ネットワーク アドレス変換 (NAT) は、IP アドレス空間を別の IP アドレス空間にマッピングします。NAT は、Tier-0 と Tier-1 ゲートウェイに構成することができます。
次の図は、NAT の構成方法を示しています。
NAT64 に加えて、これらのタイプの NAT がサポートされます。
注: ゲートウェイ ファイアウォールを無効にすると、NAT ルールでトラフィックがドロップされます。ゲートウェイ ファイアウォールを無効にする必要がある場合は、許可ルールを含めます。
| 送信元 | 宛先 | アクション |
| 任意 | 任意 | 許可 |
- 送信元 NAT (SNAT) - 送信パケットの送信元 IP アドレスを変換します。パケットが別のネットワークから送信されたように見えます。アクティブ/スタンバイ モードで実行される Tier-0/Tier-1 ゲートウェイでサポートされます。1 対 1 の SNAT の場合、SNAT で変換された IP アドレスがループバック ポートにプログラミングされません。また、プレフィックスとして SNAT で変換された IP を持つ転送エントリはありません。n 対 1 の SNAT の場合、SNAT で変換された IP アドレスがループバック ポートにプログラミングされます。また、SNAT で変換された IP アドレスのプレフィックスを持つ転送エントリが表示されます。NSX SNAT は、NSX 環境から送信されるトラフィックに適用するように設計されています。
- 宛先 NAT (DNAT) - 受信パケットの宛先 IP アドレスを変換します。パケットが別のネットワークのターゲット アドレスに配信されます。アクティブ/スタンバイ モードで実行される Tier-0/Tier-1 ゲートウェイでサポートされます。NSX DNAT は、NSX 環境に送信されるトラフィックに適用するように設計されています。
- 再帰 NAT - ステートレス NAT とも呼ばれます。ルーティング デバイスを通過するアドレスを変換します。受信パケットではターゲット アドレスの書き換えが行われ、送信パケットでは送信元アドレスの書き換えが行われます。セッションはステートレスとして維持されません。アクティブ/アクティブまたはアクティブ/スタンバイ モードで実行されている Tier-0 ゲートウェイと、Tier-1 ゲートウェイでサポートされます。ステートフル NAT は、アクティブ/アクティブ モードでサポートされません。
また、IP アドレスやアドレス範囲の SNAT または DNAT を無効にすることもできます(SNAT なし/DNAT なし)。アドレスに複数の NAT ルールが設定されている場合は、優先順位が最も高いルールが適用されます。
注: NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で
translated_port は
destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
NSX フェデレーション環境のグローバル マネージャから NAT ルールを作成する場合は、NAT にサイト固有の IP アドレスを選択できます。次の点に注意してください。
- デフォルトのオプションを使用して NAT ルールをすべての場所に適用する場合は、[適用先] の [設定] をクリックしないでください。
- [適用先] ダイアログ ボックスで [設定] をクリックして、ルールを適用するエンティティのある場所を選択し、[すべてのエンティティに NAT ルールを適用] を選択します。
- [適用先] ダイアログ ボックスで、[選択] をクリックして場所を選択し、[カテゴリ] ドロップダウン メニューから [インターフェイス] を選択します。NAT ルールを適用する特定のインターフェイスを選択できます。
- DNAT は、ポリシーベースの IPSec VPN が構成されている Tier-1 ゲートウェイでサポートされていません。
- Tier-0 ゲートウェイの外部インターフェイスに構成された SNAT は、Tier-1 ゲートウェイからのトラフィックと、Tier-0 ゲートウェイの別の外部インターフェイスからのトラフィックを処理します。
- NAT は、Tier-0/Tier-1 ゲートウェイのアップリンクで構成され、このインターフェイスを通過するトラフィックを処理します。これは、Tier-0 ゲートウェイの NAT ルールが、Tier-0 に接続された 2 つの Tier-1 ゲートウェイ間で適用されないことを意味します。
NAT サポート マトリックス
構成フィールド
| タイプ | source-addr | dest-addr | translated-addr | translated-port | match-service |
|---|---|---|---|---|---|
| SNAT | オプション | オプション | 必須 | × | オプション |
| DNAT | オプション | 必須 | 必須 | オプション | オプション |
| NO_SNAT | 必須 | オプション | × | × | オプション |
| NO_DNAT | オプション | 必須 | × | × | オプション |
| 再帰 | 必須 | × | 必須 | × | × |
| NAT64 | オプション | 必須 | 必須 | オプション | オプション |
構成の使用方法
| タイプ | 1:1 | n:n | n:m | n:1 | 1:m |
|---|---|---|---|---|---|
| SNAT | ○ | ○ | ○ | ○ | × |
| DNAT | ○ | ○ | * 構成可能。ただし、サポート対象外 | ○ | * 構成可能。ただし、サポート対象外 |
| NO_SNAT | - | - | - | - | - |
| NO_DNAT | - | - | - | - | - |
| 再帰 | ○ | ○ | × | × | × |
| NAT64 | ○ | ○ | × | ○ | × |
インターフェイスでの NAT トラフィック フローのサポート
| インターフェイスでのトラフィック フローのサポート | DNAT | SNAT | NO_DNAT | NO_SNAT | 再帰 | NAT64 |
|---|---|---|---|---|---|---|
| アップリンク → アップリンク | × | × | × | × | × | × |
| アップリンク → ダウンリンク | ○ | × | ○ | × | ○ | ○ |
| アップリンク → サービス インターフェイス | ○ | × | ○ | × | ○ | ○ |
| ダウンリンク → ダウンリンク | × | × | × | × | × | × |
| ダウンリンク → アップリンク | × | ○ | × | ○ | ○ | × |
| ダウンリンク → サービス インターフェイス | × | × | × | × | × | × |
| サービス インターフェイス → サービス インターフェイス | × | × | × | × | × | × |
| サービス インターフェイス → アップリンク | × | ○ | × | ○ | ○ | × |
| サービス インターフェイス → ダウンリンク | × | × | × | × | × | × |
