Tier-0 または Tier-1 ゲートウェイの IPv4 に、異なるタイプの NAT を構成できます。
注: この NAT ルールにサービスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
手順
- 管理者権限で NSX Manager にログインします。
- [ネットワーク] > [NAT] の順に選択します。
- [ビュー] ドロップダウン メニューから、[NAT] を選択します。
- [NAT ルールを追加] をクリックします。
- [名前] を入力します。
- アクションを選択します。
ゲートウェイ 使用可能なアクション Tier-1 ゲートウェイ 使用可能なアクションは、[SNAT]、[DNAT]、[再帰]、[NO SNAT]、[NO DNAT] です。 アクティブ/スタンバイ モードの Tier-0 ゲートウェイ 使用可能なアクションは、[SNAT]、[DNAT]、[NO SNAT]、[NO DNAT] です。 アクティブ/アクティブ モードの Tier-0 ゲートウェイ 使用可能なアクションは [再帰] です。 - [送信元]を入力します。このテキスト ボックスを空白にしておくと、この NAT ルールはローカル サブネットの外部のすべての送信元に適用されます。
IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。 [SNAT]、 [NO_SNAT] および [再帰]ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。
- (必須) [宛先]を入力します。
IP アドレスまたは IP アドレス範囲を CIDR 形式で指定します。 [DNAT] ルールと [NO_DNAT] ルールの場合、これは必須フィールドで、ネットワークから送信されるパケットの送信元ネットワークを表します。このフィールドは [再帰] に適用されません。
- [変換された IP] に値を入力します。
IPv4 アドレスまたは IP アドレス範囲を CIDR 形式で指定します。変換された IP が SNAT の一致 IP よりも小さい場合は、PAT として機能します。
- ルールを有効にするには、[有効] に切り替えます。
- [サービス] 列で [設定] をクリックして、サービスを選択します。
NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
- [変換されたポート] に値を入力します。
NAT ルールにサービス インターフェイスが構成されている場合、NSX Manager で translated_port は destination_port として認識されます。つまり、サービスは変換されたポートになりますが、変換されたポートは、宛先ポートとしてトラフィックの照合で使用されます。構成済みのサービスがない場合、ポートは無視されます。
- [適用先] で [設定] をクリックし、このルールが適用されるオブジェクトを選択します。
使用可能なオブジェクトは、 [Tier-0 ゲートウェイ]、 [インターフェイス]、 [ラベル]、 [サービス インスタンスのエンドポイント]、および [仮想エンドポイント] です。注: NSX フェデレーション を使用して グローバル マネージャ アプライアンスから NAT ルールを作成する場合は、NAT にサイト固有の IP アドレスを選択できます。NAT ルールは、次の場所のいずれかの場所に適用できます。
- デフォルトのオプションを使用して NAT ルールをすべての場所に適用する場合は、[設定] をクリックしないでください。
- [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで、ルールを適用するエンティティがある場所を選択し、[適用] をクリックします。
- [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [インターフェイス] を選択します。NAT ルールを適用する特定のインターフェイスを選択できます。
- [設定] をクリックします。[適用先 | 新しいルール] ダイアログ ボックスで場所を選択し、[カテゴリ] ドロップダウン メニューから [VTI] を選択します。NAT ルールを適用する特定の VTI を選択できます。
- (オプション) ファイアウォールの設定を選択します。
使用可能な設定は次のとおりです。
- [外部アドレスと一致]:ファイアウォールは NAT ルールの外部アドレスに適用されます。
- SNAT の場合、NAT 実行後の変換された送信元アドレスが外部アドレスになります。
- DNAT の場合、NAT 実行前の元の宛先アドレスが外部アドレスになります。
- 再帰の場合、出力方向トラフィックに対しては、NAT 完了後の変換された送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了前の元の宛先アドレスにファイアウォールが適用されます。
- [内部アドレスと一致]:ファイアウォールが NAT ルールの内部アドレスに適用されることを示します。
- SNAT の場合、NAT 実行前の元の送信元アドレスが内部アドレスになります。
- DNAT の場合、NAT 実行後の変換された宛先アドレスが内部アドレスになります。
- 再帰の場合、出力方向トラフィックに対しては、NAT 完了前の元の送信元アドレスにファイアウォールが適用されます。入力方向トラフィックの場合は、NAT 完了後の変換された宛先アドレスにファイアウォールが適用されます。
- [バイパス]:パケットは、ファイアウォール ルールをバイパスします。
- [外部アドレスと一致]:ファイアウォールは NAT ルールの外部アドレスに適用されます。
- (オプション) ログの記録を有効にするには、[ログの記録] ボタンを切り替えます。
- 優先度を指定します。
小さい値ほど、優先順位が高くなります。デフォルトは 0 です。 [SNAT なし] または [DNAT なし] ルールの優先度は、他のルールよりも高く設定する必要があります。
- (オプション) [ポリシー ベースの VPN に適用]:[DNAT] または [DNAT なし] ルール カテゴリにのみ適用されます。ルールは、優先度の値に基づいて適用されます。[バイパス] または [一致] の設定にかかわらず、NAT ポリシーの [適用先] パラメータに適用される設定は引き続き有効です。
- [バイパス]:NAT ルールは、ポリシー ベースの IPsec VPN トンネルから復号されたトラフィックに適用されません。これがデフォルトの設定です。
- [一致]:トラフィックがポリシー ベースの IPsec VPN トンネルから復号されると、NAT ポリシーが評価され、一致します。ポリシー ベースの IPsec VPN トンネルから復号されていないトラフィックでは、NAT ポリシーは評価されません。
復号されたトラフィックを評価する NAT ポリシーの場合、ポリシーを [一致] に設定し、暗号化されたトラフィックが送受信されるインターフェイスを NAT の [適用先] パラメータで設定する必要があります。 [適用先] パラメータの詳細については、 ネットワーク アドレス変換 (NAT)を参照してください。 - [保存] をクリックします。