へっぽこネットワークエンジニアのにっき

しあわせになりたい。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[覚え書き]Juniper SSGで Destination NATする際の注意点

Interface IP と同一セグメントでDestination NATしようとした場合、
SSGがProxy ARPを吐かないので、そのままでは通信できないらしい。

構成図はJuniperナレッジから引用

Topology:

  Public host
  1.1.1.20/24
      |
      |
      |
      |
  1.1.1.1/24    (NAT-Dst IP 1.1.1.100 -> Internal IP 10.1.1.100)
  Public Zone
     e1
      |
Juniper_firewall
      |
     e2
  Trust Zone
  10.1.1.1/24
      |
      |
      |
      |     
  10.1.1.100/24
  Internal Server



Public host からPublic Zone に対して1.1.1.100をDestとした通信をしようとしたとき
FireWallのe1のIPアドレスと同セグメントであるため、FireWallはARP応答しない。
よって通信ができない。

知らなくてハマった。。

対策として

1.SSG対向のルータでStatic ARPを書く
2.隠しコマンド(ScreenOS5.4以降でサポート)
3.DIPを書く

以下 参考にさせていただきました。
Netscreen の NAT-D 設定注意点 -システムアドミニストレータな気まぐれブログ-

Juniperのナレッジ
NAT-Dst configuration with NAT-Dst IP on same subnet as ingress interface isn

覚書なのでこの程度で。
スポンサーサイト

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://heppokone.blog27.fc2.com/tb.php/402-584b534e
この記事にトラックバックする(FC2ブログユーザー)

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。