이 페이지에서
영구 NAT 및 NAT64
NAT(Network Address Translators)는 페이로드 내 IP 주소를 전송하는 애플리케이션에 심각한 문제를 일으키는 것으로 잘 알려져 있습니다. 이 문제로 어려움을 겪는 애플리케이션으로는 Voice Over IP 및 Multimedia over IP가 있습니다. 영구 NAT는 NATs 동작을 개선하고 VOIP 애플리케이션 작동에 유용한 NAT 요구 사항 동작 집합을 정의합니다. NAT64는 IPv6 패킷을 IPv4 패킷으로 변환하는 데 사용되는 번역 메커니즘이며, 그 반대의 경우 IP/ICMP 변환 알고리즘에 따라 패킷 헤더를 변환합니다.
영구 NAT 및 NAT64 이해하기
영구 NAT를 사용하면 애플리케이션이 NAT 방화벽을 통과할 때 NAT(STUN) 프로토콜에 세션 트래버스 유틸리티를 사용할 수 있습니다. 영구 NAT는 동일한 내부 전송 주소(내부 IP 주소 및 포트)의 모든 요청이 동일한 반사 전송 주소(STUN 서버에 가장 가까운 NAT 디바이스에 의해 생성된 공용 IP 주소 및 포트)에 매핑되도록 합니다.
NAT64는 IPv6 패킷을 IPv4 패킷으로 변환하는 메커니즘이며, IPv6 클라이언트가 유니캐스트 UDP, TCP 또는 ICMP를 사용하여 IPv4 서버에 연락할 수 있도록 합니다. 이는 NAT-PT(네트워크 주소 변환-Protocol Translation)의 개선입니다.
NAT64는 다음을 지원합니다.
엔드포인트 독립 매핑
엔드포인트 독립 필터링 및 주소 종속 필터링
NAT64 및 영구 NAT의 매핑 및 필터링 동작은 동일합니다.
주니퍼 네트웍스 디바이스에서 다음과 같은 유형의 영구 NAT를 구성할 수 있습니다.
모든 원격 호스트 - 특정 내부 IP 주소 및 포트의 모든 요청은 동일한 반사 전송 주소에 매핑됩니다. 모든 외부 호스트는 반사 전송 주소로 패킷을 전송하여 내부 호스트로 패킷을 보낼 수 있습니다.
대상 호스트 - 특정 내부 IP 주소 및 포트의 모든 요청은 동일한 반사 전송 주소에 매핑됩니다. 외부 호스트는 패킷을 반사 전송 주소로 전송하여 내부 호스트로 패킷을 보낼 수 있습니다. 내부 호스트는 이전에 외부 호스트의 IP 주소로 패킷을 보냈어야 합니다.
대상 호스트 포트 - 특정 내부 IP 주소와 포트의 모든 요청은 동일한 반사 전송 주소에 매핑됩니다. 외부 호스트는 패킷을 반사 전송 주소로 전송하여 내부 호스트로 패킷을 보낼 수 있습니다. 내부 호스트는 이전에 외부 호스트의 IP 주소 및 포트에 패킷을 보냈어야 합니다.
참고:IPv6 주소로 구성되면 NAT64에 대해 target-host-port 구성이 지원되지 않습니다.
소스 NAT 규칙을 사용하여 영구 NAT 유형을 구성합니다. 소스 NAT 규칙 작업은 소스 NAT 풀(포트 변환 여부) 또는 송신 인터페이스를 사용할 수 있습니다. 영구 NAT 바인딩은 내부 및 외부의 발신 세션을 기반으로 하기 때문에 대상 NAT에 영구 NAT는 적용되지 않습니다.
포트 오버로딩은 일반 인터페이스 NAT 트래픽에 대해서만 Junos OS 사용됩니다. 영구 NAT는 포트 오버로드를 지원하지 않으며 , [edit security nat source
] 계층 수준에서 다음 옵션 중 하나로 포트 오버로드를 명시적으로 비활성화해야 합니다.
포트 오버로드 오프
포트 오버로드 팩터 1
영구 NAT 트래픽을 허용하거나 거부하기 위한 보안 정책을 구성하기 위해 두 개의 새로운 사전 정의된 서비스 및junos-stun
junos-persistent-nat
을(를) 사용할 수 있습니다.
영구 NAT는 영구 주소 기능과 다릅니다( 소스 NAT 풀의 영구 주소 이해 참조). 영구 주소 기능은 디바이스에 구성된 소스 NAT 풀의 주소 매핑에 적용됩니다. 영구 NAT 기능은 외부 네트워크 주소 변환(NAT) 디바이스의 주소 매핑에 적용되며, 특정 소스 NAT 풀 또는 송신 인터페이스에 대해 구성됩니다. 또한 영구 NAT는 STUN 클라이언트/서버 애플리케이션과 함께 사용하기 위한 것입니다.
NAT(STUN) 프로토콜을 위한 세션 트래버스 유틸리티 이해하기
많은 비디오 및 음성 애플리케이션이 NAT 환경에서 제대로 작동하지 않습니다. 예를 들어, VoIP와 함께 사용되는 SIP(Session Initiation Protocol)은 애플리케이션 데이터 내에서 IP 주소와 포트 번호를 인코딩합니다. 요청자와 수신자 사이에 네트워크 주소 변환(NAT) 방화벽이 존재하면 데이터의 IP 주소와 포트 번호 변환이 정보를 무효화합니다.
또한 NAT 방화벽은 들어오는 SIP 메시지에 대한 핀홀을 유지하지 않습니다. 따라서 SIP 애플리케이션은 SIP 메시지의 핀홀을 지속적으로 새로 고치거나 ALG를 사용하여 등록을 추적합니다. 이는 게이트웨이 디바이스에서 지원될 수도 있고 지원되지 않을 수도 있는 기능입니다.
NAT(STUN) 프로토콜을 위한 세션 트래버스(STUN) 프로토콜은 RFC 3489, NAT(Network Address Translators)를 통한 UDP(Simple Traversal of User Datagram Protocol) 에 정의되었으며 , 이후 RFC 5389에서는 NAT를 위한 Session Traversal Utilities가 간단한 클라이언트/서버 프로토콜입니다. STUN 클라이언트는 STUN 서버에 요청을 전송하고, 이 서버는 클라이언트에 대한 응답을 반환합니다. STUN 클라이언트는 일반적으로 공용 IP 주소 및/또는 포트가 필요한 애플리케이션의 일부입니다. STUN 클라이언트는 PC와 같은 종단 시스템 또는 네트워크 서버에 상주할 수 있는 반면, STUN 서버는 일반적으로 공용 인터넷에 연결됩니다.
STUN 클라이언트와 STUN 서버 모두 애플리케이션에서 제공되어야 합니다. 주니퍼 네트웍스 STUN 클라이언트 또는 서버를 제공하지 않습니다.
이스턴 프로토콜을 통해 클라이언트는 다음을 수행할 수 있습니다.
애플리케이션이 네트워크 방화벽의 뒤에 있는지 확인합니다.
사용될 NAT 바인딩 유형을 결정합니다.
STUN 서버에 가장 가까운 네트워크 주소 변환(NAT) 디바이스에 의해 할당된 IP 주소 및 포트 바인딩인 반사 전송 주소를 알아보십시오. (스턴 클라이언트와 스턴스 서버 사이에 여러 수준의 NAT가 있을 수 있습니다.)
클라이언트 애플리케이션은 SIP 및 H.323과 같은 프로토콜 내에서 IP 주소 바인딩 정보를 사용할 수 있습니다.
NAT64 IPv6 접두사에서 IPv4 주소 영구 변환 이해하기
NAT64 메커니즘을 사용하면 IPv6 클라이언트가 IPv6 주소를 IPv4 주소로 변환하여 IPv4 서버에 접촉할 수 있습니다(그 반대의 경우도 마찬가지). 그러나 일부 IPv4 애플리케이션 및 서비스는 464XLAT와 같은 이중 변환 시나리오에서 표준 NAT64가 있는 IPv6 전용 네트워크에서 올바르게 작동하지 않습니다. 이러한 시나리오에서는 주소 영구 변환이 필요합니다.
그림 1 은 464XLAT 아키텍처를 보여줍니다. 여기서 IPv4 패킷은 고객측 번역기(CLAT)의 IPv6 패킷으로 번역된 다음 IPv6 전용 네트워크를 통해 이동하며, 프로바이더 측 통역(PLAT)의 IPv4 패킷으로 다시 변환되어 코어 네트워크에서 글로벌 IPv4 전용 콘텐츠에 액세스합니다. 이 아키텍처는 CLAT에서 무상태 변환과 PLAT의 상태 저장 변환의 조합을 사용합니다.
디바이스가 PLAT로 작동하면 특정 IPv6 접두사와 번역된 IPv4 주소 간의 끈끈한 매핑 관계를 유지할 책임이 있습니다. 디바이스는 IPv6 접두사 를 단일 사용자로 취급합니다. 이 매핑은 기능을 사용하여 IPv4 소스 NAT 풀에서 특정 IPv6 접두사 길이를 address-persistent
구성하여 수행됩니다.
그림 2 는 CLAT에서 구성된 NAT 규칙을 보여주며, 이는 주소-영구 접두사를 사용하여 IPv4 주소를 IPv6 주소로 변환합니다. CLAT에서 스테이트리스 NAT46 변환 및 PLAT의 스테이트풀 NAT64 변환을 통해 IPv4 호스트 192.168.1.2의 트래픽은 IPv6 전용 네트워크를 통해 글로벌 서버 198.51.100.1에 도달합니다.
표 1 에는 다른 NAT 기능과 주소 영구 기능과의 호환성이 나열되어 있습니다.
기능 |
호환 |
||
---|---|---|---|
PAT 풀 |
IPv4
|
NAT IPv4에서 IPv6로 |
아니요 |
NAT IPv6에서 IPv4로 |
예 |
||
IPv6
|
NAT IPv4에서 IPv6로 |
아니요 |
|
NAT IPv6에서 IPv4로 |
아니요 |
||
PAT가 아닌 풀 |
아니요 |
||
포트 오버로드 |
예 |
||
PAT 풀의 영구 NAT |
예 |
||
포트 블록 할당 |
예 |
||
명확한 네트워크 주소 변환(NAT) |
아니요 |
||
페어링된 주소 풀링 |
아니요 |
||
Alg (네이티브 IPv6 클라이언트의 FTP/PPTP/RTSP/DNS/SIP와 같은 기존 ALG NAT 변환.) |
예 |
영구 NAT 및 NAT64 구성 개요
영구 NAT를 구성하려면 소스 NAT 규칙 작업(소스 NAT 풀 또는 송신 인터페이스)으로 다음 옵션을 지정하십시오.
영구 NAT 유형 - 다음 중 하나: 모든 원격 호스트, 대상 호스트 또는 대상 호스트 포트.
(선택 사항) 주소 매핑 - 이 옵션을 사용하면 특정 내부 IP 주소의 요청이 동일한 반사 IP 주소에 매핑될 수 있습니다. 내부 및 반사 포트는 모든 포트가 될 수 있습니다. 모든 포트를 사용하는 외부 호스트는 리플렉시브 IP 주소(내부 트래픽 외부를 허용하는 구성된 수신 정책)로 패킷을 전송하여 내부 호스트로 패킷을 보낼 수 있습니다. 이 옵션이 구성되지 않은 경우 영구 NAT 바인딩은 특정 내부 및 반사 전송 주소에 대한 것입니다.
영구 NAT 유형이
address-mapping
원격 호스트이고 소스 NAT 규칙 작업이 다음 작업 중 하나일 때만 옵션을 지정할 수 있습니다.IP 주소 이동이 있는 소스 NAT 풀
포트 변환이 없고 오버플로우 풀이 없는 소스 NAT 풀
(선택 사항) 비활성 시간 제한 — 바인딩 항목의 모든 세션이 만료된 경우 영구 NAT 바인딩이 디바이스의 메모리에 유지되는 시간(초). 구성된 시간 제한에 도달하면 메모리에서 바인딩이 제거됩니다. 기본값은 300초입니다. 60~7200초까지의 값을 구성합니다.
영구 NAT 바인딩의 모든 세션이 만료되면 바인딩은 지정된 비활성 시간 제한 기간에 대한 디바이스 메모리의 쿼리 상태로 유지됩니다. 비활성 시간 제한 기간이 만료되면(기본값은 300초) 쿼리 바인딩이 메모리에서 자동으로 제거됩니다. 명령을 사용하여 모든 또는 특정 영구 NAT 쿼리 바인딩을 명시적으로 제거할 수 있습니다
clear security nat source persistent-nat-table
.(선택 사항) 최대 세션 수 - 영구 NAT 바인딩과 연결될 수 있는 최대 세션 수. 기본값은 30개의 세션입니다. 8에서 100까지의 값을 구성합니다.
인터페이스 NAT의 경우, [edit security nat source
] 계층 수준에서 다음 옵션 중 하나를 사용하여 포트 오버로드를 명시적으로 비활성화해야 합니다.
포트 오버로드 오프
포트 오버로드 팩터 1
마지막으로, 보안 정책에서 스턴스(STUN) 및 영구 NAT 트래픽을 허용하거나 거부하는 데 사용할 수 있는 두 가지 사전 정의된 서비스가 있습니다.
junos-stun
-STUN 프로토콜 트래픽.junos-persistent-nat
-영구 NAT 트래픽.
any remote host
영구 NAT 유형의 경우 보안 정책 방향은 외부에서 내부로 입니다. 대상 호스트 또는 대상 호스트 포트 영구 NAT 유형의 경우 보안 정책 방향은 내부에서 외부로 입니다.
예: 주소 영구 NAT64 풀 구성
이 예는 구성된 IPv6 접두사 길이와 번역된 IPv4 주소 1개에 의해 계산되는 하나의 특정 IPv6 접두사 간에 고정된 매핑 관계를 보장하기 위해 주소 영구 NAT64 풀을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 기존 NAT 규칙 및 풀 구성이 새 규칙과 충돌하지 않는지 확인합니다.
개요
이 예에서 NAT IPv6에서 IPv4 변환에 대한 IPv4 소스 NAT 풀에서 IPv6 접두사 길이 /64를 구성합니다. NAT 규칙 및 NAT 풀과 일치하는 트래픽은 IPv6 접두사와 IPv4 변환된 주소 간의 주소 영구 변환을 수행합니다. 이 구성은 이중 변환 시나리오인 464XLAT에서 프로바이더 측 번역기(PLAT)에서 사용할 수 있습니다. 이를 통해 IPv4 서비스가 IPv6 전용 네트워크에서 작동할 수 있습니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
소스 NAT 풀을 생성합니다.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
소스 NAT 풀의 IPv6 접두사 길이를 지정합니다.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
규칙 세트를 만듭니다.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
규칙을 일치시킬 수 있습니다.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security nat
. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security nat source { pool NAT64 { address { 198.51.100.240/32 to 198.51.100.254/32; } address-persistent subscriber ipv6-prefix-length 64; } rule-set RS1 { from zone trust; to zone untrust; rule R1 { match { source-address 2001:db8::/32; destination-address 198.51.100.198/32; } then { source-nat { pool { NAT64; } } } } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
예: 인터페이스 NAT로 영구 NAT를 구성하여 네트워크 구성 지원
소스 NAT 규칙을 사용하여 영구 NAT 유형을 구성할 수 있습니다. 이 예는 인터페이스 IP 주소로 영구 NAT를 적용하는 방법과 인터페이스 IP 주소를 NAT IP 주소로 사용하여 특정 내부 호스트에 대한 영구 NAT를 수행하는 방법을 보여줍니다. 또한 호스트에 대한 영구 주소 포트 매핑 동작과 영구 NAT 필터 동작을 유지하는 방법도 보여줍니다. 인터페이스 NAT에 대한 포트 오버로드를 비활성화해야 합니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX 시리즈 디바이스 1대
PC 4개
시작하기 전에 다음을 수행합니다.
영구 NAT의 개념을 이해합니다. 영구 NAT 및 NAT64 구성 개요를 참조하십시오.
개요
캐리어급 NAT(CGN) 네트워크 구축에서 인터페이스 IP 주소를 NAT 주소로 구성하여 영구 네트워크 주소 변환을 수행할 수 있습니다. 이러한 방식으로 내부 호스트는 내부에서 외부로 시작된 나가는 트래픽에 의해 하나의 소스 NAT 매핑 관계를 생성할 수 있습니다. 그런 다음 외부 호스트는 공유 네트워크 주소 변환(NAT) 매핑 관계를 통해 이 인터페이스 NAT 주소로 트래픽을 전송하여 트래픽을 이 내부 호스트로 다시 보냅니다.
이 예에서 먼저 인터페이스 ge-0/0/1에서 인터페이스 ge-0/0/2로 트래픽을 일치하도록 int1 인터페이스 NAT 규칙을 설정한 다음, NAT 규칙을 1에서 특정 소스 및 대상 주소와 일치하도록 구성하여 영구 NAT를 수행합니다. 인터페이스 NAT가 any remote host
수행될 때 영구 NAT 유형을 구성합니다.
소스 주소 192.0.2.0/24(내부 전화) 및 대상 주소 198.51.100.0/24( STUN 서버, SIP 프록시 서버 및 외부 전화 포함)가 있는 패킷의 경우, 영구 NAT 유형을 사용하여 any remote host
인터페이스 NAT를 구성합니다. 그런 다음 인터페이스 NAT에 대한 포트 오버로드를 비활성화합니다.
그런 다음, 원격 호스트 영구 NAT 유형에 대해 외부 네트워크(외부 영역)에서 내부 네트워크(내부 영역)로의 영구 NAT 트래픽을 허용하도록 보안 정책을 구성합니다.
토폴로지
그림 3 은 인터페이스 영구 NAT 토폴로지 를 보여줍니다.
표 2 는 이 예에서 구성된 매개 변수를 보여줍니다.
매개 변수 |
설명 |
---|---|
외부 영역 |
외부 네트워크 |
내부 영역 |
내부 네트워크 |
External_phones2 |
외부 네트워크의 전화2 주소 |
Internal_phone1 |
내부 네트워크의 Phone1 주소 |
SIP_proxy 서버 |
외부 네트워크의 SIP 프록시 서버 주소 |
STUN 서버 |
외부 네트워크의 STUN 서버 주소 |
서브넷 198.51.100.1/32 |
대상 IP 주소 |
서브넷 192.0.2.2/32 |
소스 IP 주소 |
ge-0/0/1 및 ge-0/0/2 |
트래픽 방향을 위한 NAT 인터페이스 |
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
인터페이스 NAT 규칙 세트를 구성하려면 다음을 수행합니다.
인터페이스 NAT에 대한 영구 NAT 규칙을 생성합니다.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
인터페이스 NAT에 대한 포트 오버로드를 비활성화합니다.
[edit security] user@host# set nat source interface port-overloading off
내부 SIP 전화기에서 외부 STUN 서버로 기절 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
내부 SIP 전화기에서 외부 SIP 프록시 서버로의 SIP 프록시 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
외부 SIP 전화기에서 내부 SIP 전화로의 SIP 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
결과
구성 모드에서 및 show security policies
명령을 입력하여 구성을 show security nat
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
[edit] user@host# show security nat source { interface { port-overloading off; } rule-set int1 { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule in1 { match { source-address 192.0.2.0/24; destination-address 198.51.100.0/24; } then { source-nat { interface { persistent-nat { permit any-remote-host; } } } } } } } [edit] user@host# show security policies from-zone internal to-zone external { policy stun_traffic { match { source-address internal_phones; destination-address stun_server; application junos-stun; } then { permit; } } policy sip_proxy_traffic { match { source-address internal_phones; destination-address sip_proxy_server; application junos-sip; } then { permit; } } policy sip_traffic { match { source-address internal_phones; destination-address external_phones; application junos-persistent-nat; } then { permit; } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인합니다.
규칙의 일치 및 사용 확인
목적
모든 규칙이 일치하고 사용되는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat source persistent-nat-table all
.
user@host>show security nat source persistent-nat-table all Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule 192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1 192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
의미
출력에는 영구 NAT 정보 요약이 표시됩니다.
NAT 트래픽 세션이 설정되었는지 확인
목적
디바이스에서 세션이 설정되었는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security flow session
.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
의미
show security flow session
명령은 디바이스에 활성 세션과 각 세션의 관련 보안 정책을 표시합니다. 출력은 198.51.100.45에서 공용 호스트로 향하는 프라이빗 소스 주소 192.0.2.12를 사용하여 디바이스로 들어오는 트래픽을 보여줍니다. 이 플로우의 반환 트래픽은 번역된 공용 주소 198.51.100.1로 이동합니다.
Session ID—세션을 식별하는 번호입니다. 이 ID를 사용하여 정책 이름 또는 패킷 수와 같은 세션에 대한 자세한 정보를 얻을 수 있습니다.
sip_proxy_traffic— 내부 SIP 전화기에서 외부 SIP 프록시 서버로 SIP 트래픽을 허용한 정책 이름.
In-수신 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소) 세션은 UDP이며, 이 세션의 소스 인터페이스는 ge-0/0/1.0입니다).
Out-역 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소). 세션은 UDP이며, 이 세션의 대상 인터페이스는 ge-0/0/2.0입니다).
stun_traffic—내부 SIP 전화기에서 외부 STUN 서버로 기절 트래픽을 허용한 정책 이름입니다.
예: IPv6 클라이언트에 대한 주소 종속 필터링 구성
이 예는 NAT64를 사용하여 IPv6 클라이언트에 대한 주소 종속 필터링을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스에서 IPv6이 활성화되었는지 확인합니다.
기존 NAT 규칙 및 풀 구성이 새로운 규칙과 충돌하지 않도록 합니다.
개요
이 예에서는 NAT64를 사용하여 IPv6 내부 호스트에서 IPv4 외부 호스트로, IPv4 외부 호스트에서 IPv4 내부 호스트로 패킷을 전송합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IPv6 클라이언트에 대한 주소 종속 필터링 구성 방법:
NAT64에 대한 규칙 집합을 만듭니다.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
규칙을 일치시킬 수 있습니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
소스 주소 풀을 정의하고 주소를 풀에 추가합니다.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
NAT64에 대한 또 다른 규칙 집합을 만듭니다.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
규칙을 소스 주소와 일치시킬 수 있습니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
규칙을 대상 주소와 일치시킬 수 있습니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
영구 NAT를 구성합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show nat source
. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit security] user@host#show nat source pool myipv4 { address { 203.0.113.2/32; } } rule-set test_rs { rule test_rule { match { destination-address 2001:db8::/128; } } } rule-set myipv4_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv4_rule { match { source-address 2001:db8::/96; destination-address 10.2.2.15/32; } then { source-nat { pool { myipv4; persistent-nat { permit target-host; } } } } } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인합니다.
구성이 활성화되고 작동하는지 확인
목적
구성이 활성화되고 작동하는지 확인합니다.
작업
운영 모드에서 다음 명령을 입력합니다.
show security nat static rule test_rule
show security nat source rule ipv4_rule
show security nat source pool myipv4
예: IPv6 클라이언트에 대한 엔드포인트 독립 필터링 구성
이 예는 NAT64를 사용하여 IPv6 클라이언트에 대한 엔드포인트 독립 필터링을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스에서 IPv6이 활성화되었는지 확인
기존 NAT 규칙 및 풀 구성이 새로운 규칙과 충돌하지 않도록 합니다.
개요
이 예에서는 NAT64를 사용하여 IPv6 내부 호스트에서 IPv4 외부 호스트로, IPv4 외부 호스트에서 IPv4 내부 호스트로 패킷을 전송합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IPv6 클라이언트에 대한 엔드포인트 독립 필터링 구성 방법:
NAT64에 대한 규칙 집합을 만듭니다.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
규칙을 일치시킬 수 있습니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
소스 주소 풀을 정의하고 주소를 풀에 추가합니다.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
NAT64에 대한 또 다른 규칙 집합을 만듭니다.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
규칙을 소스 주소와 일치시킬 수 있습니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
규칙을 대상 주소와 일치시킬 수 있습니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
규칙이 일치할 때 수행할 작업을 제공합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
영구 NAT를 구성합니다.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security nat
. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit security] user@host#show security nat source { pool myipv6_prefix { address { 2001:db8::/64; } } pool myipv4 { address { 203.0.113.2/32; } } rule-set myipv6_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv6_rule { match { source-address 10.1.1.0/30; destination-address 2001:db8::2/96; } then { source-nat { pool { myipv6_prefix; } } } } } rule-set myipv4_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv4_rule { match { source-address 2001:db8::/96; destination-address 10.2.2.15/32; } then { source-nat { pool { myipv4; persistent-nat { permit target-host; } } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 2001:db8::/128; } then { static-nat { prefix { 10.2.2.15/32; } } } } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인합니다.
구성이 활성화되고 작동하는지 확인
목적
구성이 활성화되고 작동하는지 확인합니다.
작업
운영 모드에서 다음 명령을 입력합니다.
show security nat static rule test_rule
show security nat source rule ipv4_rule
show security nat source pool myipv4
예: 최대 영구 NAT 바인딩 설정
이 예는 영구 NAT 용량을 늘리는 방법을 보여줍니다.
요구 사항
시작하기 전에 영구 NAT 및 NAT64 이해를 참조하십시오.
개요
이 예에서 최대 영구 NAT 용량 옵션을 활성화합니다. 이 옵션은 SRX1K-NPC-SPC-1-10-40이 있는 SRX1400 디바이스의 SPC(Services Processing Card)에서만 지원됩니다. SRX3K-SPC-1-10-40이 포함된 SRX3000 시리즈 디바이스, SRX5K-SPC-2-10-40SPC 및 SRX5K-SPC3가 포함된 SRX5000 시리즈 디바이스. SRX5K-SPC-2-10-40SPC 및 SPC3가 있는 SRX5000 시리즈 디바이스의 경우 최대 세션 수를 줄이는 비용으로 영구 NAT 바인딩 수가 극대화됩니다.
이 옵션을 활성화하기 위해 지원되는 중앙 포인트 최대 바인딩 용량은 중앙 포인트 세션 용량의 1/8까지 최대 2M까지 증가할 수 있으며, 지원되는 SPU 최대 바인딩 용량은 각 SPU 세션 용량의 1/4로 대략적으로 증가될 수 있습니다. 따라서 플로우 세션 용량은 CP와 SPU 모두에서 1/4 감소합니다.
기본적으로 SRX5400, SRX5600 또는 SRX5800 디바이스의 중앙점과 SPU 모두에서 영구 NAT 바인딩 용량은 64,000입니다. 이 예에서 세션 용량을 중앙 지점에서 최대 20,000,000, 최대 세션 구성으로 각 SPU에서 최대 1,100,000까지 활성화합니다. 옵션을 활성화 maximize-persistent-nat-capacity
하면 4GB 메모리가 있는 SRX5400, SRX5600 또는 SRX5800 디바이스는 중앙 지점에서 최대 2M 영구 NAT 바인딩과 각 SPU에서 275,000개의 바인딩을 지원할 수 있습니다.
구성
절차
단계별 절차
영구 NAT 용량을 늘리려면 다음을 수행합니다.
영구 NAT 용량 극대화 옵션을 설정합니다.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
운영 모드에서 시스템을 다시 시작합니다.
[edit] user@host# request system reboot
참고:영구 NAT 용량 모드 또는 정규 모드로 다시 극대화하기 위해 스위칭할 때는 디바이스를 다시 시작해야 합니다.
디바이스를 다시 일반 모드로 전환하려면 최대 영구 NAT 용량 모드 구성을 삭제합니다.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
영구 NAT 헤어핀 개요
두 호스트 간에 트래픽이 전송되면 트래픽 소스 호스트는 공용 IP 주소로만 대상 호스트를 알 수 있습니다. 실제로 대상 호스트는 소스 호스트와 동일한 프라이빗 주소 공간에 있을 수 있습니다. 헤어핀(Hairpinning)은 프라이빗 서브네트워크에서 대상 호스트로 트래픽을 이동시키는 방법으로 트래픽이 어디에서 왔는지를 파악하여 반환하는 프로세스입니다.
일반적으로 서브네트워크의 소스 호스트는 공용 IP 주소로만 대상 호스트를 식별하기 때문에 트래픽이 동일한 서브네트워크 내의 대상 호스트에 대한 것임을 인식하지 못할 수 있습니다. NAT는 IP 패킷을 분석하고 패킷을 올바른 호스트로 다시 라우팅합니다.
내부 네트워크의 두 호스트가 NAT 디바이스에서 바인딩을 사용하여 서로 통신하기를 원할 경우 NAT 헤어바닝 지원이 필요합니다. 이 경우 네트워크 NAT 디바이스는 내부 네트워크에서 패킷을 수신하고 이를 내부 네트워크로 다시 전달합니다. 헤어핀이 지원되지 않으면 패킷 전달에 실패하고 누락됩니다.
헤어핀을 사용하면 프라이빗 네트워크에서 두 개의 엔드포인트(호스트 1 및 호스트 2)가 서로의 외부 IP 주소 및 포트만 사용하는 경우에도 통신할 수 있습니다. 호스트 1이 호스트 3에 트래픽을 전송하면, 호스트 1의 내부 소스 IP 주소와 포트 사이의 NAT 바인딩은 외부 IP 주소 및 포트와 NAT 테이블에 연결됩니다. Host 2가 Host 3에 트래픽을 전송할 때도 마찬가지입니다. 이러한 방식으로 호스트 1과 호스트 2가 통신하기를 원할 때 서로의 외부 IP 주소를 식별할 수 있습니다.
예를 들어, 호스트 1이 호스트 2와 통신하는 경우 NAT(헤어피닝 지원 포함)를 사용하여 호스트 2의 외부 주소를 포함하는 패킷을 호스트 2의 내부 주소로 다시 라우팅합니다.
그림 4에서 다음 매개 변수가 사용됩니다.
호스트 1 IP 주소 -
10.10.10.2/24
호스트 2 IP 주소 -
10.10.10.10/24
영역 내 IP 주소 -
10.10.10.254/24
호스트 3 IP 주소 -
198.51.100.2/24
영역 간 IP 주소 -
198.51.100.254/24
호스트 1과 호스트 2는 영역에
reht0z
있으며, Host 3은 존에 있습니다reth1z
.
표 3 은 이 예에서 사용된 바인딩 테이블을 보여줍니다.
원래 소스 IP 주소 |
번역된 소스 IP 주소 |
---|---|
10.10.10.2/24 ~ 10.10.10.11/24 |
192.0.2.1/32 ~ 192.0.2.10/32 |
영구 NAT 헤어핀은 모든 원격 호스트 영구 NAT 유형에만 적용됩니다. 헤어핀을 허용하려면 동일한 영역의 엔드포인트 간 트래픽을 허용하는 보안 정책을 구성해야 합니다. 실제로 두 엔드포인트는 두 개의 호스트 중 하나가 피어의 공용 주소만 볼 수 있는 한 두 개의 서로 다른 영역에 위치할 수 있습니다. NAT 헤어핀 동작은 대상 호스트 영구 NAT 및 대상 호스트 포트 영구 NAT에 의해 지원되지 않습니다. 모든 원격 호스트 영구 NAT만이 헤어핀 동작을 지원합니다.
예: 주소 이동 기능을 사용하는 소스 NAT 풀을 통한 영구 NAT 헤어핀 구성
이 예는 영구적 NAT 헤어핀을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 생성하고 인터페이스를 할당합니다. 보안 영역 이해를 참조하십시오.
개요
헤어핀(Hairpinning)을 사용하면 프라이빗 네트워크의 패킷을 해석한 다음 공용 네트워크로 전달되지 않고 프라이빗 네트워크로 루프백할 수 있습니다. 헤어핀 기능을 사용하면 NAT 테이블의 해당 레코드를 사용하여 패킷이 로컬 네트워크의 호스트에 전달된다는 것을 인식할 수 있습니다. 그런 다음 대상 IP 주소를 변환하고 패킷을 로컬 네트워크(포트 매핑의 경우 뿐만 아니라)로 다시 보냅니다. 이를 통해 두 호스트 간의 트래픽이 제대로 작동합니다.
토폴로지
헤어핀을 사용하면 프라이빗 네트워크에서 두 개의 엔드포인트(호스트 1 및 호스트 2)가 서로의 외부 IP 주소 및 포트만 사용하는 경우에도 통신할 수 있습니다. 이것은 그림 5에 설명되어 있습니다.
호스트 1이 호스트 3에 트래픽을 전송하면, 호스트 1의 내부 소스 IP 주소와 포트 사이의 NAT 바인딩은 외부 IP 주소 및 포트와 NAT 테이블에 연결됩니다. Host 2가 Host 3에 트래픽을 전송할 때도 마찬가지입니다. 이러한 방식으로 호스트 1과 호스트 2가 통신하기를 원할 때 서로의 외부 IP 주소를 식별할 수 있습니다.
예를 들어, 호스트 1이 호스트 2와 통신하는 경우 NAT(헤어피닝 지원 포함)를 사용하여 호스트 2의 외부 주소를 포함하는 패킷을 호스트 2의 내부 주소로 다시 라우팅합니다.
그림 5에서 다음 매개 변수가 사용됩니다.
호스트 1 IP 주소 -
10.10.10.2/24
호스트 2 IP 주소 -
10.10.10.10/24
영역 내 IP 주소 -
10.10.10.254/24
호스트 3 IP 주소 -
198.51.100.2/24
영역 간 IP 주소 -
198.51.100.254/24
호스트 1과 호스트 2는 영역에
reht0z
있으며, Host 3은 존에 있습니다reth1z
.
표 4 는 이 예에서 사용된 바인딩 테이블을 보여줍니다.
원래 소스 IP 주소 |
번역된 소스 IP 주소 |
---|---|
10.10.10.2/24 ~ 10.10.10.11/24 |
192.0.2.1/32 ~ 192.0.2.10/32 |
구성
절차
단계별 절차
영구 NAT 헤어핀 구성 방법:
인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
존(reth0z 및 reth1z)을 생성합니다.
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
zones reth0z 및 reth1z에 대한 정책을 생성합니다.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
영구 NAT 헤어피닝을 하려면 동일한 영역 정책을 추가합니다.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
호스트 1 및 호스트 2(src1)에 대한 소스 NAT 풀을 생성합니다.
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
호스트 1 및 호스트 2(src1)에 대한 원래 소스 IP 주소 범위의 시작을 지정합니다.
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
소스 NAT 규칙 집합 r1을 구성합니다.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
결과
구성 모드에서 명령을 입력 show security nat
하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host#
show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
바인딩 1을 생성하는 호스트 간에 전송된 트래픽
목적
호스트(호스트 1과 호스트 3) 간에 전송된 트래픽을 확인하여 바인딩 1을 생성합니다.
작업
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>
show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
바인딩 2를 생성하는 호스트 간에 전송된 트래픽
목적
호스트(호스트 2와 호스트 3) 간에 전송된 트래픽을 확인하여 바인딩 2를 생성합니다.
작업
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>
show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
두 호스트 간에 전송된 트래픽
목적
호스트 1에서 호스트 2로 전송된 트래픽을 확인합니다.
작업
user@host>
show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1