ゲートウェイでの NAT の構成

Tier-0 または Tier-1 ゲートウェイに NAT および NAT 64 ルールを構成できます。

注：

この NAT ルールにサービスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。

手順

ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
[ネットワーク] > [NAT] の順に選択します。
ゲートウェイを選択します。
[表示] の横にある [NAT] または [NAT64] を選択します。
[NAT ルールの追加] または [NAT64 ルールの追加] をクリックします。
[名前] を入力します。

NAT を構成する場合は、アクションを選択します。[NAT 64] の場合、アクションは NAT64 です。

NAT オプション	説明
Tier-1 ゲートウェイ	使用可能なアクションは、[SNAT]、[DNAT]、[再帰]、[NO SNAT]、[NO DNAT] です。
アクティブ/スタンバイモードの Tier-0 ゲートウェイ	使用可能なアクションは、[SNAT]、[DNAT]、[NO SNAT]、[NO DNAT] です。
アクティブ/アクティブモードの Tier-0 ゲートウェイ	使用可能なアクションは [再帰] です。

[送信元]を入力します。このテキストボックスを空白にしておくと、この NAT ルールはローカルサブネットの外部のすべての送信元に適用されます。

オプション	説明
NAT	IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。SNAT、NO_SNAT および REFLEXIVE ルールの場合、これは必須テキストボックスで、ネットワークから送信されるパケットの送信元ネットワークを表します。
NAT64	IPv6 アドレスまたは IPv6 CIDR を入力します。

（必須） [宛先]を入力します。

オプション	説明
NAT	IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。
NAT64	プレフィックス /96 を付けて IPv6 アドレスまたは IPv6 アドレス範囲を CIDR 形式で入力します。宛先の IPv4 IP が IPv6 アドレスの最後の 4 バイトに埋め込まれるため、プレフィックス /96 がサポートされます。

[変換された IP] に値を入力します。

オプション	説明
NAT	IPv4 アドレスまたは IP アドレス範囲を CIDR 形式で指定します。
NAT64	IPv4 アドレス、カンマ区切りの IPv4 アドレスのリスト、または IPv4 アドレスの範囲を指定します。IPV4 CIDR はサポートされていません。

ルールを有効にするには、[有効] に切り替えます。
[サービス] 列で [設定] をクリックして、サービスを選択します。詳細については、サービスの追加を参照してください。NAT 64 の場合、事前定義のサービスを選択するか、TCP または UDP を使用してユーザー定義のサービスを作成し、送信元/宛先ポートとして [任意] を指定します。
[適用先] で [設定] をクリックし、このルールが適用されるオブジェクトを選択します。
使用可能なオブジェクトは、 [Tier-0 ゲートウェイ]、 [インターフェイス]、 [ラベル]、 [サービスインスタンスのエンドポイント]、および [仮想エンドポイント] です。
注： NSX フェデレーションを使用してグローバルマネージャアプライアンスから NAT ルールを作成する場合は、NAT にサイト固有の IP アドレスを選択できます。NAT ルールは、次の場所のいずれかの場所に適用できます。
- デフォルトのオプションを使用して NAT ルールをすべての場所に適用する場合は、[設定] をクリックしないでください。
- [設定] をクリックします。[ 適用先 ] ダイアログボックスで、ルールを適用するエンティティがある場所を選択し、[すべてのエンティティに NAT ルールを適用] を選択します。
- [設定] をクリックします。[ 適用先] ダイアログボックスで場所を選択し、[カテゴリ] ドロップダウンメニューから [インターフェイス] を選択します。NAT ルールを適用する特定のインターフェイスを選択できます。
詳細については、フェデレーションでサポートされる機能と構成を参照してください。
[変換されたポート] に値を入力します。

ファイアウォールの設定を選択します。

オプション	説明
NAT	使用可能な設定は次のとおりです。 [外部アドレスと一致]：パケットは、変換された IP アドレスとポートの組み合わせに一致するファイアウォールルールによって処理されます。 SNAT の場合、NAT 実行後の変換された送信元アドレスが外部アドレスになります。 DNAT の場合、NAT 実行前の元の宛先アドレスが外部アドレスになります。再帰の場合、出力方向トラフィックに対しては、NAT 完了後の変換された送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了前の元の宛先アドレスにファイアウォールが適用されます。 [内部アドレスと一致]：パケットは、元の IP アドレスとポートの組み合わせに一致するファイアウォールルールによって処理されます。 SNAT の場合、NAT 実行前の元の送信元アドレスが内部アドレスになります。 DNAT の場合、NAT 実行後の変換された宛先アドレスが内部アドレスになります。再帰の場合、出力方向トラフィックに対しては、NAT 完了前の元の送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了後の変換された宛先アドレスにファイアウォールが適用されます。 [バイパス]：パケットは、ファイアウォールルールをバイパスします。
NAT64	使用可能な設定は [バイパス] で、パケットはファイアウォールルールをバイパスします。

オプション

説明

NAT

使用可能な設定は次のとおりです。

[外部アドレスと一致]：パケットは、変換された IP アドレスとポートの組み合わせに一致するファイアウォールルールによって処理されます。
- SNAT の場合、NAT 実行後の変換された送信元アドレスが外部アドレスになります。
- DNAT の場合、NAT 実行前の元の宛先アドレスが外部アドレスになります。
- 再帰の場合、出力方向トラフィックに対しては、NAT 完了後の変換された送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了前の元の宛先アドレスにファイアウォールが適用されます。
[内部アドレスと一致]：パケットは、元の IP アドレスとポートの組み合わせに一致するファイアウォールルールによって処理されます。
- SNAT の場合、NAT 実行前の元の送信元アドレスが内部アドレスになります。
- DNAT の場合、NAT 実行後の変換された宛先アドレスが内部アドレスになります。
- 再帰の場合、出力方向トラフィックに対しては、NAT 完了前の元の送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了後の変換された宛先アドレスにファイアウォールが適用されます。
[バイパス]：パケットは、ファイアウォールルールをバイパスします。

NAT64

使用可能な設定は [バイパス] で、パケットはファイアウォールルールをバイパスします。

（オプション） ログの記録を有効にするには、ログの記録ボタンを切り替えます。
優先度を指定します。
小さい値ほど、優先順位が高くなります。デフォルトは 0 です。
[保存] をクリックします。