LAN 側 NAT(ネットワーク アドレス変換)ルールを使用すると、広報されないサブネット内の IP アドレスを、広報されるサブネット内の IP アドレスに NAT することができます。3.3.2 リリースでは、プロファイルと Edge の両方のレベルで、デバイスの設定内に LAN 側 NAT ルールが導入され、3.4 リリースでは、拡張機能として、送信元と宛先に基づく LAN 側 NAT が導入され、同じパケットの送信元および宛先 NAT がサポートされるようになりました。
3.3.2 リリースから、Edge 上の VPN ルートを NAT するための新しい LAN 側 NAT モジュールが VMware で導入されました。主なユースケースは、次のとおりです。
- M&A(合併・買収)によるブランチの重複 IP アドレス
- セキュリティ上の理由によるブランチまたはデータセンターのプライベート IP アドレスの非表示
3.4 リリースでは、他のユースケースに対応するために追加の設定フィールドが導入されました。リリースごとの LAN 側 NAT のサポートの概要は、次のとおりです。
- 一致するすべてのサブネットの送信元または宛先 NAT では、1 対 1 と多対 1 の両方をサポート(3.3.2 リリース)
- 宛先サブネットに基づく送信元 NAT または送信元サブネットに基づく宛先 NAT では、1 対 1 と多対 1 の両方をサポート(3.4 リリース)
- 同じパケットでの送信元 NAT と 1 対 1 の宛先 NAT(3.4 リリース)
注:
- LAN 側 NAT は VCMP トンネルを経由するトラフィックをサポートします。アンダーレイ トラフィックはサポートされていません。
- 「多対 1」と「1 対 1」(/24 から/24 へなど)の送信元および宛先 NAT がサポートされます。
- 複数のルールが設定されている場合は、最初に一致したルールのみが実行されます。
- LAN 側 NAT は、ルートまたはフロー検索の前に実行されます。ビジネス プロファイルでトラフィックを一致させるには、NAT された IP アドレスを使用する必要があります。
- デフォルトでは、NAT された IP アドレスは Edge から広報されません。したがって、必ず、NAT された IP アドレスのスタティック ルートを追加し、オーバーレイに広報されるようにしてください。
- 3.3.2 での設定は、3.4 へのアップグレード時に継承されるので、再設定する必要はありません。
手順
[注]:ユーザーがデフォルト ルールを設定する場合は、IP アドレスをすべてゼロになるように指定し、プレフィックスもゼロにする必要があります (0.0.0.0/0)。
[プロファイル レベルでの LAN 側 NAT ルールを適用するには、次の手順を実行します。]
- エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。
- プロファイルの [名前 (Name)] の横にあるチェック ボックスをクリックして、適切なプロファイルを選択します。
- まだ選択していない場合は、[デバイス (Device)] タブ リンクをクリックします。
- [ルーティングと NAT (Routing & NAT)] まで下にスクロールします。
- [LAN 側 NAT ルール (LAN-Side NAT Rules)] 領域を開きます。
- [+追加 (+Add)] をクリックして、送信元または宛先の NAT を追加します。
- [LAN 側 NAT ルール (LAN-Side NAT Rules)] 領域の [送信元または宛先の NAT (NAT Source or Destination)] セクションで、次のように入力します(これらの手順のフィールドの説明については、以降の表を参照)。
- [内部アドレス (Inside Address)] テキスト ボックスにアドレスを入力します。
- [外部アドレス (Outside Address)] テキスト ボックスにアドレスを入力します。
- 該当のテキスト ボックスに送信元ルートを入力します。
- 該当のテキスト ボックスに宛先ルートを入力します。
- [説明 (Description)] テキスト ボックスにルールの説明を入力します(任意)。
- [LAN 側 NAT ルール (LAN-Side NAT Rules)] 領域の [送信元と宛先の NAT (NAT Source and Destination)] で、次のように入力します(これらの手順のフィールドの説明については、以降の表を参照)。
- [送信元 (Source)] タイプについて、[内部アドレス (Inside Address)] テキスト ボックスと [外部アドレス (Outside Address)] テキスト ボックスに該当のアドレスを入力します。
- [宛先 (Destination)] タイプについて、[内部アドレス (Inside Address)] テキスト ボックスと [外部アドレス (Outside Address)] テキスト ボックスに該当のアドレスを入力します。
- [説明 (Description)] テキスト ボックスにルールの説明を入力します(任意)。
LAN 側 NAT ルール | タイプ (Type) | 説明 |
---|---|---|
[タイプ (Type)] ドロップダウン メニュー | [送信元 (Source)] と [宛先 (Destination)] のどちらかを選択 | この NAT ルールをユーザー トラフィックの送信元 IP アドレスと宛先 IP アドレスのどちらに適用するかを指定します。 |
[内部アドレス (Inside Address)] テキスト ボックス | IPv4 アドレス/プレフィックス(プレフィックスは 1 ~ 32 にする必要があります) | 「内部」または「NAT 前」IP アドレス(プレフィックスが 32 の場合)あるいはサブネット(プレフィックスが 32 未満の場合)。 |
[外部アドレス (Outside Address)] テキスト ボックス | IPv4 アドレス/プレフィックス(プレフィックスは 1 ~ 32 にする必要があります) | 「外部」または「NAT 後」IP アドレス(プレフィックスが 32 の場合)あるいはサブネット(プレフィックスが 32 未満の場合)。 |
[送信元ルート (Source Route)] テキスト ボックス | - 任意指定 - IPv4 アドレス/プレフィックス - プレフィックス:1 ~ 32 - デフォルト:任意 |
宛先 NAT の場合は、送信元 IP アドレス/サブネットを一致条件として指定します。タイプが [宛先 (Destination)] の場合にのみ有効です。 |
[宛先ルート (Destination Route)] テキスト ボックス | - 任意指定 - IPv4 アドレス/プレフィックス - プレフィックス:1 ~ 32 - デフォルト:任意 |
送信元 NAT の場合は、宛先 IP アドレス/サブネットを一致条件として指定します。タイプが [送信元 (Source)] の場合にのみ有効です。 |
[説明 (Description)] テキスト ボックス | テキスト | NAT ルールの説明のためのカスタム テキスト ボックス。 |
注:
[重要]:内部アドレスのプレフィックスが外部アドレスのプレフィックスよりも小さい場合、LAN から WAN 方向では多対 1 の NAT が、WAN から LAN 方向では 1 対 1 の NAT がサポートされます。たとえば、内部アドレスが 10.0.5.0/24、外部アドレスが 192.168.1.25/32、タイプが送信元の場合、LAN から WAN へのセッションでは、「内部アドレス」に一致する送信元 IP アドレス 10.0.5.1 は 192.168.1.25 に変換されます。WAN から LAN へのセッションでは、「外部アドレス」に一致する宛先 IP アドレス 192.168.1.25 が 10.0.5.25 に変換されます。同様に、内部アドレスのプレフィックスが外部アドレスのプレフィックスよりも大きい場合は、WAN から LAN 方向では多対 1 の NAT が、LAN から WAN 方向では 1 対 1 の NAT がサポートされます。NAT された IP アドレスは自動的に広報されないので、必ず、NAT される IP アドレスのスタティック ルートを設定し、ネクスト ホップが送信元サブネットの LAN ネクスト ホップ IP アドレスであることを確認してください。