Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

NAT 개요

네트워크 주소 변환(NAT)은 패킷이 인터넷으로 전송될 때 컴퓨터 또는 컴퓨터 그룹의 IP 주소를 단일 공용 주소로 변환하는 메커니즘입니다. IP 주소를 변환하면 하나의 IP 주소만 외부 네트워크에 공개됩니다. 외부 환경에서 볼 수 있는 IP 주소는 하나뿐이므로 NAT는 추가 보안을 제공하며 여러 IP 주소를 갖는 대신 전체 네트워크에 대해 하나의 공용 주소만 가질 수 있습니다.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오. 추가 플랫폼이 지원될 수 있습니다.

네트워크 주소 변환(NAT) 소개

네트워크 주소 변환(NAT)은 패킷 헤더의 네트워크 주소 정보를 수정하거나 변환하는 방법입니다. 패킷의 소스 및 대상 주소 중 하나 또는 둘 다 변환될 수 있습니다. 네트워크 주소 변환(NAT)에는 IP 주소뿐만 아니라 포트 번호의 변환도 포함될 수 있습니다.

NAT는 IP(버전 4) 주소 고갈 문제를 해결하기 위해 RFC 1631에 설명되어 있습니다. 그 이후로 NAT는 방화벽, 트래픽 리디렉션, 로드 공유, 네트워크 마이그레이션 등에 유용한 도구로 밝혀졌습니다.

주니퍼 네트웍스 디바이스에서 지원되는 NAT 유형은 다음과 같습니다.

  • 정적 NAT

  • 대상 NAT

  • 소스 NAT

SRX 시리즈 방화벽은 변환된 대상 포트를 기반으로 정책 조회와 서비스 조회를 모두 수행합니다.

네트워크 주소 변환(NAT) 마법사를 사용하여 기본 네트워크 주소 변환(NAT) 구성을 수행할 수 있습니다. 보다 고급 구성을 수행하려면 J-Web 인터페이스 또는 CLI를 사용하십시오.

또한보십시오

네트워크 주소 변환(NAT) 규칙 집합 및 규칙 이해

네트워크 주소 변환(NAT) 처리는 네트워크 주소 변환(NAT) 규칙 집합 및 규칙의 평가를 중심으로 합니다. 규칙 세트는 처리할 트래픽의 전반적인 방향을 결정합니다. 예를 들어, 규칙 세트는 특정 인터페이스 또는 특정 영역으로의 트래픽을 선택할 수 있습니다. 규칙 세트에는 여러 규칙이 포함될 수 있습니다. 특정 트래픽과 일치하는 규칙 집합이 발견되면 규칙 집합의 각 규칙이 일치하는지 평가합니다. 규칙 집합의 각 규칙은 일치할 트래픽과 트래픽이 규칙과 일치할 때 수행할 작업을 추가로 지정합니다.

이 주제는 다음 섹션을 포함합니다.

NAT 규칙 세트

규칙 세트는 트래픽에 대한 일반적인 일치 조건 집합을 지정합니다. 정적 네트워크 주소 변환(NAT) 및 대상 네트워크 주소 변환(NAT)의 경우, 규칙 세트는 다음 중 하나를 지정합니다.

  • 소스 인터페이스

  • 소스 영역

  • 소스 라우팅 인스턴스

소스 NAT 규칙 세트의 경우 소스 및 대상 조건을 모두 구성합니다.

  • 소스 인터페이스, 영역 또는 라우팅 인스턴스

  • 대상 인터페이스, 영역 또는 라우팅 인스턴스

패킷이 둘 이상의 규칙 세트와 일치할 수 있습니다. 이 경우, 보다 구체적인 일치 항목이 있는 규칙 세트가 사용됩니다. 인터페이스 일치는 라우팅 인스턴스 일치보다 더 구체적인 영역 일치보다 더 구체적인 것으로 간주됩니다. 패킷이 소스 영역을 지정하는 대상 NAT 규칙 세트와 소스 인터페이스를 지정하는 대상 NAT 규칙 세트와 모두 일치하는 경우 소스 인터페이스를 지정하는 규칙 세트가 더 구체적으로 일치합니다.

소스 NAT 규칙 세트 일치는 소스 NAT 규칙 세트에서 소스 및 대상 조건을 모두 지정하기 때문에 더 복잡합니다. 패킷이 둘 이상의 소스 NAT 규칙 세트와 일치하는 경우, 선택한 규칙 세트는 다음 소스/대상 조건(우선 순위)을 기반으로 합니다.

  1. 소스 인터페이스/대상 인터페이스

  2. 소스 영역/대상 인터페이스

  3. 소스 라우팅 인스턴스/대상 인터페이스

  4. 소스 인터페이스/대상 영역

  5. 소스 영역/대상 영역

  6. 소스 라우팅 인스턴스/대상 영역

  7. 소스 인터페이스/대상 라우팅 인스턴스

  8. 소스 영역/대상 라우팅 인스턴스

  9. 소스 라우팅 인스턴스/대상 라우팅 인스턴스

예를 들어, 소스 인터페이스와 대상 영역을 지정하는 규칙 세트 A와 소스 영역과 대상 인터페이스를 지정하는 규칙 세트 B를 구성할 수 있습니다. 패킷이 두 규칙 세트와 일치하는 경우 규칙 세트 B가 더 구체적인 일치입니다.

소스 네트워크 주소 변환(NAT) 규칙 세트에 대해 동일한 소스 및 대상 조건을 지정할 수 없습니다.

NAT 규칙

트래픽과 일치하는 규칙 세트가 발견되면 일치를 위해 규칙 세트의 각 규칙이 평가됩니다. 네트워크 주소 변환(NAT) 규칙은 다음 패킷 정보와 일치할 수 있습니다.

  • 소스 및 대상 주소

  • 소스 포트(소스 및 정적 NAT만 해당)

  • 목적지 포트

트래픽과 일치하는 규칙 세트의 첫 번째 규칙이 사용됩니다. 세션 설정 시 패킷이 규칙 세트의 규칙과 일치하는 경우, 트래픽은 해당 규칙에 지정된 작업에 따라 처리됩니다.

특정 규칙에 대한 세션 수를 보기 위해 show security nat source ruleshow security nat destination ruleshow security nat static rule 명령을 사용할 수 있습니다.

규칙 처리

네트워크 주소 변환(NAT) 유형은 네트워크 주소 변환(NAT) 규칙이 처리되는 순서를 결정합니다. 플로우에 대한 첫 번째 패킷 처리 중에 네트워크 주소 변환(NAT) 규칙은 다음 순서로 적용됩니다.

  1. 정적 NAT 규칙

  2. 대상 NAT 규칙

  3. 경로 조회

  4. 보안 정책 조회

  5. 정적 NAT 규칙의 역방향 매핑

  6. 소스 NAT 규칙

그림 1 은 네트워크 주소 변환(NAT) 규칙 처리 순서를 보여줍니다.

그림 1: 네트워크 주소 변환(NAT) 규칙 처리 Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet.

정적 NAT 및 대상 NAT 규칙은 경로 및 보안 정책 조회 전에 처리됩니다. 정적 NAT 규칙은 대상 NAT 규칙보다 우선합니다. 정적 네트워크 주소 변환(NAT) 규칙의 역방향 매핑은 경로 및 보안 정책 조회 후에 수행되며 소스 NAT 규칙보다 우선합니다. 소스 NAT 규칙은 경로 및 보안 정책 조회 후와 정적 NAT 규칙의 역방향 매핑 후에 처리됩니다.

규칙 및 규칙 세트의 구성은 기본적으로 각 NAT 유형(소스, 대상 또는 정적)에 대해 동일합니다. 그러나 경로 조회 전에 대상 및 정적 NAT가 모두 처리되기 때문에 규칙 세트에서 대상 영역, 인터페이스 또는 라우팅 인스턴스를 지정할 수 없습니다.

NAT 규칙 용량

네트워크 주소 변환(NAT) 규칙 용량 요구 사항은 SRX 시리즈 방화벽 및 Junos OS 릴리스에 따라 다릅니다.

규칙 집합당 규칙 수에 대한 제한은 디바이스가 지원할 수 있는 규칙 수에 대한 디바이스 전체의 제한입니다. 이 제한은 디바이스에 대한 NAT 규칙을 더 잘 계획하고 구성하는 데 도움이 되도록 제공됩니다.

메모리 사용량의 경우, 이러한 숫자(최대 소스 규칙 또는 규칙 세트 + 최대 대상 규칙 또는 규칙 세트 + 최대 정적 규칙 또는 규칙 세트)를 지원한다는 보장은 없습니다.

네트워크 주소 변환(NAT) 규칙 용량 요구 사항은 SRX 시리즈 방화벽 및 Junos OS 릴리스에 따라 다릅니다.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오. 추가 플랫폼도 지원될 수 있습니다.

자세한 정보는 추가 플랫폼 정보 섹션을 참조하십시오.

추가 플랫폼 정보

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오. 추가 플랫폼도 지원될 수 있습니다.

NAT 규칙 유형

SRX300, SRX320

SRX340, SRX345

SRX1500SRX1600

SRX2300, SRX4120 SRX4100SRX4200

SRX4600, SRX5400, SRX5600, SRX5800

SRX4700

소스 NAT 규칙

1024

2048

8192

20,480

30,720

51200

대상 NAT 규칙

1024

2048

8192

20,480

30,720

51200

정적 NAT 규칙

1024

2048

8192

20,480

30,720

51200

객체

SRX1600SRX2300, SRX4120

SRX4600, SRX5400, SRX5600, SRX5800

SRX4700

시스템당 총 NAT 규칙 세트

10,000

30,720

51200

규칙 집합당 총 NAT 규칙

10,000

30,720

51200
플랫폼 OL에서 지원되는 IP 수
vSRX 소형 VSRX-2CPU-4G 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000 라인 디바이스 128

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
19.3R1
Junos OS 릴리스 19.3R1부터 SRX5K-SPC3 카드가 장착된 SRX5000 라인 디바이스, SRX4100, SRX4200 및 vSRX 가상 방화벽 인스턴스는 PowerMode IPsec(PMI) 모드에서 IPv4 및 IPv6 트래픽 모두에 대해 소스 NAT, 대상 NAT 및 정적 NAT와 같은 NAT 기능을 지원합니다. NAT64는 PMI 모드에서 지원되지 않습니다. 그러나 NAT64는 PMI가 활성화되면 정상 모드에서 제대로 작동합니다.