APPLICATION NOTE
ジュニパーネットワークスSRXシリーズおよび
JシリーズのNAT（ScreenOSユーザー向け）
ScreenOS と Junos OS CLI の違いについて
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
目次
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
本書の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
設計上の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
ハードウェア要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
ソフトウェア要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
説明および導入シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
ソース NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
インタフェースベースのソース NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
IP プールを使用するソース NAT（ポート変換あり / なしの動的 IP プール）. . . . . . . . . . . . . . . . . . . . . . . . . . . 2
ScreenOS の構成（ポート変換あり）. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Junos OS の構成（ポート変換あり）. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
ScreenOS の構成（ポート変換なし）. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Junos OS の構成（ポート変換なし）. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
IP アドレスシフティングを行うソース NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
ループバックグループと動的 IP（DIP）を使用するソース NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
静的 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
単一ホストへの静的 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
サブネットへの静的 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
バーチャル IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
宛先 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
単一ホストへの宛先アドレス変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
Junos OS の構成コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
単一ホストへの宛先アドレスおよびポート変換. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
単一ホストへの宛先アドレス変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ScreenOS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Junos OS の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ii
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
図目次
図 1：ソース NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
図 2：ループバックグループと DIP を使用するソース NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
図 3：静的 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
図 4：バーチャル IP（VIP）. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
図 5：宛先 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Copyright © 2014, Juniper Networks, Inc.
iii
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
はじめに
ジュニパーネットワークスの SRX シリーズ サービス・ゲートウェイおよび J シリーズ サービスルーターでは、
ジュニパーネットワークス Junos® OS CLI（Command-line Interface）を使用します。ScreenOS® ユーザー
にとっては、このインタフェースにあまりなじみのないユーザーも多いでしょう。Junos OS は幅広い機能セッ
トを備えているため、NAT の構成に必要なコマンドシーケンスが ScreenOS の場合よりも通常少し長くなり
ます。以下の CLI の例は、ScreenOS ユーザーが Junos OS への移行を計画する際の出発点になります。
本書の目的
本 書 で は、 一 般 的 な ScreenOS の NAT（Network Address Translation） の CLI コ マ ン ド シ ー ケ ン ス と
Junos OS のコマンドシーケンスを比較します。Junos OS の次世代 NAT アーキテクチャの概要については、
本書では説明しません。ジュニパーネットワークス SRX シリーズ サービス・ゲートウェイおよび J シリーズ
サービスルーターの Junos OS の NAT については、アプリケーションノート『SRX シリーズおよび J シリー
ズのネットワークアドレス変換』を参照してください。
本書は、NAT、ScreenOS、および ScreenOS で使用可能なさまざまな NAT オプションについて熟知してい
ることを前提としています。
設計上の考慮事項
ハードウェア要件
• ジュニパーネットワークス J2320、J2350、J4350、および J6350 サービスルーター
• ジュニパーネットワークス SRX シリーズ サービス・ゲートウェイ
ソフトウェア要件
• Junos OS リリース 9.2 以上（SRX シリーズ サービス・ゲートウェイの場合）（9.2 よりも後にリリース
された SRX シリーズ サービス・ゲートウェイの場合、もっと最新のリリースが必要）
• Junos OS リリース 9.5 以上（ジュニパーネットワークス J シリーズ サービスルーターの場合）
説明および導入シナリオ
私設網からインターネットへの接続を可能にすると、通常は SRX シリーズ サービス・ゲートウェイまたは J
シリーズ サービスルーターの導入に必要な最初のステップが NAT の構成になります。以下に紹介されている
コマンドシーケンスを見直すことにより、一般的な何種類かの NAT を構成できます。
紹介されているコマンドシーケンスをそのままコピーして使えますが、使用されている IP アドレスはあくま
でも例なので、導入先固有のアドレス要件に合わせて変更する必要があります。
ソース NAT
インターネット
SRX210
1.1.1.1/24
10.1.1.0/24
図 1：ソース NAT
インタフェースベースのソース NAT
インタフェース
ゾーン
IP アドレス
Ethernet 0/0
untrust
1.1.1.1/24
Ethernet 0/1
trust
10.1.1.1/24
ScreenOS の構成
set policy id 1 from trust to untrust any any any nat src permit
Copyright © 2014, Juniper Networks, Inc.
1
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
Junos OS の構成
set security nat source rule-set interface-nat from zone trust
set security nat source rule-set interface-nat to zone untrust
set security nat source rule-set interface-nat rule rule1 match source-address 0.0.0.0/0
destination-address 0.0.0.0/0
set security nat source rule-set interface-nat rule rule1 then source-nat interface
set security policies from-zone trust to-zone untrust policy permit-all match source-address
any destination-address any application any
set security policies from-zone trust to-zone untrust policy permit-all then permit
IP プールを使用するソース NAT（ポート変換あり / なしの動的 IP プール）
インタフェース
ゾーン
IP アドレス
Ethernet 0/0
untrust
1.1.1.1/24
Ethernet 0/1
trust
10.1.1.1/24
ScreenOS の構成（ポート変換あり）
set int e0/0 dip 4 1.1.1.10 1.1.1.15
set policy id 1 from trust to untrust any any any nat src
dip-id
4 permit
Junos OS の構成（ポート変換あり）
set security nat source pool pool-1 address 1.1.1.10 to 1.1.1.15
set security nat source rule-set pool-nat from zone trust
set security nat source rule-set pool-nat to zone untrust
set security nat source rule-set pool-nat rule rule1 match source-address 0.0.0.0/0
destination-address 0.0.0.0/0
set security nat source rule-set pool-nat rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/0 address 1.1.1.10 to 1.1.1.15
set security policies from-zone trust to-zone untrust policy permit-all match source-address
any destination-address any application any
set security policies from-zone trust to-zone untrust policy permit-all then permit
注：上記のコマンドシーケンスを変更して、ポート変換なしのソースプールを作成できます。
ScreenOS の構成（ポート変換なし）
set int e0/0 dip 4 1.1.1.10 1.1.1.15 fix-port
Junos OS の構成（ポート変換なし）
set security nat source pool pool-1 address 1.1.1.10 to 1.1.1.15
set security nat source pool pool-1 port no-translation
set security nat source rule-set pool-nat from zone trust
set security nat source rule-set pool-nat to zone untrust
set security nat source rule-set pool-nat rule rule1 match source-address 0.0.0.0/0
destination-address 0.0.0.0/0
set security nat source rule-set pool-nat rule rule1 then source-nat pool pool-1
set security policies from-zone trust to-zone untrust policy permit-all match source-address
set security nat proxy-arp interface ge-0/0/0 address 1.1.1.10 to 1.1.1.15
any destination-address any application any
set security policies from-zone trust to-zone untrust policy permit-all then permit
2
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
IP アドレスシフティングを行うソース NAT
インタフェース
ゾーン
IP アドレス
Ethernet 0/0
untrust
1.1.1.1/24
Ethernet 0/1
trust
10.1.1.1/24
ScreenOS の構成
set int e0/0 dip 4 shift-from 10.1.1.100 to 1.1.1.100 1.1.1.109
Junos OS の構成
set security nat source pool pool-1 address 1.1.1.100 to 1.1.1.109
set security nat source pool pool-1 host-address-base 10.1.1.100
set security nat source rule-set pool-nat from zone trust
set security nat source rule-set pool-nat to zone untrust
set security nat source rule-set pool-nat rule rule1 match source-address 0.0.0.0/0
destination-address 0.0.0.0/0
set security nat source rule-set pool-nat rule rule1 then source-nat pool pool-1
set security policies from-zone trust to-zone untrust policy permit-all match source-address
set security nat proxy-arp interface ge-0/0/0 address 1.1.1.100 to 1.1.1.109
any destination-address any application any
set security policies from-zone trust to-zone untrust policy permit-all then permit
ループバックグループと動的 IP（DIP）を使用するソース NAT
インタフェース
ゾーン
Ethernet 0/0
untrust
IP アドレス
Ethernet 0/1
trust
Loopback.1
untrust
1.1.1.1/24
Ethernet 0/1
trust
10.1.1.1/24
SRX210
インターネット
10.1.1.0/24
図 2：ループバックグループと DIP を使用するソース NAT
ScreenOS の構成
set
set
set
set
int e0/0 loopback-group lo.1
int e0/2 loopback-group lo.1
int loopback.1 dip 4 1.1.1.10 1.1.1.15
policy id 1 from trust to untrust any any any nat src
Copyright © 2014, Juniper Networks, Inc.
dip-id 4 permit
3
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
Junos OS の構成
set security nat source pool pool-1 address 1.1.1.10 to 1.1.1.15
set security nat source rule-set pool-nat from zone trust
set security nat source rule-set pool-nat to interface ge-0/0/0 interface ge-0/0/2
set security nat source rule-set pool-nat rule rule1 match source-address 0.0.0.0/0
destination-address 0.0.0.0/0
set security nat source rule-set pool-nat rule rule1 then source-nat pool pool-1
set security policies from-zone trust to-zone untrust policy permit-all match source-address
set security nat proxy-arp interface ge-0/0/0 address 1.1.1.10 to 1.1.1.15
set security nat proxy-arp interface ge-0/0/2 address 1.1.1.10 to 1.1.1.15
any destination-address any application any
set security policies from-zone trust to-zone untrust policy permit-all then permit
静的NAT
インターネット
1.1.1.1/24
SRX210
10.1.1.0/24
図 3：静的 NAT
ScreenOS では、ホスト IP アドレスのみではなく、自身のインタフェース IP アドレスを静的 NAT に使用す
ることも可能です（モバイル IP）。このオプションは、現在は Junos OS では使用できません。
単一ホストへの静的 NAT
マッピングされる IP
ホスト IP アドレス
1.1.1.100
10.1.1.100
ScreenOS の構成
set int e0/0 mip 1.1.1.100 host 10.1.1.100
set pol from untrust to trust any mip(1.1.1.100) http permit
Junos OS の構成
set
set
set
set
security
security
security
security
nat
nat
nat
nat
proxy-arp interface ge-0/0/0 address 1.1.1.100/32
static rule-set static-nat from zone untrust
static rule-set static-nat rule rule1 match destination-address 1.1.1.100
static rule-set static-nat rule rule1 then static-nat prefix 10.1.1.100
set security zones security-zone trust address-book address webserver 10.1.1.100
set security policies from-zone untrust to-zone trust policy static-nat match source-address
any destination-address webserver application junos-http
set security policies from-zone untrust to-zone trust policy static-nat then permit
サブネットへの静的 NAT
4
マッピングされる IP
ホスト IP アドレス
1.1.1.0/28
10.1.1.0/28
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
ScreenOS の構成
set int e0/0 mip 1.1.1.0 host 10.1.1.0 netmask 255.255.255.240
set policy from untrust to trust any mip(1.1.1.0/28) http permit
Junos OS の構成
set
set
set
set
set
set
any
set
security zones security-zone trust address-book address webserver-group 10.1.1.0/28
security nat proxy-arp interface ge-0/0/0 address 1.1.1.0/28
security nat static rule-set static-nat from zone untrust
security nat static rule-set static-set rule rule1 match destination-address 1.1.1.0/28
security nat static rule-set static-set rule rule1 then static-nat prefix 10.1.1.0/28
security policies from-zone untrust to-zone trust policy static-nat match source-address
destination-address webserver-group application junos-http
security policies from-zone untrust to-zone trust policy static-nat then permit
バーチャルIP
バーチャル IP/ ポート
サービス
ホスト IP アドレス
1.1.1.100/80
HTTP
10.1.1.100
1.1.1.100/110
POP3
10.1.1.200
インターネット
1.1.1.1/24
SRX210
10.1.1.0/24
図 4：バーチャル IP（VIP）
ScreenOS の構成
set int e0/0 vip 1.1.1.100 80 http 10.1.1.100
set int e0/0 vip 1.1.1.100 110 pop3 10.1.1.200
set policy from untrust to trust any vip(1.1.1.100) http permit
Junos OS の構成
set security
set security
set security
set security
set security
1.1.1.100/32
set security
set security
pool-1
set security
1.1.1.100/32
set security
set security
pool-2
set security
set security
nat
nat
nat
nat
nat
proxy-arp interface ge-0/0/0.0 address 1.1.1.100
destination pool dnat-pool-1 address 10.1.1.100/32
destination pool dnat-pool-2 address 10.1.1.200/32
destination rule-set dst-nat from zone untrust
destination rule-set dst-nat rule rule1 match destination-address
nat destination rule-set dst-nat rule rule1 match destination-port 80
nat destination rule-set dst-nat rule rule1 then destination-nat pool dnatnat destination rule-set dst-nat rule rule2 match destination-address
nat destination rule-set dst-nat rule rule2 match destination-port 110
nat destination rule-set dst-nat rule rule2 then destination-nat pool dnatzones security-zone trust address-book address webserver 10.1.1.100
zones security-zone trust address-book address mailserver 10.1.1.200
Copyright © 2014, Juniper Networks, Inc.
5
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
set security zones security-zone trust address-book address-set servergroup address
webserver
set security zones security-zone trust address-book address-set servergroup address
mailserver
set security policies from-zone untrust to-zone trust policy static-nat match source-address
any destination-address servergroup application junos-http
set security policies from-zone untrust to-zone trust policy static-nat match application
junos-pop3
set security policies from-zone untrust to-zone trust policy static-nat then permit
宛先NAT
インターネット
1.1.1.1/24
SRX210
10.1.1.0/24
図 5：宛先 NAT
単一ホストへの宛先アドレス変換
この例では、宛先 IP とインタフェース IP が異なるサブネット上にあります。
宛先 IP
実際の宛先 IP
2.1.1.100
10.1.1.100
ScreenOS の構成
set route 2.1.1.100/32 int e0/1
set address trust webserver 2.1.1.100/32
set pol from untrust to trust any webserver http nat dst ip 10.1.1.100 permit
Junos OS の構成コマンド
set
set
set
set
set
set
set
any
set
security nat proxy-arp interface ge-0/0/0.0 address 2.1.1.100
security nat destination pool dnat-pool-1 address 10.1.1.100
security nat destination rule-set dst-nat from zone untrust
security nat destination rule-set dst-nat rule r1 match destination-address 2.1.1.100
security nat destination rule-set dst-nat rule r1 then destination-nat pool dnat-pool-1
security zones security-zone trust address-book address webserver 10.1.1.100
security policies from-zone untrust to-zone trust policy dst-nat match source-address
destination-address webserver application junos-http
security policies from-zone untrust to-zone trust policy dst-nat then permit
単一ホストへの宛先アドレスおよびポート変換
6
宛先 IP/ ポート
実際の宛先 IP/ ポート
2.1.1.100/80
10.1.1.100/8000
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
ScreenOS の構成
set route 2.1.1.100/32 int e0/1
set address trust webserver 2.1.1.100/32
set policy from untrust to trust any webserver http nat dst ip 10.1.1.100 port 8000 permit
Junos OS の構成
set
set
set
set
set
set
set
set
any
set
security nat proxy-arp interface ge-0/0/0.0 address 2.1.1.100
security nat destination pool dnat-pool-1 address 10.1.1.100 port 8000
security nat destination rule-set dst-nat from zone untrust
security nat destination rule-set dst-nat rule r1 match destination-address 2.1.1.100
security nat destination rule-set dst-nat rule r1 then destination-nat pool dnat-pool-1
security zones security-zone trust address-book address webserver 10.1.1.100
applications application http-8000 protocol tcp destination-port 8000
security policies from-zone untrust to-zone trust policy dst-nat match source-address
destination-address webserver application http-8000
security policies from-zone untrust to-zone trust policy dst-nat then permit
単一ホストへの宛先アドレス変換
この例では、宛先 IP とインタフェース IP が同じサブネット上にあります。
宛先 IP
実際の宛先 IP
1.1.1.100
10.1.1.100
ScreenOS の構成
set arp nat
set address trust webserver 1.1.1.100/32
set pol from untrust to trust any webserver http nat dst ip 10.1.1.100 permit
Junos OS の構成
set
set
set
set
set
set
any
set
security nat destination pool dnat-pool-1 address 10.1.1.100/32
security nat proxy-arp interface ge-0/0/0.0 address 1.1.1.100
security nat destination rule-set dst-nat from zone untrust
security nat destination rule-set dst-nat rule r1 match destination-address 1.1.1.100
security nat destination rule-set dst-nat rule r1 then destination-nat pool dnat-pool-1
security policies from-zone untrust to-zone trust policy dst-nat match source-address
destination-address any application junos-http
security policies from-zone untrust to-zone trust policy dst-nat then permit
Copyright © 2014, Juniper Networks, Inc.
7
APPLICATION NOTE - ジュニパーネットワークス SRX シリーズおよび J シリーズの NAT（ScreenOS ユーザー向け）
まとめ
ジュニパーネットワークス SRX シリーズ サービス・ゲートウェイおよび J シリーズ サービスルーターでは、
Junos OS CLI を使用します。これは、現在の ScreenOS ユーザーにはやや異質に感じられるかもしれません。
しかし、本書に挙げた CLI の比較を参照することにより、ScreenOS ユーザーの方にも Junos OS の同等の
機能について理解していただけると思います。すべての例をご覧になったユーザーは、いくつかの一般的な導
入シナリオ用の NAT を簡単に構成できるはずです。
ジュニパーネットワークスについて
ジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者
からクラウド事業者にいたるまで、ジュニパーネットワークスは、ネットワーキング体験とビジネスを変革す
るソフトウェア、シリコン、システムを提供しています。ジュニパーネットワークスに関する詳細な情報は、
以下をご覧ください。
http://www.juniper.net/jp/ 、Twitter 、Facebook
日本
米国本社
アジアパシフィック、ヨーロッパ、中東、アフリカ
ジュニパーネットワークス株式会社
Juniper Networks, Inc.
Juniper Networks International B.V.
東京本社
〒 163-1445
東京都新宿区西新宿 3-20-2
東京オペラシティタワー 45F
1194 North Mathilda Ave
Sunnyvale, CA 94089
USA
Boeing Avenue 240
1119 PZ Schiphol-Rijk
Amsterdam, The Netherlands
電話
電話
FAX
電話
FAX
03-5333-7400
03-5333-7401
西日本事務所
〒 541-0041
大阪府大阪市中央区北浜 1-1-27
グランクリュ大阪北浜
URL http://www.juniper.net/jp/
888-JUNIPER
(888-586-4737)
または 408-745-2000
FAX 408-745-2100
URL
31-0-207-125-700
31-0-207-125-701
http://www.juniper.net
Copyright© 2014, Juniper Networks, Inc. All rights reserved.
Juniper Networks、Junos、QFabric、Juniper Networks ロゴは、米国およびその他の国における Juniper Networks, Inc.
の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、
各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。
ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。
3500152-003 JP Apr 2014
8
Copyright © 2014, Juniper Networks, Inc.

SPECIALTY

輸血の歴史

機関紙掲載用抄録作成要項 17cm 24cm - 日本バレーボール学会

旬のキャンドル ＆ルームフレグランス!!

第 57 回西日本生理学会奨励賞 受賞

違い棚に 金盥に 鹿爪らしく 齎らして 悦ばせに 遠奔千走 鬱

IE（インターネットエクスプローラー）の脆弱性対応について

4．3 IPとルーティングテーブル

慶應義塾大学日吉来往舎

みずほ銀行が、VASCOのトランザクション署名機能を導入しました