|
◆ インターフェースベースNATとは
NATには、インターフェースベースNATとポリシーベースNATの2種類があります。インターフェース
ベースNATとは、Ingress(入口)インターフェースで、NATモードに設定した時に動作するNATのこと。
| Ingress I/F モード |
説明 |
| NATモード |
・ TrustゾーンからUntrustゾーンへパケットが転送される際に自動的にNAPTを実行。
・ 着信パケットのソースIPアドレスをEgress(出口)インタフェースのIPアドレスに変換。
・ Trustゾーンに所属するインターフェースはデフォルトでNATモードになっている。
|
| ルートモード |
・ デフォルトではNATされないので、NATするためにはポリシーを使用する必要がある。
・ Trustゾーン以外に所属するインターフェースはデフォルトでルートモードになっている。
|
◆ ポリシーベースNATとは
ポリシーベースNATは、ポリシーにより設定したNATのことで大きく4種類の方式があります。一般的には
インターフェースベースNATではなく、柔軟性の高いポリシーベースNATを使用し実装することが多いです。
| ポリシーベースNATの方式 |
セッション開始 |
説明 |
| NAT-src |
送信側のみ |
プライベートソースアドレスをグローバルソースアドレスに変換。 |
| NAT-dst |
受信側のみ |
グローバル宛先アドレスをプライベート宛先アドレスに変換。 |
| VIP |
受信側のみ |
ポート番号に基づき、指定したプライベートアドレスに静的に関連づける
1対多マッピング。グローバルIPアドレスがその環境で足りない場合に使用。
|
| MIP |
送信側/受信側 |
指定したプライベートアドレスを指定したグローバルアドレスに静的に関連
付ける1対1のマッピング。送信側、受信側ともにセッション開始できる方式。 |
※ VIPを使用する場合、グローバルアドレス側のゾーンはUntrustゾーンに指定する必要がある(仕様)
※ Untrustゾーン以外でVIPを使用したい場合は NAT-dst を使用すれば実現可能(ポリシーを複数設定)
まず上図で「NAT-src、NAT-dst、VIP、MIP」の概要を理解しましょう。NAT-src、NAT-dst については
さらに、それぞれ4種類のアドレス変換方式があるので、詳細とコマンドは、次ページで解説していきます。
|