정적 네트워크 주소 변환(NAT)
정적 네트워크 주소 변환(NAT) 정적 외부 IP 주소에서 내부 IP 주소 또는 네트워크로 네트워크 트래픽을 매핑합니다. 매핑된 주소로 실제 주소를 정적으로 변환합니다. 정적 네트워크 주소 변환(NAT) 등록되지 않은 전용 IP 주소를 제공하는 프라이빗 LAN을 통해 네트워킹 디바이스에 인터넷 연결을 제공합니다.
정적 네트워크 주소 변환(NAT) 이해
정적 네트워크 주소 변환(NAT) IP 서브넷에서 다른 IP 서브넷으로의 일대일 매핑을 정의합니다. 매핑에는 한 방향으로 대상 IP 주소 변환과 역방향의 소스 IP 주소 변환이 포함됩니다. 네트워크 주소 변환(NAT) 디바이스에서 원래 대상 주소는 가상 호스트 IP 주소인 반면 매핑된 주소는 실제 호스트 IP 주소입니다.
정적 네트워크 주소 변환(NAT) 네트워크 양측에서 연결이 제공될 수 있지만, 변환은 일대일 또는 동일한 크기의 주소 블록 간에만 제한됩니다. 각 전용 주소의 경우 공용 주소를 할당해야 합니다. 주소 풀은 필요하지 않습니다.
정적 네트워크 주소 변환(NAT) 다음과 같은 유형의 변환도 지원됩니다.
여러 IP 주소와 지정된 포트 범위를 동일한 IP 주소 및 다양한 포트 범위에 매핑하는 경우
특정 IP 주소와 포트를 다른 IP 주소 및 포트에 매핑하는 경우
PAT(Port Address Translation)는 대상 포트(범위)와 매핑된 포트(범위) 간의 정적 매핑을 제공하여 지원됩니다.
소스 및 대상 풀의 다른 주소와 네트워크 주소 변환(NAT) 대상 주소가 동일한 라우팅 인스턴스 내에서 중복되어서도 안 됩니다.
네트워크 주소 변환(NAT) 규칙 룩업에서 정적 네트워크 주소 변환(NAT) 규칙이 대상 네트워크 주소 변환(NAT)보다 우선하며 정적 네트워크 주소 변환(NAT) 규칙이 네트워크 주소 변환(NAT) 소스 및 규칙보다 우선적으로 적용됩니다.
정적 네트워크 주소 변환(NAT) 규칙 이해
정적 네트워크 주소 변환(네트워크 주소 변환(NAT)) 규칙은 두 개의 일치 조건을 지정합니다.
트래픽 방향—인터페이스에서, 존 또는 라우팅 인스턴스에서지정할 수 있습니다.
패킷 정보—소스 주소 및 포트, 대상 주소 및 포트가 될 수 있습니다.
FTP를 제외한 모든 ALG 트래픽의 경우 정적 규칙 옵션 또는 네트워크 주소 변환(NAT) 사용하지 않는 것이 source-address source-port 좋습니다. 임의의 값인 IP 주소와 소스 포트 값이 정적 규칙과 일치하지 않을 수 있기 때문에 이러한 옵션이 사용되는 경우 데이터 세션 네트워크 주소 변환(NAT) 실패할 수 있습니다. FTP ALG 트래픽의 경우 정적 규칙의 소스 주소와 일치하기 위해 IP 주소를 제공될 수 있기 때문에 이 네트워크 주소 변환(NAT) source-address 수 있습니다.
소스 및 대상 주소가 규칙에 대한 일치 조건으로 구성되면 트래픽은 소스 주소와 대상 주소 모두에 일치됩니다. 정적 네트워크 주소 변환(NAT) 양방향이기 때문에 반대 방향의 트래픽은 규칙과 일치하며 트래픽의 대상 주소는 구성된 소스 주소와 일치합니다.
여러 정적 네트워크 주소 변환(NAT) 규칙이 일치 조건에서 겹치는 경우 가장 구체적인 규칙이 선택됩니다. 예를 들어 규칙 A와 B가 동일한 소스 및 대상 IP 주소를 지정하지만, 규칙 A가 zone 1의 트래픽을 지정하고 규칙 B가 인터페이스 ge-0/0/0의 트래픽을 지정하는 경우, 규칙 B는 정적 트래픽을 수행하는 데 네트워크 주소 변환(NAT). 인터페이스 일치는 라우팅 인스턴스와 일치하는 존 일치보다 더 구체적인 것으로 간주됩니다.
정적 네트워크 주소 변환(NAT) 규칙이 중복 주소 및 포트를 지원하지 못하기 때문에 ALG 트래픽을 위해 하나의 외부 IP 주소를 여러 내부 IP 주소에 매핑하는 데 사용되어선 안 됩니다. 예를 들어, 서로 다른 사이트가 2개의 서로 다른 FTP 서버에 액세스하기를 원하는 경우 내부 FTP 서버를 2개의 서로 다른 외부 IP 주소에 매핑해야 합니다.
정적 네트워크 주소 변환(NAT) 규칙 작업의 경우 변환된 주소와 (선택적으로) 라우팅 인스턴스를 지정합니다.
네트워크 주소 변환(NAT) 룩업에서 정적 네트워크 주소 변환(NAT) 규칙이 대상 네트워크 주소 변환(NAT) 규칙보다 우선하며 정적 네트워크 주소 변환(NAT) 규칙이 소스 및 규칙보다 우선 순위를 네트워크 주소 변환(NAT) 있습니다.
정적 네트워크 주소 변환(NAT) 구성 개요
정적 관리에 대한 주요 네트워크 주소 변환(NAT) 작업은 다음과 같습니다.
- 네트워크 네트워크 주소 변환(NAT) 요구 사항에 맞춰 정적 보안 규칙을 구성합니다.
- ingress 인터페이스의 동일한 서브넷에서 네트워크 주소 변환(NAT) IP 주소에 대한 프록시 ARP 엔트리를 구성합니다.
예: 단일 주소 네트워크 주소 변환(NAT) 정적 주소 변환 구성
이 예에서는 단일 전용 주소의 정적 네트워크 주소 변환(NAT) 매핑을 공용 주소로 구성하는 방법을 설명하고 있습니다.
요구 사항
시작하기 전에 다음을 할 수 있습니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 장비의 인터페이스 사용자 가이드를 참조하십시오.
보안 존을 생성하고 인터페이스에 할당합니다. 보안 존 이해 를 참조합니다.
개요
이 예에서는 전용 주소 공간에 대한 트러스트 보안 존과 공용 주소 공간을 위한 신뢰할 수 없는 보안 존을 활용합니다.
그림 1에서언트러스트 존의 디바이스는 공용 주소 203.0.113.200/32를 통해 트러스트 존의 서버에 액세스합니다. 대상 IP 주소 203.0.113.200/32를 사용하여 언트러스트 존에서 주니퍼 네트웍스 보안 디바이스를 입력하는 패킷의 경우 대상 IP 주소는 전용 주소 192.168.1.200/32로 변환됩니다. 서버에서 시작되는 새로운 세션의 경우, 발신 패킷의 소스 IP 주소는 공용 주소 203.0.113.200/32로 변환됩니다.
다음 예제에서는 다음과 같은 구성을 설명하고 있습니다.
언트러스트 존의 패킷을 대상 주소
rs1r1203.0.113.200/32와 일치하기 위한 규칙이 설정된 정적 네트워크 주소 변환(NAT) 규칙 세트. 패킷 일치의 경우 대상 IP 주소가 개인 주소 192.168.1.200/32로 변환됩니다.인터페이스 ge-0/0/0.0에서 주소 203.0.0.113.200에 대한 프록시 ARP. 이를 통해 주니퍼 네트웍스 보안 장비는 해당 주소에 대해 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다.
192.168.1.200 서버로 연결되는 트래픽을 허용하는 보안 정책
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 레벨을 탐색해야 합니다. 이를 위한 지침은 Configuration Mode의 CLI 를 참조하십시오.
전용 주소에서 네트워크 주소 변환(NAT) 주소로 정적 매핑을 구성하기 위해 다음을 합니다.
정적 네트워크 주소 변환(NAT) 규칙 집합을 생성합니다.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
패킷과 일치하는 규칙을 구성하고 패킷의 대상 주소를 전용 주소로 변환합니다.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
글로벌 주소 책에서 주소를 구성합니다.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
신뢰할 수 없는 존에서 트러스트 존의 서버에 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
트러스트 존의 서버에서 언트러스트 존으로의 모든 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
결과
구성 모드에서 명령어를 입력하여 show security nat show security policies 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
static-nat prefix 192.168.1.200/32;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-1;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.
확인
구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.
정적 네트워크 주소 변환(NAT) 구성 검증
목적
정적 규칙 세트와 일치하는 트래픽이 네트워크 주소 변환(NAT) 있는지 확인
작업
작동 모드에서 명령어를 show security nat static rule 입력합니다. Translation hits 필드를 보고 규칙과 일치하는 트래픽을 검사합니다.
예: 서브넷 네트워크 주소 변환(NAT) 정적 구성
이 예에서는 전용 서브넷 주소의 정적 네트워크 주소 변환(NAT) 서브넷 주소로 매핑하는 방법을 설명하고 있습니다.
정적 네트워크 주소 변환(NAT) 매핑을 위한 주소 블록은 같은 크기로 구성되어야 합니다.
요구 사항
시작하기 전에 다음을 할 수 있습니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 장비의 인터페이스 사용자 가이드를 참조하십시오.
보안 존을 생성하고 인터페이스에 할당합니다. 보안 존 이해 를 참조합니다.
개요
이 예에서는 전용 주소 공간에 대한 트러스트 보안 존과 공용 주소 공간을 위한 신뢰할 수 없는 보안 존을 활용합니다. 그림 2에서,공용 서브넷 주소 203.0.113.0/24를 방법으로 트러스트 존의 언트러스트 존 액세스 디바이스에 있는 장치입니다. 203.0.113.0/24 서브넷의 대상 IP 주소가 있는 언트러스트 존에서 주니퍼 네트웍스 보안 장비에 입력하는 패킷의 경우 대상 IP 주소는 192.168.1.0/24 서브넷의 전용 주소로 변환됩니다. 192.168.1.0/24 서브넷에서 시작된 새로운 세션의 경우, 발신 패킷의 소스 IP 주소는 공용 203.0.113.0/24 서브넷의 주소로 변환됩니다.
다음 예제에서는 다음과 같은 구성을 설명하고 있습니다.
인터페이스
rs1r1ge-0/0/0.0에서 수신된 패킷과 203.0.113.0/24 서브넷의 대상 IP 주소와 일치하기 위한 규칙이 있는 정적 네트워크 주소 변환(NAT) 규칙 세트입니다. 패킷 일치의 경우, 대상 주소는 192.168.1.0/24 서브넷의 주소로 변환됩니다.주소에 대한 Proxy ARP의 범위는 인터페이스 ge-0/0/0.0에서 203.0.0.113.1/32 ~203.0.113.249/32입니다. 따라서 보안 주니퍼 네트웍스 해당 주소에 대해 인터페이스에서 수신된 ARP 요청에 응답할 수 있습니다. 주소 203.0.113.250/32는 인터페이스 자체에 할당되어 있으므로 이 주소는 프록시 ARP 구성에 포함되지 않습니다.
192.168.1.0/24 서브넷을 오가며 트래픽을 허용하는 보안 정책
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 레벨을 탐색해야 합니다. 이를 위한 지침은 Configuration Mode의 CLI 를 참조하십시오.
전용 서브넷 네트워크 주소 변환(NAT) 서브넷 주소에서 공용 서브넷 주소로 정적 서브넷 매핑을 구성하기 위해 다음을 합니다.
정적 네트워크 주소 변환(NAT) 규칙 집합을 생성합니다.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
패킷과 일치하는 규칙을 구성하고 패킷의 대상 주소를 프라이빗 서브넷의 주소로 변환합니다.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
프록시 ARP를 구성합니다.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
글로벌 주소 책에서 주소를 구성합니다.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
신뢰할 수 없는 존에서 트러스트 존의 서브넷으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
트러스트 존의 서브넷에서 언트러스트 존으로의 모든 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
결과
구성 모드에서 명령어를 입력하여 show security nat show security policies 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
static-nat prefix 192.168.1.0/24;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-group;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-group;
application any;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.
확인
구성이 제대로 작동하고 있는지 확인하려면 다음 작업을 수행합니다.
정적 네트워크 주소 변환(NAT) 구성 검증
목적
정적 규칙 세트와 일치하는 트래픽이 네트워크 주소 변환(NAT) 있는지 확인
작업
작동 모드에서 명령어를 show security nat static rule 입력합니다. Translation hits 필드를 보고 규칙과 일치하는 트래픽을 검사합니다.
예: 포트 매핑을 네트워크 주소 변환(NAT) 정적 구성
이 예에서는 특정 포트 범위의 네트워크 주소 변환(NAT) 공용 주소에 대한 정적 네트워크 주소 변환(NAT) 매핑을 구성하는 방법을 설명하고 있습니다.
이 주제에는 다음 섹션이 포함되어 있습니다.
요구 사항
시작하기 전에 다음을 할 수 있습니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 장비의 인터페이스 사용자 가이드를 참조하십시오.
보안 존을 생성하고 인터페이스에 할당합니다. 보안 존 이해 를 참조합니다.
개요
이 예에서는 전용 주소 공간에 대한 트러스트 보안 존과 공용 주소 공간을 위한 신뢰할 수 없는 보안 존을 활용합니다.
그림 3에서언트러스트 존의 디바이스는 공용 주소 203.0.113.1/32, 203.0.113.1/32 및 203.0.113.3/32를 방법으로 트러스트 존의 서버에 액세스합니다. 대상 IP 주소 203.0.113.1/32를 사용하여 언트러스트 존에서 주니퍼 네트웍스 보안 디바이스에 있는 패킷의 경우 203.0.113.1/32 및 203.0.113.3/32인 대상 IP 주소는 10.1.1.1/32,10.1.2/32 및 10.1.1.2/32 및 10.1.1.2/32인 전용 주소로 변환됩니다.
대상 포트를 구성하려면 IP 주소 prefix 대신 대상 주소 필드에 IP 주소를 사용해야 합니다.
대상 포트를 구성하여 매핑된 포트를 구성해야 합니다. 그 반대의 경우도 마찬가지입니다.
대상 포트와 매핑된 포트를 구성하는 동안 동일한 포트 범위 사용
대상 포트와 매핑된 포트를 구성하지 않는 경우 IP 매핑이 일대일 매핑이 됩니다.
주소 중복 또는 주소 및 포트 중복은 허용되지 않습니다.
다음 예제에서는 다음과 같은 구성을 설명하고 있습니다.
정적 네트워크 주소 변환(NAT) 규칙 1을 언트러스트 존의 패킷과 대상 주소 203.0.113.1/32 및 대상 포트 100 ~ 200과 일치하기 위한 규칙 r1을 제공합니다. 패킷 일치의 경우 대상 IP 주소는 전용 주소 10.1.1.1/32로 변환되어 포트 300 ~ 400에 매핑됩니다.
정적 네트워크 주소 변환(NAT) 규칙 r2가 있는 rs1을 언트러스트 존의 패킷과 대상 주소 203.0.113.1/32 및 대상 포트 300 ~ 400과 일치합니다. 패킷 일치의 경우 대상 IP 주소는 개인 주소 10.1.1.2/32로 변환되어 포트 300 ~ 400에 매핑됩니다.
네트워크 주소 변환(NAT) 언트러스트 존의 패킷을 대상 주소 203.0.113.3/32 및 대상 포트 300과 일치하기 위해 규칙 r3이 있는 정적 규칙 rs1입니다. 패킷 매칭의 경우 대상 IP 주소가 프라이빗 주소 10.1.1.2/32로 변환되어 포트 200에 매핑됩니다.
구성
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.
set security nat static rule-set rs from zone untrustset security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32set security nat static rule-set rs rule r3 match destination-port 300set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 레벨을 탐색해야 합니다. 이를 위한 지침은 Configuration Mode의 CLI 를 참조하십시오.
전용 서브넷 네트워크 주소 변환(NAT) 서브넷 주소에서 공용 서브넷 주소로 정적 서브넷 매핑을 구성하기 위해 다음을 합니다.
정적 네트워크 주소 변환(NAT) 규칙 집합을 생성합니다.
[edit security nat static]user@host# set rule-set rs from zone untrust패킷과 일치하는 규칙을 구성하고 패킷의 대상 주소를 전용 주소로 변환합니다.
[edit security nat static]user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r1 match destination-port 100 to 200user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400패킷과 일치하는 규칙을 구성하고 패킷의 대상 주소를 전용 주소로 변환합니다.
[edit security nat static]user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r2 match destination-port 300 to 400user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400패킷과 일치하는 규칙을 구성하고 패킷의 대상 주소를 전용 주소로 변환합니다.
[edit security nat static]user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32user@host# set rule-set rs rule r3 match destination-port 300user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
결과
구성 모드에서 명령을 입력하여 구성을 show security nat 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
security {
nat {
static {
rule-set rs {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.1/32;
destination-port 100 to 200;
}
then {
static-nat {
prefix {
10.1.1.1/32;
mapped-port 300 to 400;
}
}
}
}
rule r2 {
match {
destination-address 203.0.113.1/32;
destination-port 300 to 400;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 300 to 400;
}
}
}
}
rule r3 {
match {
destination-address 203.0.113.3/32;
destination-port 300;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 200;
}
}
}
}
}
}
}
}
디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.
확인
정적 네트워크 주소 변환(NAT) 구성 확인
목적
정적 규칙 세트와 일치하는 트래픽이 네트워크 주소 변환(NAT) 있는지 확인
작업
작동 모드에서 명령어를 show security nat static rule 입력합니다. Translation hits 필드를 보고 규칙과 일치하는 트래픽을 검사합니다.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
문제 해결
정적 포트 네트워크 주소 변환(NAT) 문제 해결
문제
커밋 네트워크 주소 변환(NAT) 포트 매핑 구성에 장애가 발생합니다.
IP 주소와 포트가 중복된 잘못된 구성으로 인해 커밋 장애가 발생합니다.
다음 예제에서는 중복된 주소 및 포트가 있는 잘못된 구성을 보여줍니다.
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 match destination-address 203.0.113.1set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.2set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
아래 오류 메시지가 표시된 경우, 아래 구성을 커밋할 수 있습니다.
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
솔루션
대상 포트를 구성하려면 주소 중복이나 주소 및 포트 중복을 방지해야 합니다. 유효한 구성의 예는 Configuration을 참조합니다.
정적 네트워크 주소 변환(NAT) 정보 모니터링
목적
정적 네트워크 주소 변환(NAT) 규칙 정보를 볼 수 있습니다.
작업
J-Web 네트워크 주소 변환(NAT) Monitor>네트워크 주소 변환(NAT)>Static 네트워크 주소 변환(NAT) 을 선택하거나 다음 CLI 명령을 입력합니다.
show security nat static rule
표 1은 정적 출력 디스플레이의 주요 출력 필드를 네트워크 주소 변환(NAT) 요약되어 있습니다.
필드 |
값 |
작업 |
|---|---|---|
규칙 설정 이름 |
규칙 세트의 이름. |
목록에서 표시할 모든 규칙 집합 또는 특정 규칙 세트를 선택합니다. |
총 규칙 |
구성된 규칙 수입니다. |
– |
자료 |
규칙 ID 번호. |
– |
위치 |
트래픽에 적용되는 순서를 표시하는 규칙의 위치 |
– |
이름 |
규칙 이름. |
– |
규칙시트 이름 |
규칙 세트의 이름. |
– |
보낸 사람 |
패킷의 라우팅 인스턴스/인터페이스/존의 이름 |
– |
소스 주소 |
소스 IP 주소. |
– |
소스 포트 |
소스 포트 번호. |
– |
대상 주소 |
대상 IP 주소 및 서브넷 마스크. |
– |
대상 포트 |
대상 포트 번호. |
– |
호스트 주소 |
호스트 주소의 이름. |
– |
호스트 포트 |
호스트 포트 번호. |
|
넷마스크 |
서브넷 IP 주소. |
– |
호스트 라우팅 인스턴스 |
패킷이 있는 라우팅 인스턴스의 이름 |
– |
경고 임계값 |
활용도 경고 임계값. |
– |
세션(Succ/ 실패/ 전류) |
성공, 실패, 현재 세션 수
|
– |
번역 히트 |
정적 규칙 규칙에 대해 변환 테이블의 네트워크 주소 변환(NAT) 수 있습니다. |
– |
10대 변환 히트 그래프 |
10개 변환 히트 그래프를 보여줍니다. |
– |