이 페이지 내용
영구 NAT 및 NAT64
NAT(네트워크 주소 변환기)는 페이로드에 IP 주소를 전달하는 애플리케이션에 매우 심각한 문제를 일으키는 것으로 잘 알려져 있습니다. 이 문제가 발생하는 응용 프로그램에는 VoIP 및 IP를 통한 멀티미디어가 포함됩니다. 영구 NAT는 NAT 동작을 개선하고 VOIP 애플리케이션 작동에 유용한 NAT 요구 사항 동작 집합을 정의합니다. NAT64는 IP/ICMP 변환 알고리즘에 따라 패킷 헤더를 변환하여 IPv6 패킷을 IPv4 패킷으로 또는 그 반대로 변환하는 데 사용되는 변환 메커니즘입니다.
영구 NAT 및 NAT64 이해
영구 NAT를 사용하면 애플리케이션이 NAT 방화벽을 통과할 때 STUN(Session Traversal Utilities for NAT) 프로토콜을 사용할 수 있습니다. 영구 NAT는 동일한 내부 전송 주소(내부 IP 주소 및 포트)의 모든 요청이 동일한 반사적 전송 주소(STUN 서버에 가장 가까운 NAT 장치에 의해 생성된 공용 IP 주소 및 포트)에 매핑되도록 합니다.
NAT64는 IPv6 클라이언트가 유니캐스트 UDP, TCP 또는 ICMP를 사용하여 IPv4 서버에 연결할 수 있도록 하는 IPv6 패킷을 IPv4 패킷으로 또는 그 반대로 변환하는 메커니즘입니다. NAT-PT(네트워크 주소 변환-프로토콜 변환)의 향상된 기능입니다.
NAT64는 다음을 지원합니다.
-
엔드포인트 독립적 매핑
-
엔드포인트 독립적 필터링 및 주소 종속 필터링
NAT64 및 영구 NAT의 매핑 및 필터링 동작은 동일합니다.
주니퍼 네트웍스 디바이스에서 구성할 수 있는 영구 NAT의 유형은 다음과 같습니다.
-
모든 원격 호스트 - 특정 내부 IP 주소 및 포트의 모든 요청은 동일한 반사적 전송 주소에 매핑됩니다. 모든 외부 호스트는 재귀적 전송 주소로 패킷을 전송하여 내부 호스트로 패킷을 보낼 수 있습니다.
-
대상 호스트 - 특정 내부 IP 주소 및 포트의 모든 요청은 동일한 반사적 전송 주소에 매핑됩니다. 외부 호스트는 재귀적 전송 주소로 패킷을 전송하여 내부 호스트로 패킷을 보낼 수 있습니다. 내부 호스트는 이전에 외부 호스트의 IP 주소로 패킷을 전송했어야 합니다.
-
대상 호스트 포트 - 특정 내부 IP 주소 및 포트의 모든 요청은 동일한 반사적 전송 주소에 매핑됩니다. 외부 호스트는 재귀적 전송 주소로 패킷을 전송하여 내부 호스트로 패킷을 보낼 수 있습니다. 내부 호스트는 이전에 외부 호스트의 IP 주소 및 포트로 패킷을 전송했어야 합니다.
IPv6 주소로 구성된 경우 NAT64에 대해 target-host-port 구성이 지원되지 않습니다.
소스 NAT 규칙을 사용하여 영구 NAT 유형을 구성합니다. 소스 네트워크 주소 변환(NAT) 규칙 작업은 소스 네트워크 주소 변환(NAT) 풀(포트 변환 포함 또는 제외) 또는 송신 인터페이스를 사용할 수 있습니다. 영구 NAT 바인딩은 내부에서 외부로의 발신 세션을 기반으로 하기 때문에 영구 NAT는 대상 NAT에 적용되지 않습니다.
포트 오버로드는 Junos OS에서 일반 인터페이스 네트워크 주소 변환(NAT) 트래픽에만 사용됩니다. 영구 NAT는 포트 오버로딩을 지원하지 않으며, [edit security nat source] 계층 수준에서 다음 옵션 중 하나를 사용하여 포트 오버로드를 명시적으로 비활성화해야 합니다.
-
포트 오버로딩 끄기
-
포트 오버로딩 팩터 1
영구 NAT 트래픽을 허용하거나 거부하도록 보안 정책을 구성하려면 두 개의 새로운 사전 정의된 서비스인junos-stun 및 junos-persistent-nat를 사용할 수 있습니다.
영구 NAT는 영구 주소 기능과 다릅니다( 소스 NAT 풀의 영구 주소 이해 참조). 영구 주소 기능은 디바이스에 구성된 소스 네트워크 주소 변환(NAT) 풀의 주소 매핑에 적용됩니다. 영구 NAT 기능은 외부 NAT 디바이스의 주소 매핑에 적용되며 특정 소스 NAT 풀 또는 송신 인터페이스에 대해 구성됩니다. 또한 영구 NAT는 STUN 클라이언트/서버 애플리케이션과 함께 사용하기 위한 것입니다.
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.
플랫폼별 영구 NAT 바인딩 지원 동작 섹션에서 플랫폼 관련 참고 사항을 검토하십시오.
NAT(STUN) 프로토콜을 위한 세션 통과 유틸리티 이해하기
많은 비디오 및 음성 애플리케이션이 NAT 환경에서 제대로 작동하지 않습니다. 예를 들어, VoIP와 함께 사용되는 SIP(Session Initiation Protocol)는 애플리케이션 데이터 내에서 IP 주소와 포트 번호를 인코딩합니다. 요청자와 수신자 사이에 NAT 방화벽이 있는 경우 데이터의 IP 주소 및 포트 번호를 변환하면 정보가 무효화됩니다.
또한 NAT 방화벽은 들어오는 SIP 메시지에 대한 핀홀을 유지하지 않습니다. 이렇게 하면 SIP 애플리케이션이 SIP 메시지로 핀홀을 지속적으로 새로 고치거나 ALG를 사용하여 게이트웨이 디바이스에서 지원되거나 지원되지 않을 수 있는 기능인 등록을 추적합니다.
RFC 3489, NAT(Network Address Translators)를 통한 UDP(User Datagram Protocol)의 단순 통과와 RFC 5389, NAT를 위한 세션 통과 유틸리티에 처음 정의된 STUN(Session Traversal Utilities for NAT) 프로토콜은 간단한 클라이언트/서버 프로토콜입니다. STUN 클라이언트는 STUN 서버로 요청을 보내고, STUN 서버는 클라이언트에 응답을 반환합니다. STUN 클라이언트는 일반적으로 공용 IP 주소 및/또는 포트가 필요한 애플리케이션의 일부입니다. STUN 클라이언트는 PC와 같은 최종 시스템이나 네트워크 서버에 상주할 수 있는 반면 STUN 서버는 일반적으로 공용 인터넷에 연결됩니다.
STUN 클라이언트와 STUN 서버는 모두 애플리케이션에서 제공해야 합니다. 주니퍼 네트웍스는 STUN 클라이언트 또는 서버를 제공하지 않습니다.
STUN 프로토콜을 통해 클라이언트는 다음을 수행할 수 있습니다.
애플리케이션이 NAT 방화벽 뒤에 있는지 여부를 확인합니다.
사용 중인 NAT 바인딩 유형을 확인합니다.
STUN 서버에 가장 가까운 NAT 디바이스에서 할당한 IP 주소 및 포트 바인딩인 반사적 전송 주소에 대해 알아봅니다. (STUN 클라이언트와 STUN 서버 간에는 여러 수준의 NAT가 있을 수 있습니다.)
클라이언트 애플리케이션은 SIP 및 H.323과 같은 프로토콜 내에서 IP 주소 바인딩 정보를 사용할 수 있습니다.
IPv4 주소 영구 변환에 대한 NAT64 IPv6 접두사 이해
NAT64 메커니즘을 사용하면 IPv6 클라이언트가 IPv6 주소를 IPv4 주소로(또는 그 반대로) 변환하여 IPv4 서버에 연결할 수 있습니다. 그러나 일부 IPv4 애플리케이션 및 서비스는 464XLAT와 같은 이중 변환 시나리오에서 표준 NAT64를 사용하는 IPv6 전용 네트워크를 통해 제대로 작동하지 않습니다. 이러한 시나리오에서는 주소 영구 변환이 필요합니다.
그림 1 은 IPv4 패킷이 고객 측 변환기(CLAT)에서 IPv6 패킷으로 변환된 다음 IPv6 전용 네트워크를 통과한 다음 공급자 측 변환기(PLAT)에서 IPv4 패킷으로 다시 변환되어 코어 네트워크에서 글로벌 IPv4 전용 콘텐츠에 액세스하는 464XLAT 아키텍처를 보여줍니다. 이 아키텍처는 CLAT의 상태 비저장 변환과 PLAT의 상태 저장 변환의 조합을 사용합니다.
디바이스가 PLAT로 작동할 때, 특정 IPv6 접두사 하나와 변환된 IPv4 주소 사이의 스티키 매핑 관계를 유지해야 합니다. 디바이스는 IPv6 접두사를 단일 사용자로 처리합니다. 이 매핑은 기능을 사용하여 IPv4 소스 네트워크 주소 변환(NAT) 풀에서 특정 IPv6 접두사 길이를 address-persistent 구성함으로써 수행됩니다.
그림 2 는 IPv4 주소를 address-persistent 접두사가 있는 IPv6 주소로 변환하는 CLAT에 구성된 NAT 규칙을 보여줍니다. CLAT의 상태 비저장 NAT46 변환 및 PLAT의 상태 저장 NAT64 변환을 사용하면 IPv4 호스트 192.168.1.2의 트래픽이 IPv6 전용 네트워크를 통해 글로벌 서버 198.51.100.1에 도달합니다.
의 NAT64 변환
표 1 에는 다른 NAT 기능과 주소 영구 기능과의 호환성이 나와 있습니다.
특징 |
양립할 수 있는 |
||
|---|---|---|---|
PAT 풀 |
IPv4 (IPv4)
|
NAT IPv4에서 IPv6로 |
아니요 |
NAT IPv6 - IPv4 |
예 |
||
IPv6 (IPv6)
|
NAT IPv4에서 IPv6로 |
아니요 |
|
NAT IPv6 - IPv4 |
아니요 |
||
비 PAT 풀 |
아니요 |
||
포트 오버로딩 |
예 |
||
PAT 풀의 영구 NAT |
예 |
||
포트 블록 할당 |
예 |
||
명확한 네트워크 주소 변환(NAT) |
아니요 |
||
주소 풀링 페어링 |
아니요 |
||
ALG (알지) (기본 IPv6 클라이언트의 FTP/PPTP/RTSP/DNS/SIP와 같은 기존 ALG NAT 변환) |
예 |
||
영구 NAT 및 NAT64 구성 개요
영구 네트워크 주소 변환(NAT)을 구성하려면 소스 네트워크 주소 변환(NAT) 규칙 작업과 함께 다음 옵션을 지정하십시오(소스 네트워크 주소 변환(NAT) 풀 또는 송신 인터페이스 중 하나에 해당).
영구 네트워크 주소 변환(NAT) 유형—원격 호스트, 대상 호스트 또는 대상 호스트 포트 중 하나입니다.
(선택 사항) 주소 매핑 - 이 옵션을 사용하면 특정 내부 IP 주소의 요청을 동일한 재귀 IP 주소에 매핑할 수 있습니다. 내부 및 재귀 포트는 모든 포트가 될 수 있습니다. 모든 포트를 사용하는 외부 호스트는 재귀 IP 주소로 패킷을 전송하여 내부 호스트로 패킷을 보낼 수 있습니다(외부에서 내부 트래픽을 허용하는 구성된 수신 정책 포함). 이 옵션이 구성되지 않은 경우, 영구 NAT 바인딩은 특정 내부 및 재귀 전송 주소에 대한 것입니다.
영구 NAT 유형이 원격 호스트이고 소스 NAT 규칙 작업이 다음 작업 중 하나인 경우에만 옵션을 지정할
address-mapping수 있습니다.IP 주소 이동이 있는 소스 NAT 풀
포트 변환 및 오버플로우 풀이 없는 소스 NAT 풀
(선택 사항) Inactivity timeout—바인딩 항목의 모든 세션이 만료되었을 때 영구 NAT 바인딩이 디바이스의 메모리에 남아 있는 시간(초)입니다. 구성된 시간 제한에 도달하면 바인딩이 메모리에서 제거됩니다. 기본값은 300초입니다. 60초에서 7200초 사이의 값을 구성합니다.
영구 NAT 바인딩의 모든 세션이 만료되면 바인딩은 지정된 비활성 시간 제한 기간 동안 디바이스 메모리의 쿼리 상태로 유지됩니다. 쿼리 바인딩은 비활성 제한 시간이 만료되면 메모리에서 자동으로 제거됩니다(기본값은 300초). 명령을 사용하여 전체 또는 특정 영구 NAT 쿼리 바인딩을
clear security nat source persistent-nat-table명시적으로 제거할 수 있습니다.(선택 사항) Maximum session number(최대 세션 수) - 영구 NAT 바인딩을 연결할 수 있는 최대 세션 수입니다. 기본값은 30세션입니다. 8에서 100까지 값을 구성합니다.
인터페이스 네트워크 주소 변환(NAT)의 경우, [edit security nat source] 계층 수준에서 다음 옵션 중 하나를 사용하여 포트 오버로드를 명시적으로 비활성화해야 합니다:
포트 오버로딩 끄기
포트 오버로딩 팩터 1
마지막으로, 보안 정책에서 STUN 및 영구 NAT 트래픽을 허용하거나 거부하는 데 사용할 수 있는 두 가지 사전 정의된 서비스가 있습니다.
junos-stun—STUN 프로토콜 트래픽.junos-persistent-nat- 영구 NAT 트래픽.
원격 호스트나 대상 호스트, 또는 대상 호스트 포트 영구 NAT 유형의 경우, 보안 정책의 방향은 내부에서 외부로 향합니다.
예: 주소 영구 NAT64 풀 구성
이 예는 구성된 IPv6 접두사 길이로 계산되는 하나의 특정 IPv6 접두사와 하나의 변환된 IPv4 주소 간의 고정 매핑 관계를 보장하기 위해 주소 영구 NAT64 풀을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 기존 NAT 규칙 및 풀 구성이 새 규칙과 충돌하지 않는지 확인합니다.
개요
이 예에서는 NAT IPv6에서 IPv4로의 변환을 위해 IPv4 소스 NAT 풀에서 IPv6 접두사 길이 /64를 구성합니다. NAT 규칙 및 NAT 풀과 일치하는 트래픽은 IPv6 접두사와 IPv4 변환 주소 간의 주소 영구 변환을 수행합니다. 이 구성은 IPv4 서비스가 IPv6 전용 네트워크를 통해 작동할 수 있도록 이중 변환 시나리오 464XLAT의 PLAT(공급자 측 변환기)에서 사용할 수 있습니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
소스 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
소스 네트워크 주소 변환(NAT) 풀의 IPv6 접두사 길이를 지정합니다.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
규칙 집합을 만듭니다.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
규칙을 일치시킵니다.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
예: 인터페이스 NAT로 영구 NAT를 구성하여 네트워크 구성 지원
소스 NAT 규칙을 사용하여 모든 영구 NAT 유형을 구성할 수 있습니다. 이 예에서는 인터페이스 IP 주소로 영구 NAT를 적용하는 방법과 인터페이스 IP 주소를 NAT IP 주소로 사용하여 특정 내부 호스트에 대해 영구 NAT를 수행하는 방법을 보여줍니다. 또한 호스트에 대한 영구 주소 포트 매핑 동작 및 영구 NAT 필터 동작을 유지하는 방법도 보여줍니다. 인터페이스 NAT에 대한 포트 오버로드를 비활성화해야 합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
1 SRX 시리즈 방화벽
4 개
시작하기 전에:
영구 NAT의 개념을 이해합니다. 영구 NAT 및 NAT64 구성 개요를 참조하십시오.
개요
CGN(서비스 프로바이더급 NAT) 네트워크 구축에서 인터페이스 IP 주소를 NAT 주소로 구성하여 영구 네트워크 주소 변환을 수행할 수 있습니다. 이러한 방식으로 내부 호스트는 내부에서 외부로 시작된 발신 트래픽에 의해 하나의 소스 NAT 매핑 관계를 만들 수 있습니다. 그런 다음 외부 호스트는 공유 NAT 매핑 관계를 통해 이 인터페이스 NAT 주소로 트래픽을 전송하여 이 내부 호스트로 트래픽을 다시 보냅니다.
이 예에서는 먼저 인터페이스 ge-0/0/1에서 인터페이스 ge-0/0/2로의 트래픽을 일치시키도록 인터페이스 NAT 규칙 세트 int1을 구성한 다음, 영구 NAT를 수행하기 위해 특정 소스 및 대상 주소와 일치하도록 NAT 규칙 in1을 구성합니다. 인터페이스 NAT가 any remote host 수행될 때 영구 NAT 유형을 구성합니다.
소스 주소가 192.0.2.0/24(내부 전화)이고 대상 주소가 198.51.100.0/24( STUN 서버, SIP 프록시 서버 및 외부 전화 포함)인 패킷의 경우 영구 NAT 유형으로 인터페이스 NAT를 any remote host 구성합니다. 그런 다음 인터페이스 NAT에 대한 포트 오버로드를 비활성화합니다.
그런 다음 원격 호스트 영구 NAT 유형에 대해 외부 네트워크(외부 영역)에서 내부 네트워크(내부 영역)로 영구 NAT 트래픽을 허용하도록 보안 정책을 구성합니다.
위상수학
그림 3 은 인터페이스 영구 NAT 토폴로지를 보여줍니다.
표 2 에는 이 예에서 구성된 매개 변수가 나와 있습니다.
매개 변수 |
묘사 |
|---|---|
외부 영역 |
외부 네트워크 |
내부 영역 |
내부 네트워크 |
External_phones2 |
외부 네트워크의 Phone2 주소 |
Internal_phone1 |
내부 네트워크의 Phone1 주소 |
SIP_proxy 서버 |
외부 네트워크의 SIP 프록시 서버 주소 |
STUN 서버 |
외부 네트워크의 STUN 서버 주소 |
서브넷 198.51.100.1/32 |
대상 IP 주소 |
서브넷 192.0.2.2/32 |
소스 IP 주소 |
ge-0/0/1 및 ge-0/0/2 |
트래픽 방향을 위한 NAT 인터페이스 |
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
인터페이스 NAT 규칙 집합을 구성하는 방법:
인터페이스 네트워크 주소 변환(NAT)에 대한 영구 네트워크 주소 변환(NAT) 규칙을 생성합니다.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
인터페이스 NAT에 대한 포트 오버로드를 비활성화합니다.
[edit security] user@host# set nat source interface port-overloading off
내부 SIP 전화에서 외부 STUN 서버로의 STUN 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
내부 SIP 전화기에서 외부 SIP 프록시 서버로의 SIP 프록시 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
외부 SIP 전화에서 내부 SIP 전화로의 SIP 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
규칙이 일치하고 사용되는지 확인
목적
모든 규칙이 일치하고 사용되는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat source persistent-nat-table all .
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
의미
출력은 영구 네트워크 주소 변환(NAT) 정보의 요약을 표시합니다.
네트워크 주소 변환(NAT) 트래픽 세션 설정 확인
목적
디바이스에 세션이 설정되었는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security flow session .
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
의미
명령은 show security flow session 디바이스의 활성 세션과 각 세션의 관련 보안 정책을 표시합니다. 출력은 198.51.100.45의 공용 호스트로 향하는 개인 소스 주소 192.0.2.12를 사용하여 디바이스로 유입되는 트래픽을 보여줍니다. 이 플로우의 반환 트래픽은 변환된 공용 주소 198.51.100.1로 이동합니다.
Session ID- 세션을 식별하는 번호입니다. 이 ID를 사용하여 정책 이름 또는 수신 및 발신 패킷 수와 같은 세션에 대한 자세한 정보를 얻을 수 있습니다.
sip_proxy_traffic— 내부 SIP 전화기에서 외부 SIP 프록시 서버로의 SIP 트래픽을 허용한 정책 이름입니다.
In—수신 플로우(각각의 소스 및 대상 포트 번호를 가진 소스 및 대상 IP 주소. 세션은 UDP이며 이 세션의 소스 인터페이스는 ge-0/0/1.0입니다.
Out- 역방향 흐름(각각의 소스 및 대상 포트 번호를 가진 소스 및 대상 IP 주소. 세션은 UDP이며 이 세션의 대상 인터페이스는 ge-0/0/2.0입니다.
stun_traffic- 내부 SIP 전화에서 외부 STUN 서버로의 STUN 트래픽을 허용한 정책 이름입니다.
예: IPv6 클라이언트에 대한 주소 종속 필터링 구성
이 예는 NAT64를 사용하여 IPv6 클라이언트에 대한 주소 종속 필터링을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
디바이스에서 IPv6이 활성화되어 있는지 확인합니다.
기존 NAT 규칙 및 풀 구성이 새 규칙과 충돌하지 않는지 확인합니다.
개요
이 예에서는 NAT64를 사용하여 IPv6 내부 호스트에서 IPv4 외부 호스트로, IPv4 외부 호스트에서 IPv4 내부 호스트로 패킷을 보냅니다.
위상수학
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IPv6 클라이언트에 대한 주소 종속 필터링을 구성하려면 다음을 수행합니다.
NAT64에 대한 규칙 집합을 만듭니다.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
규칙을 일치시킵니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
소스 주소 풀을 정의하고 주소를 풀에 추가합니다.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
NAT64에 대한 다른 규칙 집합을 만듭니다.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
규칙을 소스 주소와 일치시킵니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
규칙을 대상 주소와 일치시킵니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
영구 네트워크 주소 변환(NAT)을 구성합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
결과
구성 모드에서 명령을 입력하여 show nat source 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
구성이 활성화되고 작동하는지 확인
목적
구성이 활성화되고 작동하는지 확인합니다.
행동
운영 모드에서 다음 명령을 입력합니다.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
예: IPv6 클라이언트에 대한 엔드포인트 독립 필터링 구성
이 예에서는 NAT64를 사용하여 IPv6 클라이언트에 대해 엔드포인트 독립 필터링을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스에서 IPv6이 활성화되어 있는지 확인합니다
기존 NAT 규칙 및 풀 구성이 새 규칙 및 풀 구성과 충돌하지 않는지 확인합니다.
개요
이 예에서는 NAT64를 사용하여 IPv6 내부 호스트에서 IPv4 외부 호스트로, IPv4 외부 호스트에서 IPv4 내부 호스트로 패킷을 보냅니다.
위상수학
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IPv6 클라이언트에 대한 엔드포인트 독립 필터링을 구성하려면 다음을 수행합니다.
NAT64에 대한 규칙 집합을 만듭니다.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
규칙을 일치시킵니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
소스 주소 풀을 정의하고 주소를 풀에 추가합니다.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
NAT64에 대한 다른 규칙 집합을 만듭니다.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
규칙을 소스 주소와 일치시킵니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
규칙을 대상 주소와 일치시킵니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
영구 네트워크 주소 변환(NAT)을 구성합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
구성이 활성화되고 작동하는지 확인
목적
구성이 활성화되고 작동하는지 확인합니다.
행동
운영 모드에서 다음 명령을 입력합니다.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
예: 최대 영구 NAT 바인딩 설정
이 예에서는 영구 NAT 용량을 늘리는 방법을 보여줍니다.
요구 사항
시작하기 전에 영구 NAT 및 NAT64 이해를 참조하십시오.
개요
이 예에서 영구 NAT 용량 극대화 옵션을 활성화합니다. 이 옵션은 SRX1K-NPC-SPC-1-10-40이 장착된 SRX1400 디바이스, SRX3K-SPC-1-10-40이 포함된 SRX3000 라인 디바이스, SRX5K-SPC-2-10-40SPC 및 SRX5K-SPC3이 있는 SRX5000 라인 디바이스의 SPC(Services Processing Card)에서만 지원됩니다. SRX5K-SPC-2-10-40SPC 및 SPC3을 탑재한 SRX5000 라인 디바이스의 경우, 영구 네트워크 주소 변환(NAT) 바인딩 번호는 최대 세션 수를 줄이는 대가로 최대화됩니다.
이 옵션을 활성화하기 위해 지원되는 중앙 지점 최대 바인딩 용량은 최대 2M까지 중앙 지점 세션 용량의 1/8까지 약 증가할 수 있으며 지원되는 SPU 최대 바인딩 용량은 각 SPU 세션 용량의 약 1/4로 증가할 수 있습니다. 이에 따라 플로우 세션 용량은 CP와 각 SPU 모두에서 1/4로 감소합니다.
기본적으로 SRX5400, SRX5600 또는 SRX5800 디바이스의 중앙 지점과 SPU의 영구 NAT 바인딩 용량은 64,000입니다. 이 예에서는 중앙 지점에서 최대 20,000,000, 최대 세션 구성을 통해 각 SPU에서 최대 1,100,000까지 세션 용량을 활성화합니다. 옵션을 활성화 maximize-persistent-nat-capacity 하면 메모리가 4GB인 SRX5400, SRX5600 또는 SRX5800 디바이스는 중앙 지점에서 최대 2M 영구 네트워크 주소 변환(NAT) 바인딩을 지원하고 각 SPU에서 275,000개의 바인딩을 지원할 수 있습니다.
구성
절차
단계별 절차
영구 NAT 용량을 늘리려면 다음을 수행합니다.
영구 NAT 용량 최대화 옵션을 설정합니다.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
작동 모드에서 시스템을 다시 시작합니다.
[edit] user@host# request system reboot
영구 NAT 용량 모드를 최대화하기 위해 전환하거나 일반 모드로 돌아가는 경우 디바이스를 다시 시작해야 합니다.
디바이스를 다시 일반 모드로 전환하려면 영구 NAT 용량 최대화 모드 구성을 삭제합니다.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
영구 NAT 헤어핀 개요
두 호스트 간에 트래픽이 전송되면 트래픽의 소스 호스트는 공용 IP 주소로만 대상 호스트를 알 수 있습니다. 실제로 대상 호스트는 소스 호스트와 동일한 개인 주소 공간에 있을 수 있습니다. 헤어핀은 트래픽을 프라이빗 서브네트워크의 대상 호스트로 가져오는 방법으로 트래픽이 발생한 방향으로 반환하는 프로세스입니다.
일반적으로 서브네트워크의 소스 호스트는 공용 IP 주소로만 대상 호스트를 식별하기 때문에 트래픽이 동일한 서브네트워크 내의 대상 호스트를 위한 것임을 인식하지 못할 수 있습니다. NAT는 IP 패킷을 분석하고 패킷을 올바른 호스트로 다시 라우팅합니다.
내부 네트워크의 두 호스트가 네트워크 주소 변환(NAT) 디바이스의 바인딩을 사용하여 서로 통신하려는 경우 NAT 헤어핀 지원이 필요합니다. 이 경우 네트워크 주소 변환(NAT) 디바이스는 내부 네트워크로부터 패킷을 수신하여 다시 내부 네트워크로 전달합니다. 헤어핀이 지원되지 않는 경우 패킷 전달이 실패하고 삭제됩니다.
헤어핀을 사용하면 개인 네트워크의 두 엔드포인트(호스트 1 및 호스트 2)가 서로의 외부 IP 주소 및 포트만 사용하는 경우에도 통신할 수 있습니다. 호스트 1이 호스트 3에 트래픽을 전송하면 호스트 1의 내부 소스 IP 주소와 포트 간의 NAT 바인딩이 NAT 테이블에서 외부 IP 주소 및 포트와 연관됩니다. 호스트 2가 호스트 3에 트래픽을 전송할 때도 같은 일이 발생합니다. 이러한 방식으로 호스트 1과 호스트 2가 통신하려는 경우 서로의 외부 IP 주소를 식별할 수 있습니다.
예를 들어, 호스트 1이 호스트 2와 통신하는 경우 NAT(헤어핀 지원 포함)를 사용하여 호스트 2의 외부 주소를 포함하는 패킷을 호스트 2의 내부 주소로 다시 라우팅합니다.
그림 4에서는 다음 매개 변수가 사용됩니다.
호스트 1 IP 주소 -
10.10.10.2/24호스트 2 IP 주소 -
10.10.10.10/24영역 내 IP 주소 -
10.10.10.254/24호스트 3 IP 주소 -
198.51.100.2/24영역 간 IP 주소 -
198.51.100.254/24호스트 1과 호스트 2는 구역
reht0z에 있고 호스트 3은 구역에 있습니다reth1z
표 3 에는 이 예에서 사용되는 바인딩 테이블이 나와 있습니다.
원래 소스 IP 주소 |
변환된 소스 IP 주소 |
|---|---|
10.10.10.2/24 - 10.10.10.11/24 |
192.0.2.1/32 - 192.0.2.10/32 |
영구 NAT 헤어핀은 모든 원격 호스트 영구 NAT 유형에만 적용됩니다. 헤어핀을 허용하려면 동일한 존에 있는 엔드포인트 간의 트래픽을 허용하도록 보안 정책을 구성해야 합니다. 실제로 두 끝점은 두 개의 서로 다른 영역에 있을 수 있으며 두 호스트 중 하나가 피어의 공용 주소만 볼 수 있는 한 찾을 수 있습니다. NAT 헤어핀 동작은 대상 호스트 영구 NAT 및 대상 호스트 포트 영구 NAT에서 지원되지 않습니다. 모든 원격 호스트 영구 NAT만 헤어핀 동작을 지원합니다.
예: 주소 이동이 있는 소스 NAT 풀로 영구 NAT 헤어핀 구성
이 예에서는 영구 NAT 헤어핀을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
헤어핀을 사용하면 개인 네트워크의 패킷이 공용 네트워크로 전달되지 않고 변환된 다음 개인 네트워크로 다시 루프될 수 있습니다. 헤어핀 기능을 사용하면 NAT 테이블의 해당 레코드를 사용하여 패킷이 로컬 네트워크의 호스트로 전달되었음을 인식할 수 있습니다. 그런 다음 대상 IP 주소를 변환하고 패킷을 로컬 네트워크로 다시 보냅니다(포트 매핑의 경우에도 마찬가지). 이렇게 하면 두 호스트 간의 트래픽이 제대로 작동합니다.
위상수학
헤어핀을 사용하면 개인 네트워크의 두 엔드포인트(호스트 1 및 호스트 2)가 서로의 외부 IP 주소 및 포트만 사용하는 경우에도 통신할 수 있습니다. 이 내용은 그림 5에 설명되어 있습니다.
호스트 1이 호스트 3에 트래픽을 전송하면 호스트 1의 내부 소스 IP 주소와 포트 간의 NAT 바인딩이 NAT 테이블에서 외부 IP 주소 및 포트와 연관됩니다. 호스트 2가 호스트 3에 트래픽을 전송할 때도 같은 일이 발생합니다. 이러한 방식으로 호스트 1과 호스트 2가 통신하려는 경우 서로의 외부 IP 주소를 식별할 수 있습니다.
예를 들어, 호스트 1이 호스트 2와 통신하는 경우 NAT(헤어핀 지원 포함)를 사용하여 호스트 2의 외부 주소를 포함하는 패킷을 호스트 2의 내부 주소로 다시 라우팅합니다.
그림 5에서는 다음 매개 변수가 사용됩니다.
호스트 1 IP 주소 -
10.10.10.2/24호스트 2 IP 주소 -
10.10.10.10/24영역 내 IP 주소 -
10.10.10.254/24호스트 3 IP 주소 -
198.51.100.2/24영역 간 IP 주소 -
198.51.100.254/24호스트 1과 호스트 2는 구역
reht0z에 있고 호스트 3은 구역에 있습니다reth1z
표 4 에는 이 예에서 사용되는 바인딩 테이블이 나와 있습니다.
원래 소스 IP 주소 |
변환된 소스 IP 주소 |
|---|---|
10.10.10.2/24 - 10.10.10.11/24 |
192.0.2.1/32 - 192.0.2.10/32 |
구성
절차
단계별 절차
영구 NAT 헤어핀을 구성하려면 다음을 수행합니다.
인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
영역(reth0z 및 reth1z)을 만듭니다.
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
영역 reth0z 및 reth1z에 대한 정책을 생성합니다.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
동일한 영역 정책을 추가하여 영구 NAT 헤어핀을 수행합니다.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
호스트 1 및 호스트 2(src1)에 대한 소스 NAT 풀을 생성합니다.
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
호스트 1 및 호스트 2(src1)에 대한 원래 소스 IP 주소 범위의 시작을 지정합니다.
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
소스 네트워크 주소 변환(NAT) 규칙 집합 r1을 구성합니다.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
바인딩 1을 만드는 호스트 간에 전송된 트래픽
목적
호스트(호스트 1과 호스트 3) 간에 전송된 트래픽을 확인하여 바인딩 1을 만듭니다.
행동
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
바인딩 2를 만드는 호스트 간에 전송된 트래픽
목적
호스트(호스트 2와 호스트 3) 간에 전송된 트래픽을 확인하여 바인딩 2를 만듭니다.
행동
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
두 호스트 간에 전송된 트래픽
목적
호스트 1에서 호스트 2로 보낸 트래픽을 확인합니다.
행동
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
플랫폼별 영구 NAT 바인딩 지원 동작
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.
다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토합니다.
| 플랫폼 | 차이점 |
|---|---|
| SRX 시리즈 |
|