Tier-0 または Tier-1 ゲートウェイの IPv4 に、異なるタイプの NAT を構成できます。

注: この NAT ルールにサービスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [NAT] の順に選択します。
  3. [ゲートウェイ] ドロップダウン メニューからゲートウェイを選択します。
  4. [表示] の横にある [NAT] を選択します。
  5. [NAT ルールを追加] をクリックします。
  6. [名前] を入力します。
  7. アクションを選択します。
    ゲートウェイ 使用可能なアクション
    Tier-1 ゲートウェイ 使用可能なアクションは、[SNAT][DNAT][再帰][NO SNAT][NO DNAT] です。
    アクティブ/スタンバイ モードの Tier-0 ゲートウェイ 使用可能なアクションは、[SNAT][DNAT][NO SNAT][NO DNAT] です。
    アクティブ/アクティブ モードの Tier-0 ゲートウェイ 使用可能なアクションは [再帰] です。
  8. [送信元]を入力します。このテキスト ボックスを空白にしておくと、この NAT ルールはローカル サブネットの外部のすべての送信元に適用されます。
    IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。 [SNAT][NO_SNAT] および [再帰]ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。
  9. (必須) [宛先]を入力します。
    IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。 [DNAT] ルールと [NO_DNAT] ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。このフィールドは [再帰] に適用されません。
  10. [変換された IP] に値を入力します。
    IPv4 アドレスまたは IP アドレス範囲を CIDR 形式で指定します。変換された IP が SNAT の一致 IP よりも小さい場合は、PAT として機能します。
  11. ルールを有効にするには、[有効] に切り替えます。
  12. [サービス] 列で [設定] をクリックして、サービスを選択します。
    NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で translated_portdestination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
  13. [変換されたポート] に値を入力します。
    NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で translated_portdestination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
  14. [適用先][設定] をクリックし、このルールが適用されるオブジェクトを選択します。
    使用可能なオブジェクトは、 [Tier-0 ゲートウェイ][インターフェイス][ラベル][サービス インスタンスのエンドポイント]、および [仮想エンドポイント] です。
    注: NSX フェデレーション を使用して グローバル マネージャ アプライアンスから NAT ルールを作成する場合は、NAT にサイト固有の IP アドレスを選択できます。NAT ルールは、次の場所のいずれかの場所に適用できます。
    • デフォルトのオプションを使用して NAT ルールをすべての場所に適用する場合は、[設定] をクリックしないでください。
    • [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで、ルールを適用するエンティティがある場所を選択し、[適用] をクリックします。
    • [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [インターフェイス] を選択します。NAT ルールを適用する特定のインターフェイスを選択できます。
    • [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [VTI] を選択します。NAT ルールを適用する特定の VTI を選択できます。
    詳細については、 NSX フェデレーションでサポートされる機能と構成を参照してください。
  15. (オプション) ファイアウォールの設定を選択します。
    使用可能な設定は次のとおりです。
    • [外部アドレスと一致]:ファイアウォールは NAT ルールの外部アドレスに適用されます。
      • SNAT の場合、NAT 実行後の変換された送信元アドレスが外部アドレスになります。
      • DNAT の場合、NAT 実行前の元の宛先アドレスが外部アドレスになります。
      • 再帰の場合、出力方向トラフィックに対しては、NAT 完了後の変換された送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了前の元の宛先アドレスにファイアウォールが適用されます。
    • [内部アドレスと一致]:ファイアウォールが NAT ルールの内部アドレスに適用されることを示します。
      • SNAT の場合、NAT 実行前の元の送信元アドレスが内部アドレスになります。
      • DNAT の場合、NAT 実行後の変換された宛先アドレスが内部アドレスになります。
      • 再帰の場合、出力方向トラフィックに対しては、NAT 完了前の元の送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了後の変換された宛先アドレスにファイアウォールが適用されます。
    • [バイパス]:パケットは、ファイアウォール ルールをバイパスします。
  16. (オプション) ログの記録を有効にするには、[ログの記録] ボタンを切り替えます。
  17. 優先度を指定します。
    小さい値ほど、優先順位が高くなります。デフォルトは 0 です。 [SNAT なし] または [DNAT なし] ルールの優先度は、他のルールよりも高く設定する必要があります。
  18. (オプション) [ポリシー ベースの VPN に適用][DNAT] または [DNAT なし] ルール カテゴリにのみ適用されます。ルールは、優先度の値に基づいて適用されます。[バイパス] または [一致] の設定にかかわらず、NAT ポリシーの [適用先] パラメータに適用される設定は引き続き有効です。
    • [バイパス]:NAT ルールは、ポリシー ベースの IPsec VPN トンネルから復号されたトラフィックに適用されません。これがデフォルトの設定です。
    • [一致]:トラフィックがポリシー ベースの IPsec VPN トンネルから復号されると、NAT ポリシーが評価され、一致します。ポリシー ベースの IPsec VPN トンネルから復号されていないトラフィックでは、NAT ポリシーは評価されません。
    復号されたトラフィックを評価する NAT ポリシーの場合、ポリシーを [一致] に設定し、暗号化されたトラフィックが送受信されるインターフェイスを NAT の [適用先] パラメータで設定する必要があります。 [適用先] パラメータの詳細については、 ネットワーク アドレス変換 (NAT)を参照してください。
  19. [保存] をクリックします。