|
◆ JUNOS - NAT
SRXでは、Source NAT、Static NAT、Destination NATの大きく3種類のNATを実装させる事ができます。
| 実装できるNAT |
説明 |
| Source NAT |
送信元アドレスを変換するNAT。出力I/Fのアドレス、またはプールアドレスに送信元アドレスを変換。
Source NATにはさらに次の2種類がある。「 Port Translation : ON」「 Port Translation : OFF」 |
| Destination NAT |
宛先アドレスを変換するNAT。プールアドレスに宛先アドレスを変換。Destination NATには以下の
3種類がある。「1対1」「1対多」「多対多」。SSGのVIPに該当する機能が含まれている。
|
| Static NAT |
1対1のスタティックNAT。マッピング用アドレスへの通信を指定した宛先アドレスに変換。逆向き通信は
送信元アドレスがマッピング用アドレスに変換される1対1のNATとなる。SSGのMIPに該当する機能。
|
| セキュリティポリシーとNAT処理の順序 |
説明 |
| Source NAT、Reverse Static NAT |
NAT変換前にセキュリティポリシーがチェックされるので、
NAT変換前の送信元アドレスをセキュリティポリシーに設定する。
|
| Destination NAT、Static NAT |
NAT変換後にセキュリティポリシーがチェックされるので、
NAT変換後の宛先アドレスをセキュリティポリシーに設定する。
|
◆ NAT - ルールセットとルール
各ルールセットは宛先や送信元アドレスに基づいたマッチ条件のセットを持っています。パケットが複数の
ルールセットに合致する場合、最も詳細に合致するルールが優先されます。優先順位は以下の1. ⇒ 2. ⇒ 3.。
1. Interface 2. Zone 3. Routing-Instance
そして、ルールセットの中に設定されたルールは上から順番にマッチ評価されていきます。CiscoACLと同じ。
◆ NAT - ProxyARPの設定
Juniper SRXでは、I/FのIPアドレス以外のARPは返さないので、次の条件ではProxy ARPを設定する必要が
あります。※ NAT変換後のアドレスがSRXのI/FのIPアドレスと同じセグメントであっても、対向の機器で
NAT変換後のアドレスにホストルートが定義している場合など、ルーティング上でSRXのI/FのIPアドレスの
MACアドレスを解決できればよい構成である場合は、Proxy ARPの設定は必要ありません。
1. Source NATまたはStaticNATに定義されたアドレスがインターフェースと同じサブネットに存在する場合
下図の赤字の設定は「インターフェースfe-0/0/0.0のアドレス1.1.1.5に対するプロキシARP」となりますが
この設定により、SRXはそのアドレスに対してインターフェース上で受信したARPリクエストに応答できます。
2. Destination NATに定義された変換前の宛先アドレスが、着信 I/Fと同じサブネットに存在する場合
この設定により、Fe-0/0/0/0 側に着信する 1.1.1.10 のARP要求に対して、ARP応答を返せられます。
|