정적 NAT
정적 NAT는 정적 외부 IP 주소의 네트워크 트래픽을 내부 IP 주소 또는 네트워크로 매핑합니다. 실제 주소를 매핑된 주소로 정적으로 변환합니다. 정적 NAT는 등록되지 않은 사설 IP 주소를 가진 사설 LAN을 통해 네트워킹 디바이스에 인터넷 연결을 제공합니다.
정적 네트워크 주소 변환(NAT) 이해하기
정적 NAT는 하나의 IP 서브넷에서 다른 IP 서브넷으로의 일대일 매핑을 정의합니다. 매핑에는 한 방향의 대상 IP 주소 변환과 역방향의 소스 IP 주소 변환이 포함됩니다. 네트워크 주소 변환(NAT) 디바이스에서 원래 대상 주소는 가상 호스트 IP 주소이고 매핑된 주소는 실제 호스트 IP 주소입니다.
정적 NAT를 사용하면 네트워크의 어느 쪽에서든 연결을 시작할 수 있지만 변환은 일대일 또는 동일한 크기의 주소 블록 간으로 제한됩니다. 각 개인 주소에 대해 공용 주소를 할당해야 합니다. 주소 풀이 필요하지 않습니다.
또한 정적 네트워크 주소 변환(NAT)은 다음과 같은 유형의 변환을 지원합니다.
여러 IP 주소 및 지정된 포트 범위를 동일한 IP 주소 및 다른 포트 범위에 매핑하려면 다음을 수행합니다
특정 IP 주소 및 포트를 다른 IP 주소 및 포트에 매핑하려면 다음을 수행합니다
또한 PAT(포트 주소 변환)는 destination-port(범위)와 mapped-port(범위) 간에 정적 매핑을 제공하여 지원됩니다.
원래 대상 주소는 소스 및 대상 NAT 풀의 다른 주소와 함께 동일한 라우팅 인스턴스 내에서 겹치지 않아야 합니다.
NAT 규칙 조회에서 정적 NAT 규칙은 대상 NAT 규칙보다 우선하며 정적 NAT 규칙의 역방향 매핑은 소스 NAT 규칙보다 우선합니다.
정적 네트워크 주소 변환(NAT) 규칙 이해하기
정적 네트워크 주소 변환(NAT) 규칙은 일치 조건의 두 계층을 지정합니다.
트래픽 방향 - from interface, zone 또는 from routing-instance를 지정할 수 있습니다.
패킷 정보 - 소스 주소 및 포트, 대상 주소 및 포트일 수 있습니다.
FTP를 제외한 모든 ALG 트래픽의 경우 정적 NAT 규칙 옵션 source-address 또는 source-port을 사용하지 않는 것이 좋습니다. 이러한 옵션을 사용하면 IP 주소와 소스 포트 값(임의 값)이 정적 NAT 규칙과 일치하지 않을 수 있으므로 데이터 세션 생성이 실패할 수 있습니다. FTP ALG 트래픽의 source-address 경우, 정적 NAT 규칙의 소스 주소와 일치하도록 IP 주소를 제공할 수 있으므로 옵션을 사용할 수 있습니다.
소스 및 대상 주소가 모두 규칙에 대한 일치 조건으로 구성된 경우, 트래픽은 소스 주소와 대상 주소 모두와 일치합니다. 정적 네트워크 주소 변환(NAT)은 양방향이기 때문에 반대 방향의 트래픽은 규칙과 역방향으로 일치하며, 트래픽의 대상 주소는 구성된 소스 주소와 일치합니다.
일치 조건에서 여러 정적 NAT 규칙이 겹치는 경우 가장 구체적인 규칙이 선택됩니다. 예를 들어, 규칙 A와 B가 동일한 소스 및 대상 IP 주소를 지정하지만, 규칙 A가 영역 1의 트래픽을 지정하고 규칙 B가 인터페이스 ge-0/0/0의 트래픽을 지정하는 경우, 규칙 B는 정적 네트워크 주소 변환(NAT)을 수행하는 데 사용됩니다. 인터페이스 일치는 영역 일치보다 더 구체적인 것으로 간주되며, 이는 라우팅 인스턴스 일치보다 더 구체적입니다.
정적 네트워크 주소 변환(NAT) 규칙은 중복 주소와 포트를 지원하지 않으므로 ALG 트래픽을 위해 하나의 외부 IP 주소를 여러 내부 IP 주소에 매핑하는 데 사용해서는 안 됩니다. 예를 들어 서로 다른 사이트에서 두 개의 서로 다른 FTP 서버에 액세스하려는 경우 내부 FTP 서버를 두 개의 서로 다른 외부 IP 주소에 매핑해야 합니다.
정적 NAT 규칙 작업의 경우, 변환된 주소 및 라우팅 인스턴스(선택 사항)를 지정합니다.
NAT 조회에서 정적 NAT 규칙은 대상 NAT 규칙보다 우선하며 정적 NAT 규칙의 역방향 매핑은 소스 NAT 규칙보다 우선합니다.
정적 네트워크 주소 변환(NAT) 구성 개요
정적 네트워크 주소 변환(NAT)의 주요 구성 작업은 다음과 같습니다.
- 네트워크 및 보안 요구 사항에 맞는 정적 NAT 규칙을 구성합니다.
- 수신 인터페이스의 동일한 서브넷에 있는 IP 주소에 대한 NAT 프록시 ARP 항목을 구성합니다.
예: 단일 주소 변환을 위한 정적 NAT 구성
이 예에서는 공용 주소에 대한 단일 프라이빗 주소의 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명합니다.
요구 사항
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 트러스트 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다.
그림 1에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.200/32를 통해 신뢰할 수 있는 영역의 서버에 액세스합니다. 대상 IP 주소가 203.0.113.200/32인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우, 대상 IP 주소는 전용 주소 192.168.1.200/32로 변환됩니다. 서버에서 시작되는 새 세션의 경우 발신 패킷의 소스 IP 주소가 공용 주소 203.0.113.200/32로 변환됩니다.
이 예제에서는 다음 구성을 설명합니다.
신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.200/32와 일치시키는 규칙
r1으로 설정된rs1정적 NAT 규칙. 패킷 매칭을 위해 대상 IP 주소는 프라이빗 주소 192.168.1.200/32로 변환됩니다.인터페이스 ge-0/0/0.0의 주소 203.0.113.200에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
192.168.1.200 서버 측으로의 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프라이빗 주소에서 퍼블릭 주소로 정적 NAT 매핑을 구성하려면 다음을 수행합니다.
정적 NAT 규칙 집합을 만듭니다.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
패킷을 일치시키고 패킷의 대상 주소를 개인 주소로 변환하는 규칙을 구성합니다.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
전체 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
언트러스트(untrust) 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
트러스트 영역의 서버에서 언트러스트(untrust) 영역으로 모든 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
static-nat prefix 192.168.1.200/32;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-1;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 NAT 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat static rule . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 서브넷 변환을 위한 정적 NAT 구성
이 예에서는 프라이빗 서브넷 주소와 퍼블릭 서브넷 주소의 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명합니다.
정적 네트워크 주소 변환(NAT) 매핑을 위한 주소 블록은 크기가 같아야 합니다.
요구 사항
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 트러스트 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다. 그림 2에서 신뢰할 수 없는 영역의 디바이스는 공용 서브넷 주소 203.0.113.0/24를 통해 신뢰할 수 있는 영역의 디바이스에 액세스합니다. 203.0.113.0/24 서브넷의 대상 IP 주소를 가진 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우, 대상 IP 주소는 192.168.1.0/24 서브넷의 프라이빗 주소로 변환됩니다. 192.168.1.0/24 서브넷에서 시작되는 새 세션의 경우 발신 패킷의 소스 IP 주소가 공용 203.0.113.0/24 서브넷의 주소로 변환됩니다.
이 예제에서는 다음 구성을 설명합니다.
인터페이스 ge-0/0/0.0에서 수신된 패킷을 203.0.113.0/24 서브넷의 대상 IP 주소와 일치시키는 규칙
r1으로 설정된rs1정적 NAT 규칙. 패킷 매칭을 위해 대상 주소는 192.168.1.0/24 서브넷의 주소로 변환됩니다.인터페이스 ge-0/0/0.0에서 주소 범위 203.0.113.1/32 - 203.0.113.249/32에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 디바이스는 해당 주소에 대한 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다. 주소 203.0.113.250/32는 인터페이스 자체에 할당되므로 이 주소는 프록시 ARP 구성에 포함되지 않습니다.
192.168.1.0/24 서브넷에서 들어오고 나가는 트래픽을 허용하는 보안 정책.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프라이빗 서브넷 주소에서 퍼블릭 서브넷 주소로의 정적 NAT 매핑을 구성하려면 다음을 수행합니다.
정적 NAT 규칙 집합을 만듭니다.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷과 일치하고 패킷의 대상 주소를 프라이빗 서브넷의 주소로 변환하는 규칙을 구성합니다.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
전체 주소록에 주소를 구성합니다.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
언트러스트(untrust) 영역에서 트러스트 영역의 서브넷으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
트러스트 영역의 서브넷에서 언트러스트(untrust) 영역으로 모든 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
static-nat prefix 192.168.1.0/24;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-group;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-group;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 NAT 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat static rule . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
예: 서브넷 변환을 위한 정적 NAT64 구성
이 예에서는 SRX 방화벽 디바이스의 정적 NAT64 구성 단계를 제공합니다. 이 예제에 따라 IPv6 및 IPv4 주소 공간 간의 원활한 변환을 설정할 수 있습니다. 이 기능은 안정적인 IP 간 버전 통신을 보장하면서 이중 스택 구성이 필요하지 않기 때문에 IPv4에서 IPv6로 전환하는 환경에서 특히 유용합니다.
| 가독성 점수 |
|
| 독서 시간 |
15분도 채 걸리지 않습니다. |
| 구성 시간 |
한 시간도 채 걸리지 않았습니다. |
- 사전 요구 사항 예
- 시작하기 전에
- 기능 개요
- 토폴로지 개요
- 토폴로지 그림
- 테스트 대상 디바이스(DUT)에서 정적 NAT64 구성
- 확인
- 부록 1: 모든 디바이스에서 명령 설정
- 부록 2: DUT의 구성 출력 표시
사전 요구 사항 예
이 구성 예를 사용하여 디바이스에서 정적 NAT64를 구성하고 확인합니다. 정적 NAT64는 잘 알려진 NAT64 접두사(64:ff9b::/96)를 사용하여 IPv6 주소를 IPv4로 변환하여 IPv6 전용 클라이언트와 IPv4 서버 간의 원활한 통신을 가능하게 합니다. 이 기능은 안정적인 IP 간 버전 통신을 보장하면서 이중 스택 구성이 필요하지 않기 때문에 IPv4에서 IPv6로 전환하는 환경에서 특히 유용합니다.
| 하드웨어 요구 사항 |
vSRX 가상 방화벽 |
| 소프트웨어 요구 사항 |
Junos OS 릴리스 24.1R1 이상 |
| 라이선스 요구 사항 |
보안 라이선스를 활성화하여 네트워크 주소 변환(NAT) 및 보안 기능을 활성화합니다. |
시작하기 전에
| 혜택 |
|
| 유용한 리소스: |
|
| 자세히 알아보기 |
|
| 실습 경험 |
|
| 더 알아보세요 |
|
기능 개요
| 프로필 |
|
| 번역 프로필 | NAT64 컨피그레이션에는 IPv6과 IPv4 간의 매핑을 정의하기 위한 변환 프로파일이 포함되어 있습니다. |
| 접두사 프로필 | IPv6에서 IPv4로의 주소 변환을 위해 NAT64 잘 알려진 접두사(64:ff9b::/96)를 지정합니다. |
| 주소 매핑 |
변환을 용이하게 하기 위해 특정 IPv6 주소 또는 서브넷을 해당 IPv4 주소에 매핑합니다. |
| 선언 |
|
| 인바운드 정책 |
IPv6 전용 클라이언트가 NAT64 변환 규칙을 일치시켜 IPv4 서버로의 트래픽을 초기화할 수 있습니다. |
| 아웃바운드 정책 |
NAT64 규칙에 따라 IPv4 서버에서 IPv6 클라이언트로 트래픽을 다시 반환할 수 있도록 허용합니다. |
| 보안 존(Security zones) |
|
|
|
연결을 시작하는 IPv6 전용 클라이언트의 네트워크 세그먼트입니다. |
|
|
클라이언트 요청에 응답하며 IPv4 서버가 상주하는 네트워크 세그먼트입니다. |
| NAT64 영역 |
NAT64 처리를 위한 전용 영역으로 효율적인 변환 및 트래픽 관리를 보장합니다. |
토폴로지 개요
이 정적 NAT64 토폴로지에서 IPv6 전용 클라이언트는 SRX 시리즈 방화벽을 통해 IPv4 서버와 통신합니다. 방화벽은 정적 NAT64 매핑을 사용하여 IPv6 주소를 IPv4로 변환하는 반면, DNS64 서버는 원활한 주소 확인을 위해 IPv6 DNS 응답을 합성합니다. 이 설정은 듀얼 스택 구성 없이 IPv6 전용 클라이언트와 IPv4 서버 간의 원활한 통신을 보장합니다.
| 위상수학 |
역할 |
기능 |
|---|---|---|
| 클라이언트 |
IPv6 전용 디바이스 |
IPv4 서버와 통신하기 위해 IPv6 전용 환경의 요청을 시작합니다. |
| SRX 시리즈 방화벽 |
NAT64 게이트웨이 |
구성된 정적 NAT64 매핑을 사용하여 IPv6 주소를 IPv4 주소로 변환하여 IP 버전 간 원활한 통신을 보장합니다. |
| DNS64 서버 |
DNS 번역기 |
클라이언트에 대한 IPv4 DNS 응답을 변환하여 주소 확인을 활성화합니다. |
| IPv4 서버 |
대상 서버 |
IPv4 주소를 사용하여 클라이언트 요청에 응답하므로 NAT64를 통해 IPv6 전용 클라이언트와 상호 작용할 수 있습니다. |
토폴로지 그림
테스트 대상 디바이스(DUT)에서 정적 NAT64 구성
확인
정적 NAT64 구성 확인
목적
정적 NAT64 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat static rule . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
부록 1: 모든 디바이스에서 명령 설정
다음 예는 다양한 수준의 Junos OS 구성 계층을 탐색해야 합니다. CLI 탐색에 대한 자세한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
부록 2: DUT의 구성 출력 표시
DUT에 명령 출력을 표시합니다.
운영 모드에서 다음 명령을 사용하여 구성을 검증합니다. 출력이
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8::1/96;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host# show security nat
source {
pool p1 {
address {
10.6.32.0/24;
}
}
rule-set src_rs1 {
from zone trust;
to zone untrust;
rule source_rule {
match {
source-address 2001:db8::/96;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
p1;
}
}
}
}
}
}
static {
rule-set static_rs1 {
from zone trust;
rule static_rule {
match {
destination-address 64:ff9b::/96;
}
then {
static-nat {
inet;
}
}
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
10.6.32.1/32 to 10.6.32.249/32;
}
}
}
예: 포트 매핑을 위한 정적 NAT 구성
이 예에서는 공용 주소의 정적 네트워크 주소 변환(NAT)을 지정된 포트 범위의 개인 주소에 매핑하는 방법을 설명합니다.
이 주제는 다음 섹션을 포함합니다.
요구 사항
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
이 예에서는 프라이빗 주소 공간에 대해 트러스트 보안 영역을 사용하고 공용 주소 공간에 대해 신뢰할 수 없는 보안 영역을 사용합니다.
그림 4에서 신뢰할 수 없는 영역의 디바이스는 공용 주소 203.0.113.1/32, 203.0.113.1/32 및 203.0.113.3/32를 통해 신뢰할 수 있는 영역의 서버에 액세스합니다. 대상 IP 주소가 203.0.113.1/32, 203.0.113.1/32, 및 203.0.113.3/32인 신뢰할 수 없는 영역에서 주니퍼 네트웍스 보안 디바이스로 들어가는 패킷의 경우, 대상 IP 주소는 프라이빗 주소 10.1.1.1/32,10.1.1.2/32 및 10.1.1.2/32로 변환됩니다.
을 위한 정적 NAT
대상 포트를 구성하려면 IP 주소 접두사 대신 대상 주소 필드에 IP 주소를 사용해야 합니다.
매핑된 포트를 구성하려면 대상 포트를 구성해야 하며 그 반대의 경우도 마찬가지입니다.
대상 포트와 매핑된 포트를 구성하는 동안 포트에 동일한 번호 범위를 사용합니다.
대상 포트와 매핑된 포트를 구성하지 않으면 IP 매핑은 일대일 매핑이 됩니다.
중복되는 주소 또는 중복되는 주소 및 포트는 허용되지 않습니다.
이 예제에서는 다음 구성을 설명합니다.
신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.1/32 및 대상 포트 100에서 200과 일치시키기 위한 규칙 r1이 포함된 정적 NAT 규칙 세트 rs1. 패킷 매칭을 위해 대상 IP 주소는 프라이빗 주소 10.1.1.1/32로 변환되고 포트 300에서 400으로 매핑됩니다.
신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.1/32 및 대상 포트 300 - 400과 일치시키는 정적 네트워크 주소 변환(NAT) 규칙 세트 rs1(규칙 r2). 패킷 매칭을 위해 대상 IP 주소는 전용 주소 10.1.1.2/32로 변환되고 포트 300에서 400으로 매핑됩니다.
신뢰할 수 없는 영역의 패킷을 대상 주소 203.0.113.3/32 및 대상 포트 300과 일치시키는 규칙 r3이 포함된 정적 네트워크 주소 변환(NAT) 규칙 세트 rs1. 패킷 매칭을 위해 대상 IP 주소는 프라이빗 주소 10.1.1.2/32로 변환되고 포트 200으로 매핑됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat static rule-set rs from zone untrustset security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32set security nat static rule-set rs rule r3 match destination-port 300set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프라이빗 서브넷 주소에서 퍼블릭 서브넷 주소로의 정적 NAT 매핑을 구성하려면 다음을 수행합니다.
정적 NAT 규칙 집합을 만듭니다.
[edit security nat static]user@host# set rule-set rs from zone untrust패킷을 일치시키고 패킷의 대상 주소를 개인 주소로 변환하는 규칙을 구성합니다.
[edit security nat static]user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r1 match destination-port 100 to 200user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400패킷을 일치시키고 패킷의 대상 주소를 개인 주소로 변환하는 규칙을 구성합니다.
[edit security nat static]user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r2 match destination-port 300 to 400user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400패킷을 일치시키고 패킷의 대상 주소를 개인 주소로 변환하는 규칙을 구성합니다.
[edit security nat static]user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32user@host# set rule-set rs rule r3 match destination-port 300user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
security {
nat {
static {
rule-set rs {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.1/32;
destination-port 100 to 200;
}
then {
static-nat {
prefix {
10.1.1.1/32;
mapped-port 300 to 400;
}
}
}
}
rule r2 {
match {
destination-address 203.0.113.1/32;
destination-port 300 to 400;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 300 to 400;
}
}
}
}
rule r3 {
match {
destination-address 203.0.113.3/32;
destination-port 300;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 200;
}
}
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 NAT 규칙 집합과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat static rule . Translation hits 필드를 보고 규칙과 일치하는 트래픽을 확인합니다.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
문제 해결
정적 네트워크 주소 변환(NAT) 포트 구성 문제 해결
문제
정적 네트워크 주소 변환(NAT) 포트 매핑 구성 실패는 커밋 중에 발생합니다.
IP 주소 및 포트가 겹치는 잘못된 구성은 커밋 실패를 초래합니다.
다음 예는 주소 및 포트가 겹치는 잘못된 구성을 보여줍니다.
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 match destination-address 203.0.113.1set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.2set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
앞서 언급한 구성이 커밋을 위해 제출되었을 때 다음 오류 메시지가 표시되었습니다.
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
용액
대상 포트를 구성하려면 주소 중복 또는 주소 및 포트 중복을 피해야 합니다. 유효한 구성의 예는 구성을 참조하십시오
정적 네트워크 주소 변환(NAT) 정보 모니터링
목적
정적 네트워크 주소 변환(NAT) 규칙 정보를 봅니다.
행동
J-Web 사용자 인터페이스에서 Monitor>NAT>Static NAT 를 선택하거나, 다음 CLI 명령을 입력하세요.
show security nat static rule
표 3 에는 정적 네트워크 주소 변환(NAT) 디스플레이의 키 출력 필드가 요약되어 있습니다.
밭 |
값 |
행동 |
|---|---|---|
규칙 집합 이름 |
규칙 집합의 이름입니다. |
목록에서 표시할 모든 규칙 집합 또는 특정 규칙 집합을 선택합니다. |
합계 규칙 |
구성된 규칙의 수입니다. |
– |
아이디 |
규칙 ID 번호입니다. |
– |
위치 |
트래픽에 적용되는 순서를 나타내는 규칙의 위치입니다. |
– |
이름 |
규칙의 이름입니다. |
– |
규칙 집합 이름 |
규칙 집합의 이름입니다. |
– |
보낸 사람 |
패킷이 전송되는 라우팅 인스턴스/인터페이스/영역 이름 |
– |
소스 주소 |
소스 IP 주소. |
– |
소스 포트 |
소스 포트 번호입니다. |
– |
대상 주소 |
대상 IP 주소 및 서브넷 마스크. |
– |
목적지 포트 |
대상 포트 번호 . |
– |
호스트 주소 |
호스트 주소의 이름입니다. |
– |
호스트 포트 |
호스트 포트 번호입니다. |
|
넷마스크(Netmask) |
서브넷 IP 주소입니다. |
– |
호스트 라우팅 인스턴스 |
패킷이 제공되는 라우팅 인스턴스의 이름입니다. |
– |
경보 임계값 |
사용률 경보 임계값입니다. |
– |
세션(성공/실패/현재) |
성공, 실패 및 현재 세션.
|
– |
번역 히트 |
변환 테이블의 변환이 정적 NAT 규칙에 사용되는 횟수입니다. |
– |
Top 10 번역 히트 그래프 |
상위 10개의 번역 히트 그래프를 표시합니다. |
– |