Tier-0 または Tier-1 ゲートウェイで IPv4 のさまざまなタイプの NAT(ネットワーク アドレス変換)を構成できます。NAT ファイアウォール設定は、トラフィック フローが Edge ファイアウォール ルールと NAT ルールの両方に一致した場合に使用されます。
NAT ファイアウォール ポリシーを使用すると、ファイアウォール ルールが外部 IP アドレスと内部 IP アドレスのどちらと一致するかを定義できます。内部アドレスは、NSX ドメイン内のホストまたは仮想マシンに割り当てられた IP アドレスです。外部アドレスは、NSX ドメイン外のホストまたは仮想マシンに割り当てられた IP アドレスです。
注: この NAT ルールにサービスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
手順
- 管理者権限で NSX Manager にログインします。
- の順に選択します。
- [ゲートウェイ] ドロップダウン リストからゲートウェイを選択します。
- [表示] の横にある [NAT] を選択します。
- [NAT ルールを追加] をクリックします。
- [名前] を入力します。
- アクションを選択します。
ゲートウェイ |
使用可能なアクション |
Tier-1 ゲートウェイ |
使用可能なアクションは、[SNAT]、[DNAT]、[再帰]、[NO SNAT]、[NO DNAT] です。 |
アクティブ/スタンバイ モードの Tier-0 ゲートウェイ |
使用可能なアクションは、[SNAT]、[DNAT]、[再帰]、[NO SNAT]、[NO DNAT] です。 |
アクティブ/アクティブ モードの Tier-0 ゲートウェイ |
使用可能なアクションは [再帰] です。 |
- [送信元]を入力します。このテキスト ボックスを空白にしておくと、この NAT ルールはローカル サブネットの外部のすべての送信元に適用されます。
IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。
[SNAT]、
[NO_SNAT] および
[再帰]ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。
- [宛先]を入力します。
IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。
[DNAT] ルールと
[NO_DNAT] ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。このフィールドは
[再帰] に適用されません。
- [変換された IP] に値を入力します。
IPv4 アドレスまたは IP アドレス範囲を CIDR 形式で指定します。変換された IP が SNAT の一致 IP よりも小さい場合は、PAT として機能します。
- ルールを有効にするには、[有効] に切り替えます。
- (オプション) [サービス] 列で [設定] をクリックして、サービスを選択します。
NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で
translated_port は
destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
- (オプション) [変換されたポート] に値を入力します。
NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で
translated_port は
destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
- (オプション) [適用先] で [設定] をクリックし、このルールが適用されるオブジェクトを選択します。
使用可能なオブジェクトは、
[Tier-0 ゲートウェイ]、
[インターフェイス]、
[ラベル]、
[サービス インスタンスのエンドポイント]、および
[仮想エンドポイント] です。
注:
NSX フェデレーション を使用して
グローバル マネージャ アプライアンスから NAT ルールを作成する場合は、NAT にサイト固有の IP アドレスを選択できます。NAT ルールは、次の場所のいずれかの場所に適用できます。
- デフォルトのオプションを使用して NAT ルールをすべての場所に適用する場合は、[設定] をクリックしないでください。
- [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで、ルールを適用するエンティティがある場所を選択し、[適用] をクリックします。
- [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [インターフェイス] を選択します。NAT ルールを適用する特定のインターフェイスを選択できます。
- [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [VTI] を選択します。NAT ルールを適用する特定の VTI を選択できます。
詳細については、
NSX フェデレーションでサポートされる機能と構成を参照してください。
- (オプション) NAT ファイアウォール ポリシー設定を選択します。
使用可能なファイアウォール設定は次のとおりです。
- [外部アドレスと一致]:ファイアウォールは NAT ルールの外部アドレスに適用されます。
- SNAT の場合、NAT 実行後の変換された送信元アドレスが外部アドレスになります。
- DNAT の場合、NAT 実行前の元の宛先アドレスが外部アドレスになります。
- 再帰の場合、出力方向トラフィックに対しては、NAT 完了後の変換された送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了前の元の宛先アドレスにファイアウォールが適用されます。
- [内部アドレスと一致]:ファイアウォールが NAT ルールの内部アドレスに適用されることを示します。
- SNAT の場合、NAT 実行前の元の送信元アドレスが内部アドレスになります。
- DNAT の場合、NAT 実行後の変換された宛先アドレスが内部アドレスになります。
- 再帰の場合、出力方向トラフィックに対しては、NAT 完了前の元の送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了後の変換された宛先アドレスにファイアウォールが適用されます。
- [バイパス]:パケットは、ファイアウォール ルールをバイパスします。
- (オプション) ログの記録を有効にするには、[ログの記録] ボタンを切り替えます。
- (オプション) 優先度を指定します。
小さい値ほど、優先順位が高くなります。デフォルトは 0 です。
[SNAT なし] または
[DNAT なし] ルールの優先度は、他のルールよりも高く設定する必要があります。
- [保存] をクリックします。