2016/11/090 Shares

juniper_sr-x_ok

前回失敗した仕事の話ですが、今度はOKでした。

ちょっと、小難しい話ですが、備忘録的に書き留めます。

パラメータを色々イジってしまったので決定打がコレってのがはっきりしないんですが、

おそらくというのが一点ありました。

ルータなどでLANからインターネットに通信する場合にはグローバルアドレスはそのまま

使用せずにNAT(Network Address Transfer)でアドレス変換します。ファイアウォールも然り。

今回のはインターネットではないのですが、プライベート空間でも責任分界、セキュリティの

為にNATを使うことはしばしばあります。

JuniperはSSGシリーズとSR-XシリーズがあってそれぞれにOSが違います。

SSGには全体設定でNATモードとルータモードがあり、さらにファイアウォールポリシーで

ポリシー単位にNATするか否かを選択できます。

きめ細かな設計をする場合にはルータモードで動かして個々のポリシー単位でNATする

が常です。

SR-Xでも然りです。というか設定したのは自分なのでホントうっかりなのですが、全体の

NATルール設定をして更にポリシー単位のアドレス変換も有効にしてしまっていました。

結果、二重のアドレス変換になってしまっていたのです。

イエ、NATは二重でも三重でも正常に動作するはずなのですが、一筐体内で機能のダブリ

があったので内部処理的に不整合が起きたのでしょう。おそらく。

今回は小規模なのできめ細かな設定は不必要と判断してポリシー単位のNATを削除

したら、イケました!

イヤ、お恥ずかしい。結局営業日跨いで2,3時間ロスしましたが、運用は7月からなので

お咎めなし。

モットジゼンニテストシマショウ。という教訓でした。

本日の画像(撮影はMy Sonです。)

CIMG6129