 정책.
위상수학
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32
set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32
set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32
set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32
set security nat source rule-set rs-shift1 from zone trust
set security nat source rule-set rs-shift1 to interface xe-1/0/1.0
set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
set security nat source rule-set rs-shift2 from zone trust
set security nat source rule-set rs-shift2 to interface xe-2/0/0.0
set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
set security nat destination pool dst-nat-pool address 233.252.0.2/32
set security nat destination rule-set rs1 from interface xe-2/0/1.0
set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32
set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32
set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32
set security policies from-zone trust to-zone untrust policy internet-access match source-address any
set security policies from-zone trust to-zone untrust policy internet-access match destination-address any
set security policies from-zone trust to-zone untrust policy internet-access match application any
set security policies from-zone trust to-zone untrust policy internet-access then permit
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
멀티캐스트 플로우에 대한 대상 및 소스 NAT 변환을 구성하려면 다음을 수행합니다.
-
대상 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32 -
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0 -
패킷을 일치시키고 대상 주소를 대상 NAT 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool -
소스 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210 -
원래 소스 IP 주소 범위의 시작을 지정합니다.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100 -
소스 NAT 규칙 집합을 생성합니다.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0 -
패킷을 일치시키고 대상 주소를 소스 네트워크 주소 변환(NAT) 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 -
소스 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110 -
원래 소스 IP 주소 범위의 시작을 지정합니다.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32 -
소스 NAT 규칙 집합을 생성합니다.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0 -
패킷을 일치시키고 대상 주소를 소스 네트워크 주소 변환(NAT) 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 -
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110 -
트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit -
언트러스트(untrust) 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
- 대상 네트워크 주소 변환(NAT) 풀 사용 확인
- 대상 NAT 규칙 사용 확인
- 소스 네트워크 주소 변환(NAT) 풀 사용 확인
- 소스 네트워크 주소 변환(NAT) 규칙 사용 확인
- NAT 애플리케이션-트래픽 검증
대상 네트워크 주소 변환(NAT) 풀 사용 확인
목적
대상 네트워크 주소 변환(NAT) 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination pool all . 번역 히트 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination rule all . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
소스 네트워크 주소 변환(NAT) 풀 사용 확인
목적
소스 네트워크 주소 변환(NAT) 풀의 IP 주소를 사용하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat source pool all . 번역 히트 필드를 보고 풀의 IP 주소를 사용하는 트래픽을 확인합니다.
소스 네트워크 주소 변환(NAT) 규칙 사용 확인
목적
소스 네트워크 주소 변환(NAT) 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat source rule all . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.