送信元NATのタイプと良くある使用例

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Source NAT Translation Types and Typical Use Cases
https://live.paloaltonetworks.com/t5/Management-Articles/Source-NAT-Translation-Types-and-Typical-Us...

 

概要

以下は送信元アドレス変換のタイプと、よくある使用例です。

 

Dynamic IP and Port

指定された送信元IPアドレスについて、Palo Alto Networks のファイアウォールは送信元 IP アドレスまたは範囲を1つの IP アドレスへ変換します。マッピングは送信元ポートに基づいているため、複数の送信元 IP アドレスは送信元ポートが消費されるまで1つの変換されたアドレスを共有することができます。これは、1つのパブリック IP アドレスを多くのプライベート IP アドレスの間で共有する場合によく利用されます。ISP に接続するインターフェイスに割り当てられた IP アドレスを選択するのが一般的です:

 

アウトバウンド プールに IP アドレスを追加するには、アドレス タイプを "Translated Address" に変更し、有効なパブリック IP アドレスを追加します。ファイアウォールはセッションごとにアドレスをロードバランスします。

 

NAT プールの使用状況を確認するには次のコマンドを使用します: > show running global-ippool

 

Dynamic IP

指定された送信元 IP アドレスについて、ファイアウォールは、定義されたプールまたは範囲内のIPに送信元IPを変換します。マッピングはポートベースではなく、セッションが持続する限り 1対1 のマッピングを行います。それぞれの同時セッションはプールからアドレスを使用し、他の送信元 IP アドレスはそのアドレスを使用できなくなります。このオプションを利用する場合、同時アウトバウンド セッションを作成するホストの数がダイナミック プール内の IP アドレスの数を超えた場合に、変換用アドレス プールが枯渇することに注意してください。これは2つ以上のパブリック IP アドレスを ISP から割り当てられたものの、すべての内部ホストに割り当てるには不十分なので、アウトバウンド ホストを必要な分だけアサインするときに利用されます。ダイナミック プールには IP アドレスの範囲を割り当てることが一般的です:

 

指定されたNAT ポリシーの現在の NAT プールのマッピングを表示するには、次のCLIコマンドを実行します。:

> show running nat-rule-ippool rule <NAT rule name>


Static IP

ひとつの送信元アドレスを特定のパブリック アドレスに変換するにはこの変換タイプを使用してください。これは、一般的には変更されないアドレスを持つサーバー(電子メール、 Webまたは任意のアプリケーション)を公開するために使用されます。

 

Bi-directoinal を「Yes」にすると、送信元と宛先に基づいた双方向のマッピングを作成します。「No」に設定すると、送信元から宛先へのマッピングだけが作成されます。サーバーのアウトバウンド トラフィックとインバウンド トラフィックは同じアドレスを使用するため、通常、送信元 NAT ポリシーの Bi-directional は「Yes」が利用されます:

 

アドレス範囲全体を特定のアドレス範囲に 1対1 のマッピングで変換するよう Static IP マッピング タイプを使用してください。このポリシーを使用する送信元 IP アドレスの数は、変換後アドレスの範囲と正確に一致する必要があります。一般的には、ネットワークを統合する際の IP 範囲の重複解決するために使用されます。以下のポリシーでは、10.30.1.x 範囲内で一致するアドレスに (Corp) ゾーン宛て 10.20.1.x アドレスの持つすべての送信元アドレスを変換します。:

 

著者: jteetsel