« Cisco IPアクセスリストのシーケンス番号を利用した修正方法 | トップページ | NetScreen/SSGでVPN(IPSec SA)の状態を確認する方法 »

NetScreenでインターフェースをNATモードにした場合のNAT動作仕様

NetScreenではNATの機能がいくつかあるが、そのうち
インターフェースベースのNATモードとポリシーベースのNATモードが
存在する。(これ以外にもMIP、VIPなどもあるが)
ここではインターフェースベースのNATを有効にした場合の動作について
説明する。

英語表記 interface-based NAT , Policy-based NAT

■ NATモードの制限事項

NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208では
以下のようなインターフェース割り当ての場合にNATモードを利用できる。

    Ethernet1 ---> Trust
    Ethernet2 ---> DMZ  (もしくはCustomゾーン)
    Ethernet3 ---> Untrust

■ Untrustインターフェースをnatモードにしても意味は無い

Untrustゾーンに所属するインターフェースはnatモードにしても
設定上可能なだけであり何ら意味は無いそうである。

■ 推奨のNAT構成

JuniperではインターフェースベースのNATに代わり
ポリシーベースのNATを利用する事を強く推奨している。
(routeモードを使いNATは別途ポリシーレベルで管理する方法)

しかし、ポリシーベースのNATはコンフィグレーションに非常に時間がかかる。
コンフィグレーションの時間削減や設定の単純化のためには
インターフェースベースのNATは非常に便利であるため、
これをうまく利用する事がNetScreenを使いこなす上で非常に重要であると
筆者は考えている。

◆ 構成シナリオ1

NS50などのデフォルトの状態

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(nat)     DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Trust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  route
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

◆ 構成シナリオ2

NS50などのデフォルトの状態からUntrustゾーンを
Untrust-VRに所属させた状態。

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(nat)     DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Untrust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  NAT
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

◆ 構成シナリオ3

NS50などのデフォルトの状態からUntrustゾーンを
Untrust-VRに所属させ、Ethernet2をrouteモードに
した場合。

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(route)   DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Untrust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  route
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

◆ 構成シナリオ4

NS50などのデフォルトの状態からethernet2を
DMZでは無くCustomZoneに所属させた状態。
VRは全て同じTrust-VR

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(nat)     CustomZone (Trust-VR)
    Ethernet3(route)   Untrust    (Trust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust        -->  CustomZone   route
    ・Trust        -->  Untrust      NAT
    ・CustomZone   -->  Trust        route
    ・CustomZone   -->  Untrust      route
    ・Untrust      -->  Trust        route
    ・Untrust      -->  CustomZone   route

◆ 構成シナリオ5

NS50などのデフォルトの状態からethernet2を
DMZでは無くCustomZoneに所属させ、尚且つ
UntrustゾーンをUntrust-VRに所属させた状態

・インターフェースの構成
    Interface(mode)    Zone        Virttual Router
    Ethernet1(nat)     Trust       (Trust-VR)
    Ethernet2(nat)     CustomZone  (Trust-VR)
    Ethernet3(route)   Untrust     (Unrust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust        -->  CustomZone    route
    ・Trust        -->  Untrust       NAT
    ・CustomZone   -->  Trust         route
    ・CustomZone   -->  Untrust       NAT
    ・Untrust      -->  Trust         route
    ・Untrust      -->  CustomZone    route

◆ 構成シナリオ6

ethernet2をCustomZone1ゾーンへ変更
ethernet4をCustomZone2ゾーンへ変更し
UntrustゾーンをUntrust-VRに所属させた状態

・インターフェースの構成
    Interface(mode)    Zone        Virttual Router
    Ethernet1(nat)     Trust       (Trust-VR)
    Ethernet2(nat)     CustomZone1 (Trust-VR)
    Ethernet3(route)   Untrust     (Unrust-VR)
    Ethernet4(nat)     CustomZone2 (Trust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust        -->  CustomZone1   route
    ・Trust        -->  CustomZone2   route
    ・Trust        -->  Untrust       NAT
    ・CustomZone1  -->  Trust         route
    ・CustomZone1  -->  CustomZone2   route
    ・CustomZone1  -->  Untrust       NAT
    ・CustomZone2  -->  Trust         route
    ・CustomZone2  -->  CustomZone1   route
    ・CustomZone2  -->  Untrust       NAT
    ・Untrust      -->  Trust         route
    ・Untrust      -->  CustomZone1   route
    ・Untrust      -->  CustomZone2   route

◆ 構成シナリオ7

Juniper KBに記載されているシナリオ

TrustゾーンはTrust-VRに所属しているが
DMZゾーンはUntrust-VRに所属させTrust、DMZ、Untrustを利用している場合

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    NAT
    ・Untrust -->  Trust    route

■ NetScreen-5GT Extendedの場合

NetScreen-5GT ExtendedではCustomゾーンは作成できるが
ethernet2のDMZゾーンのバインドをCustomゾーンへ割当てる事はできない。

◆ NetScreen-5GT Extended 構成シナリオ1

NS5GT Extendedのデフォルトの状態

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(nat)     DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Trust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  route
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

◆ NetScreen-5GT Extended 構成シナリオ2

NS5GT Extendedのデフォルトの状態から
ethernet2のみrouteモードにした場合。

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(route)   DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Trust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  route
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

◆ NetScreen-5GT Extended 構成シナリオ3

NS5GT Extendedのデフォルトの状態から
UntrustゾーンをUntrust-VRに所属させた場合

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(nat)     DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Untrust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  NAT
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

◆ NetScreen-5GT Extended 構成シナリオ4

NS5GT Extendedのデフォルトの状態から
ethernet2のみrouteモードにし
UntrustゾーンをUntrust-VRに所属させた場合

・インターフェースの構成
    Interface(mode)    Zone       Virttual Router
    Ethernet1(nat)     Trust      (Trust-VR)
    Ethernet2(route)   DMZ        (Trust-VR)
    Ethernet3(route)   Untrust    (Untrust-VR)

・トラフィックフローとNATの有無
    ※NATはNAT有、routeはNAT無

    ・Trust   -->  DMZ      NAT
    ・Trust   -->  Untrust  NAT
    ・DMZ     -->  Trust    route
    ・DMZ     -->  Untrust  route
    ・Untrust -->  Trust    route
    ・Untrust -->  DMZ      route

適用ScreenOS:

ScreenOS4.0.0以上

適用機種:

NetScreen-5
NetScreen-5XP
NetScreen-5XT
NetScreen-10
NetScreen-25
NetScreen-50
NetScreen-100
NetScreen-204
NetScreen-208
NetScreen-5200
NetScreen-5400

参考:

How Does the NetScreen NAT When Interface-Based NAT is Enabled? (KB ID: KB6725)
http://kb.juniper.net/KB6725

|

« Cisco IPアクセスリストのシーケンス番号を利用した修正方法 | トップページ | NetScreen/SSGでVPN(IPSec SA)の状態を確認する方法 »

「NetScreen」カテゴリの記事