NAT64 ルールを使用すると、NSX Edge はネットワーク アドレス変換を行い、外部 IPv6 サブネットワークから内部 IPv4 サブネットワークへのトラフィックを許可します。

NAT64 では、IPv6 専用ノードから IPv4 専用ノードへの通信だけがサポートされます。

NAT64 は、次のレイヤー 4 プロトコルをサポートしています。
  • TCP
  • UDP
  • ICMP
    • ICMP Echo 要求と応答のみ。
    • ICMPv4 エラーはサポートされていますが、ICMPv6 エラーはサポートされていません。
他のプロトコル タイプのパケットはすべて破棄されます。

IPv4 オプション、IPv6 ルーティング ヘッダー、ホップバイホップ拡張ヘッダー、宛先オプション ヘッダー、送信元ルーティング ヘッダーの変換はサポートされていません。FTP はサポートされていません。断片化されたパケットはサポートされていません。

NAT64 では NSX Edge 高可用性はサポートされていません。アクティブ アプライアンスとスタンバイ アプライアンス間で NAT64 セッションは同期されません。フェイルオーバーが発生すると、接続が中断します。

動的ルーティング プロトコルを設定している場合、IPv4 プリフィックスが再配分されます。

NAT64 トラフィックには、次のタイマーが適用されます。
表 1. NAT64 タイマー
プロトコル タイムアウト
TCP 受信 TCP-SYNC

6 秒

TCP-ESTABLISHED

2 時間

TCP-Trans

4 分

UDP 5 分
ICMP 1 分

前提条件

  • IPv6 ネットワークのアドレスを使用して、Edge Services Gateway のアップリンク インターフェイスを設定します。
  • IPv4 ネットワークのアドレスを使用して、Edge Services Gateway の内部インターフェイスを設定します。
  • これらのアドレスが環境内で重複していないことを確認します。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [NSX Edges] の順に移動します。
  2. NSX Edge をダブルクリックします。
  3. [管理 (Manage)] > [NAT] の順にクリックします。
  4. [ビュー (View)] ドロップダウン メニューから、[NAT64] を選択します。
  5. [追加 (Add)] をクリックして、NAT64 パラメータを入力します。
    オプション 説明
    IPv6 宛先プリフィックスと一致

    IPv6 ネットワーク プリフィックス(ネットワーク アドレス)または特定の IPv6 アドレスを CIDR 表記で入力します。

    NAT64 を使用すると、IPv6 サブネットから IPv4 サブネットに接続できますが、ほとんどの状況では、特定の IPv6 アドレスではなく IPv6 ネットワーク プリフィックスの入力が必要になることがあります。

    NAT64 は、このテキスト ボックスに指定された IPv6 ネットワーク プリフィックスを使用して、IPv4 宛先アドレスを IPv6 宛先アドレスにマッピングします。プリフィックス長は、32、40、48、56、64、または 96 のいずれかにする必要があります。

    たとえば、/96 ネットワーク プリフィックスを使用すると、NAT64 は IPv4 宛先アドレスに相当する 16 進数を IPv6 ネットワーク プリフィックスに追加します。例については、この手順の後にある NAT64 サンプル ルールを参照してください。

    注: RFC 6052 に定義されている既知の 64:ff9b::/96 プリフィックスを使用することも、環境内でまだ使用されていない他の IPv6 プリフィックスを使用することもできます。
    変換後の IPv4 送信元プリフィックス

    オプション:IPv4 ネットワーク プリフィックス(ネットワーク アドレス)または特定の IPv4 アドレスを CIDR 表記で入力します。

    環境内で IPv4 ネットワーク プリフィックスまたは IPv4 アドレスがまだ使用されていないことを確認します。

    NAT64 を使用すると、IPv6 サブネットから IPv4 サブネットに接続できますが、ほとんどの状況では、特定の IPv4 アドレスではなく IPv4 ネットワーク プリフィックスの入力が必要になることがあります。

    NAT64 は、IPv4 ネットワーク プリフィックスの IP アドレスを使用して、IPv6 送信元アドレスを IPv4 送信元アドレスに変換します。例については、この手順の後にある NAT64 サンプル ルールを参照してください。

    注:
    • 100.64.0.0/16 の IPv4 共有アドレス空間は、NAT64 用に予約されています。この予約済みのアドレス空間を使用できます。
    • このテキスト ボックスを空のままにすると、ルールの発行時に NAT64 は予約済みのアドレス空間を自動的に使用します。
    説明 ルールの説明(オプション)
    [有効] または [ステータス] NAT64 ルールを有効にします。
    [ログの有効化] または [ログ] NAT64 ルールのログの収集を有効にします。
  6. [追加] をクリックしてルールを保存します。
  7. [発行] をクリックして、ルールを有効にします。

例: NAT64 サンプル ルール

NSX Edge は、外部 IPv6 ネットワーク上の Web 1 コンピュータ (2001::20/64) から内部 IPv4 サブネット上の仮想マシン 1 (10.10.10.2/30) へのトラフィックを許可します。


この図は、外部 IPv6 サブネット上の Web1 コンピュータからプライベート IPv4 サブネット上の VM1 へのトラフィック フローを示しています。
この例の NAT64 ルールでは、次のサンプル値を使用しています。
  • 比較する IPv6 宛先プリフィックス:64:ff90::/96
  • 変換後の IPv4 送信元プリフィックス:30.30.30.0/24

次の画面キャプチャは、発行後のルールを示しています。ルール ID は自動生成されるため、環境によって異なる可能性があります。

図 1. NAT64 ルールの定義

この NAT64 ルール定義では、IPv6 宛先プリフィックスとして 64:ff90:/96 を使用し、IPv4 送信元プリフィックスとして 30.30.30.0/24 を使用します。

NAT64 ルールは、宛先の IPv4 アドレス (10.10.10.2) に相当する 16 進数を取得し、IPv6 ネットワーク プリフィックス (64: ff90::) に追加し、IPv6 宛先アドレス 64:ff90::a0a:a02 を形成します。

このルールは、変換後の IPv4 送信元プリフィックス (30.30.30.0/24) から任意の IP アドレスを取得します。このルールは 30.30.30.32 を取得します。NAT64 は、この IPv4 送信元アドレスを使用して、宛先アドレス 64:ff90::a0a:a02 を実際の IPv4 宛先アドレス (10.10.10.2) に変換します。

ルールが発行されたら、次の手順を実行します。
  1. Web1 コンピュータのコマンド プロンプトにログインし、IPv6 宛先アドレス 64:ff90::a0a:a02 に ping コマンドを発行します。nat64 セッションが確立されます。
  2. NSX Edge CLI にログインし、show nat64 sessions コマンドを実行して nat64 セッションを表示します。
    Protocol     IPv6-SA     IPv6-DA               SPort     DPort     IPv4_SA        IPv4-DA      SPort     DPort
TCP          2001::20    64:ff90::a0a:a02      2055      22        30.30.30.32    10.10.10.2   2055      22