이 페이지의 내용
NAT 개요
NAT(네트워크 주소 변환)는 패킷이 인터넷으로 전송될 때 컴퓨터 또는 컴퓨터 그룹의 IP 주소를 단일 공용 주소로 변환하는 메커니즘입니다. IP 주소를 변환하면 하나의 IP 주소만 외부 네트워크에 공개됩니다. 외부 세계에서는 하나의 IP 주소만 볼 수 있으므로 NAT는 추가 보안을 제공하며 전체 네트워크에 대해 여러 IP 주소 대신 하나의 공용 주소만 가질 수 있습니다.
NAT 소개
NAT(네트워크 주소 변환)는 패킷 헤더의 네트워크 주소 정보를 수정하거나 변환하는 방법입니다. 패킷의 소스 및 목적지 주소 중 하나 또는 둘 다 변환될 수 있습니다. NAT에는 포트 번호와 IP 주소의 변환이 포함될 수 있습니다.
NAT는 RFC 1631에 설명되어 IP(버전 4) 주소 고갈 문제를 해결합니다. 그 이후로 NAT는 방화벽, 트래픽 리디렉션, 로드 공유, 네트워크 마이그레이션 등에 유용한 도구로 밝혀졌습니다.
주니퍼 네트웍스 디바이스에서 지원되는 네트워크 주소 변환(NAT) 유형은 다음과 같습니다.
정적 네트워크 주소 변환(NAT)
대상 NAT
소스 NAT
SRX 시리즈 방화벽은 변환된 대상 포트를 기반으로 정책 조회 및 서비스 조회를 모두 수행합니다.
NAT 마법사를 사용하여 기본 NAT 구성을 수행할 수 있습니다. 보다 고급 구성을 수행하려면 J-Web 인터페이스 또는 CLI를 사용하십시오.
Junos OS 릴리스 19.3R1부터 SRX5K-SPC3 카드, SRX4100, SRX4200 및 vSRX 가상 방화벽 인스턴스가 있는 SRX5000 라인 디바이스는 PMI(PowerMode IPsec) 모드에서 IPv4 및 IPv6 트래픽 모두에 대해 소스 NAT, 대상 NAT 및 정적 NAT와 같은 NAT 기능을 지원합니다. NAT64는 PMI 모드에서 지원되지 않습니다. 그러나 NAT64는 PMI가 활성화되면 정상 모드에서 제대로 작동합니다.
또한보십시오
NAT 규칙 집합 및 규칙 이해
NAT 처리는 NAT 규칙 집합 및 규칙의 평가에 중점을 둡니다. 규칙 집합은 처리할 트래픽의 전체 방향을 결정합니다. 예를 들어 규칙 집합은 특정 인터페이스 또는 특정 영역에 대한 트래픽을 선택할 수 있습니다. 규칙 집합에는 여러 규칙이 포함될 수 있습니다. 특정 트래픽과 일치하는 규칙 집합이 발견되면 규칙 집합의 각 규칙이 일치하는지 평가됩니다. 규칙 집합의 각 규칙은 일치시킬 트래픽과 트래픽이 규칙과 일치할 때 수행할 작업을 추가로 지정합니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
NAT 규칙 집합
규칙 집합은 트래픽에 대한 일반적인 일치 조건 집합을 지정합니다. 정적 네트워크 주소 변환(NAT) 및 대상 네트워크 주소 변환(NAT)의 경우, 규칙 집합은 다음 중 하나를 지정합니다.
소스 인터페이스
소스 영역
소스 라우팅 인스턴스
소스 NAT 규칙 세트의 경우 소스 및 대상 조건을 모두 구성합니다.
소스 인터페이스, 영역 또는 라우팅 인스턴스
대상 인터페이스, 영역 또는 라우팅 인스턴스
패킷이 둘 이상의 규칙 집합과 일치할 수 있습니다. 이 경우 더 구체적인 일치 항목이 있는 규칙 집합이 사용됩니다. 인터페이스 일치는 영역 일치보다 더 구체적인 것으로 간주되며, 이는 라우팅 인스턴스 일치보다 더 구체적입니다. 패킷이 소스 영역을 지정하는 대상 NAT 규칙 세트와 소스 인터페이스를 지정하는 대상 NAT 규칙 세트와 일치하는 경우, 소스 인터페이스를 지정하는 규칙 세트가 더 구체적으로 일치합니다.
소스 NAT 규칙 세트에서 소스 및 대상 조건을 모두 지정하기 때문에 소스 NAT 규칙 세트 일치가 더 복잡합니다. 패킷이 두 개 이상의 소스 NAT 규칙 세트와 일치하는 경우, 선택된 규칙 세트는 다음 소스/대상 조건(우선 순위 순서)을 기반으로 합니다.
소스 인터페이스/대상 인터페이스
소스 영역/대상 인터페이스
소스 라우팅 인스턴스/대상 인터페이스
소스 인터페이스/대상 영역
원본 영역/대상 영역
소스 라우팅 인스턴스/대상 영역
소스 인터페이스/대상 라우팅 인스턴스
원본 영역/대상 라우팅 인스턴스
원본 라우팅 인스턴스/대상 라우팅 인스턴스
예를 들어, 소스 인터페이스와 대상 인터페이스를 지정하는 규칙 세트 A와 소스 영역과 대상 인터페이스를 지정하는 규칙 세트 B를 구성할 수 있습니다. 패킷이 두 규칙 집합과 모두 일치하는 경우 규칙 집합 B가 더 구체적으로 일치합니다.
소스 NAT 규칙 집합에 대해 동일한 소스 및 대상 조건을 지정할 수 없습니다.
NAT 규칙
트래픽과 일치하는 규칙 집합이 발견되면 규칙 집합의 각 규칙이 일치 순서대로 평가됩니다. NAT 규칙은 다음 패킷 정보에서 일치할 수 있습니다.
원본 및 대상 주소
소스 포트(소스 및 정적 NAT만 해당)
목적지 포트
트래픽과 일치하는 규칙 집합의 첫 번째 규칙이 사용됩니다. 패킷이 세션 설정 중에 규칙 집합의 규칙과 일치하면 트래픽은 해당 규칙에 지정된 작업에 따라 처리됩니다.
show security nat source rule, show security nat destination rule 및 show security nat static rule 명령을 사용하여 특정 규칙의 세션 수를 볼 수 있습니다.
규칙 처리
NAT 유형에 따라 NAT 규칙이 처리되는 순서가 결정됩니다. 플로우에 대한 첫 번째 패킷 처리 중에 NAT 규칙은 다음 순서로 적용됩니다.
정적 NAT 규칙
대상 NAT 규칙
경로 조회
보안 정책 조회
정적 NAT 규칙의 역방향 매핑
소스 NAT 규칙
그림 1 은 NAT 규칙 처리 순서를 보여줍니다.
정적 네트워크 주소 변환(NAT) 및 대상 네트워크 주소 변환(NAT) 규칙은 경로 및 보안 정책을 조회하기 전에 처리됩니다. 정적 네트워크 주소 변환(NAT) 규칙은 대상 네트워크 주소 변환(NAT) 규칙보다 우선합니다. 정적 NAT 규칙의 역방향 매핑은 경로 및 보안 정책 조회 후에 수행되며 소스 NAT 규칙보다 우선합니다. 소스 NAT 규칙은 경로 및 보안 정책 조회 후와 정적 NAT 규칙의 역방향 매핑 후에 처리됩니다.
규칙 및 규칙 집합의 구성은 기본적으로 각 NAT 유형(소스, 대상 또는 정적)에 대해 동일합니다. 그러나 대상 및 정적 NAT가 모두 경로 조회 전에 처리되기 때문에 규칙 집합에서 대상 영역, 인터페이스 또는 라우팅 인스턴스를 지정할 수 없습니다.
NAT 규칙 용량
표 1 은 디바이스당 NAT 규칙 용량 요구 사항을 나타냅니다. 플랫폼 지원은 설치한 Junos OS 릴리스에 따라 다릅니다.
NAT 규칙 유형 |
SRX100 |
SRX300, SRX320 |
SRX340, SRX345 |
SRX1500 |
SRX1600 |
SRX2300 |
SRX4100 SRX4200 |
SRX4600 |
SRX5400 SRX5600SRX5800 |
|
---|---|---|---|---|---|---|---|---|---|---|
소스 NAT 규칙 |
1024 |
1024 |
2048 |
8192 |
8192 |
10,000 |
20,480 |
51,200 |
30,720 |
|
대상 NAT 규칙 |
1024 |
1024 |
2048 |
8192 |
8192 |
10,000 |
20,480 |
51,200 |
30,720 |
|
정적 NAT 규칙 |
1024 |
1024 |
2048 |
8192 |
8192 |
10,000 |
20,480 |
51,200 |
30,720 |
규칙 집합당 규칙 수에 대한 제한은 장치가 지원할 수 있는 규칙 수에 대한 장치 전체의 제한입니다. 이 제한은 디바이스에 대한 NAT 규칙을 더 잘 계획하고 구성하는 데 도움이 됩니다.
메모리 소비의 경우 SRX3400, SRX3600, SRX5400, SRX5600 및 SRX5800 디바이스에 대해 이러한 수(최대 원본 규칙 또는 규칙 집합 + 최대 대상 규칙 또는 규칙 집합 + 최대 정적 규칙 또는 규칙 집합)를 동시에 지원하지 않을 수 있습니다.
표 2 에는 SRX3400, SRX3600, SRX5400, SRX5600 및 SRX5800 디바이스에 권장되는 최대 규칙 및 규칙 집합 수가 나와 있습니다. 플랫폼 지원은 설치한 Junos OS 릴리스에 따라 다릅니다.
개체 |
SRX1600 |
SRX2300 |
SRX3400 SRX3600 |
SRX4600 |
SRX5400 SRX5600SRX5800 |
---|---|---|---|---|---|
시스템당 총 NAT 규칙 집합 |
8192 |
10,000 |
20,480 |
51,200 |
30,720 |
규칙 집합당 총 NAT 규칙 |
8192 |
10,000 |
20,480 |
51,200 |
30,720 |