ネットワーク アドレス変換 (NAT) は、IP アドレス空間を別の IP アドレス空間にマッピングします。NAT は、Tier-0 と Tier-1 ゲートウェイに構成することができます。
次の図は、NAT の構成方法を示しています。
NAT64 に加えて、これらのタイプの NAT がサポートされます。
注: ゲートウェイ ファイアウォールを無効にすると、NAT ルールでトラフィックがドロップされます。ゲートウェイ ファイアウォールを無効にする必要がある場合は、許可ルールを含めます。
| 送信元 | 宛先 | アクション |
| 任意 | 任意 | 許可 |
- 送信元 NAT (SNAT) - 送信パケットの送信元 IP アドレスを変換します。パケットが別のネットワークから送信されたように見えます。アクティブ/スタンバイ モードで実行される Tier-0/Tier-1 ゲートウェイでサポートされます。1 対 1 の SNAT の場合、SNAT で変換された IP アドレスがループバック ポートにプログラミングされません。また、プレフィックスとして SNAT で変換された IP を持つ転送エントリはありません。n 対 1 の SNAT の場合、SNAT で変換された IP アドレスがループバック ポートにプログラミングされます。また、SNAT で変換された IP アドレスのプレフィックスを持つ転送エントリが表示されます。NSX SNAT は、NSX 環境から送信されるトラフィックに適用するように設計されています。
- 宛先 NAT (DNAT) - 受信パケットの宛先 IP アドレスを変換します。パケットが別のネットワークのターゲット アドレスに配信されます。アクティブ/スタンバイ モードで実行される Tier-0/Tier-1 ゲートウェイでサポートされます。NSX DNAT は、NSX 環境に送信されるトラフィックに適用するように設計されています。
- 再帰 NAT - ステートレス NAT とも呼ばれます。ルーティング デバイスを通過するアドレスを変換します。受信パケットではターゲット アドレスの書き換えが行われ、送信パケットでは送信元アドレスの書き換えが行われます。セッションはステートレスとして維持されません。アクティブ/アクティブまたはアクティブ/スタンバイ モードで実行されている Tier-0 ゲートウェイと、Tier-1 ゲートウェイでサポートされます。ステートフル NAT は、アクティブ/アクティブ モードでサポートされません。
また、IP アドレスやアドレス範囲の SNAT または DNAT を無効にすることもできます(SNAT なし/DNAT なし)。アドレスに複数の NAT ルールが設定されている場合は、優先順位が最も高いルールが適用されます。
注: NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で
translated_port は
destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
NAT サポート マトリックス
構成フィールド
| タイプ | source-addr | dest-addr | translated-addr | translated-port | match-service |
|---|---|---|---|---|---|
| SNAT | オプション | オプション | 必須 | × | オプション |
| DNAT | オプション | 必須 | 必須 | オプション | オプション |
| NO_SNAT | 必須 | オプション | × | × | オプション |
| NO_DNAT | オプション | 必須 | × | × | オプション |
| 再帰 | 必須 | × | 必須 | × | × |
| NAT64 | オプション | 必須 | 必須 | オプション | オプション |
構成の使用方法
| タイプ | 1:1 | n:n | n:m | n:1 | 1:m |
|---|---|---|---|---|---|
| SNAT | ○ | ○ | ○ | ○ | × |
| DNAT | ○ | ○ | * 構成可能。ただし、サポート対象外 | ○ | * 構成可能。ただし、サポート対象外 |
| NO_SNAT | - | - | - | - | - |
| NO_DNAT | - | - | - | - | - |
| 再帰 | ○ | ○ | × | × | × |
| NAT64 | ○ | ○ | × | ○ | × |
