Tier-0 または Tier-1 ゲートウェイで IPv4 のさまざまなタイプの NAT(ネットワーク アドレス変換)を構成できます。NAT ファイアウォール設定は、トラフィック フローが Edge ファイアウォール ルールと NAT ルールの両方に一致した場合に使用されます。

NAT ファイアウォール ポリシーを使用すると、ファイアウォール ルールが外部 IP アドレスと内部 IP アドレスのどちらと一致するかを定義できます。内部アドレスは、NSX ドメイン内のホストまたは仮想マシンに割り当てられた IP アドレスです。外部アドレスは、NSX ドメイン外のホストまたは仮想マシンに割り当てられた IP アドレスです。

注: この NAT ルールにサービスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [NAT] の順に選択します。
  3. [ゲートウェイ] ドロップダウン リストからゲートウェイを選択します。
  4. [表示] の横にある [NAT] を選択します。
  5. [NAT ルールを追加] をクリックします。
  6. [名前] を入力します。
  7. アクションを選択します。
    ゲートウェイ 使用可能なアクション
    Tier-1 ゲートウェイ 使用可能なアクションは、[SNAT][DNAT][再帰][NO SNAT][NO DNAT] です。
    アクティブ/スタンバイ モードの Tier-0 ゲートウェイ 使用可能なアクションは、[SNAT][DNAT][再帰][NO SNAT][NO DNAT] です。
    アクティブ/アクティブ モードの Tier-0 ゲートウェイ 使用可能なアクションは [再帰] です。
  8. [送信元]を入力します。このテキスト ボックスを空白にしておくと、この NAT ルールはローカル サブネットの外部のすべての送信元に適用されます。
    IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。 [SNAT][NO_SNAT] および [再帰]ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。
  9. [宛先]を入力します。
    IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。 [DNAT] ルールと [NO_DNAT] ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。このフィールドは [再帰] に適用されません。
  10. [変換された IP] に値を入力します。
    IPv4 アドレスまたは IP アドレス範囲を CIDR 形式で指定します。変換された IP が SNAT の一致 IP よりも小さい場合は、PAT として機能します。
  11. ルールを有効にするには、[有効] に切り替えます。
  12. (オプション) [サービス] 列で [設定] をクリックして、サービスを選択します。
    NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で translated_portdestination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
  13. (オプション) [変換されたポート] に値を入力します。
    NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で translated_portdestination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
  14. (オプション) [適用先][設定] をクリックし、このルールが適用されるオブジェクトを選択します。
    使用可能なオブジェクトは、 [Tier-0 ゲートウェイ][インターフェイス][ラベル][サービス インスタンスのエンドポイント]、および [仮想エンドポイント] です。
    注: NSX フェデレーション を使用して グローバル マネージャ アプライアンスから NAT ルールを作成する場合は、NAT にサイト固有の IP アドレスを選択できます。NAT ルールは、次の場所のいずれかの場所に適用できます。
    • デフォルトのオプションを使用して NAT ルールをすべての場所に適用する場合は、[設定] をクリックしないでください。
    • [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで、ルールを適用するエンティティがある場所を選択し、[適用] をクリックします。
    • [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [インターフェイス] を選択します。NAT ルールを適用する特定のインターフェイスを選択できます。
    • [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [VTI] を選択します。NAT ルールを適用する特定の VTI を選択できます。
    詳細については、 NSX フェデレーションでサポートされる機能と構成を参照してください。
  15. (オプション) NAT ファイアウォール ポリシー設定を選択します。
    使用可能なファイアウォール設定は次のとおりです。
    • [外部アドレスと一致]:ファイアウォールは NAT ルールの外部アドレスに適用されます。
      • SNAT の場合、NAT 実行後の変換された送信元アドレスが外部アドレスになります。
      • DNAT の場合、NAT 実行前の元の宛先アドレスが外部アドレスになります。
      • 再帰の場合、出力方向トラフィックに対しては、NAT 完了後の変換された送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了前の元の宛先アドレスにファイアウォールが適用されます。
    • [内部アドレスと一致]:ファイアウォールが NAT ルールの内部アドレスに適用されることを示します。
      • SNAT の場合、NAT 実行前の元の送信元アドレスが内部アドレスになります。
      • DNAT の場合、NAT 実行後の変換された宛先アドレスが内部アドレスになります。
      • 再帰の場合、出力方向トラフィックに対しては、NAT 完了前の元の送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了後の変換された宛先アドレスにファイアウォールが適用されます。
    • [バイパス]:パケットは、ファイアウォール ルールをバイパスします。
  16. (オプション) ログの記録を有効にするには、[ログの記録] ボタンを切り替えます。
  17. (オプション) 優先度を指定します。
    小さい値ほど、優先順位が高くなります。デフォルトは 0 です。 [SNAT なし] または [DNAT なし] ルールの優先度は、他のルールよりも高く設定する必要があります。
  18. [保存] をクリックします。