サイトレベルNATポリシーの設定

この記事では、アカウント内のサイトのトラフィックを管理し優先順位を付けるためにNATポリシーを使用する方法について説明します。

概要

組織がネットワークトラフィックを変換しつつ、関連するすべてのリソースへのアクセスを維持したい場合、多くの課題に直面しています。 特に同じプライベートIP範囲を使用する可能性のあるプライベートネットワーク間で通信する必要がある場合に重要です。 さらに、構造またはトポロジーを公開したくないリソースがある場合は、NATを使用してトラフィックが特定のIPアドレスから来るように見せることができます。

あるいは、Webやファイルサーバーなどの内部サービスへのリモートアクセスを提供する必要がある場合もあります。 パブリックIPアドレスを1つ提供し、それを異なる内部IPアドレスに変換することができます。

Catoでは、特定の送信元および宛先IPに一致させるサイト固有のNATポリシーを作成し、送信トラフィック(Catoクラウドからサイトへの)に対して送信元NAT(SNAT)および宛先NAT(DNAT)を適用できます。

Site-NAT-アーキテクチャ.png

NATポリシーは、ポリシーが設定されたサイトへの(PoPからの)着信トラフィックに適用されます。

  • インターネットからのトラフィック(例:RPF)
  • 異なるCatoサイトからのトラフィック(例:WANトラフィック)

ポートアドレス変換(PAT)による拡張NAT

CatoのNAT実装は、デフォルトでポートアドレス変換(PAT)を組み込むことで、基本的なIPアドレス変換を超え、多対1のNAT機能を実現します。 これにより、各セッションに一意の送信元ポート番号を割り当てることで、変換されたIPアドレスごとに最大65,536の同時セッションが可能になります。 その結果、複数のオリジナルIPホストは適切セッションの一意性を保持しつつ、単一の変換されたIPを介して同時に接続を開始できます。

この詳細な制御は、以下のようなシナリオを効率的に処理するために不可欠です。

  • 単一IPを通じて公開される複数の内部サービスへのアクセス
  • IPアドレスリソースを枯渇させることなく、数千のセッションをマッピングしなければならない高密度のユーザー環境

PATを活用することにより、Catoはスケーラブルで衝突のない接続性と、大量のトラフィック負荷の下でもシームレスなアプリケーションパフォーマンスを確保します。

NATポリシーの使用例

以下のセクションでは、SNATとDNATの2つの使用例を示します。 以下の例はこれらの使用例におけるルールベースを示しています。

Site-NAT-ポリシー.png

SNAT使用例

このシナリオでは、管理者グループがSDPクライアントを通じて接続されています。 彼らは、会社内の別の場所にあるIPsecサイトの背後に位置する、例えばチケットシステムのような、第三者のリソースにアクセスする必要があります。

第三者は、特定のIPアドレスを使用して通信することを求めています。例えば、192.151.100.10を使用する必要があります。 元の送信元IP(管理者グループに属する)は通信がブロックされます。

これを解決するには、元の送信元IPが特定の管理者グループに属する接続用のNATポリシールールを作成できます。 チケットシステムにアクセスしようとする際、管理者のIPアドレスに送信元NATを適用して192.151.100.10に変換し、IT管理者が第三者サーバーと通信できるようにします。

DNAT使用例

このシナリオでは、異なるグループの複数のホストが1つのIPアドレスにトラフィックを送信しています。 これらの機械はすべて、203.0.113.96のような単一のネットワークアドレスにパケットを送信します。

ネットワーク全体で最適なパフォーマンスを維持するために、送信元IPアドレスとトラフィックタイプに基づいてトラフィックを異なるサーバーに誘導するDNATルールを複数作成できます:

  • VLAN1から203.0.113.96へのトラフィックは10.10.10.5に送信されます

  • Financeから203.0.113.96に送信されたトラフィックは10.10.10.25に送られます

  • 調達から203.0.113.96に送信されたトラフィックは10.10.10.65に送られます

これにより、設定を変更せずにそれぞれのグループにさらにマシンを追加することができ、一つのIPアドレスに対するトラフィックを効率的に管理できます。

NAT ルールベースの操作

NATポリシーは順序付けられたルールを使用します。 パケットが到着し、ルールに照らしてチェックされます。 ルールが一致すると、アクションが適用され、他のルールは処理されません。

例えば、接続がルール#3に一致する場合、アクションは接続に適用され、すべての後続のルールは無視されます。 接続がルールに一致しない場合、元のデータで処理されます。

NATポリシーの設定

このセクションでは、NATのルールや設定可能なオブジェクト、ポート、サービスの定義方法を説明します。

NATルールの定義

LANトラフィックのルーティングを管理するためのNATルールを作成し、設定を構成します。

NATポリシーのルールは約1分以内にサイトに適用されます。

SocketのLAN IPを変換された送信元IPとして使用する旧設定を使用している顧客には、この設定を推奨しません。

NATルールを定義するには:

  1. ナビゲーションメニューから、ネットワーク > サイトをクリックし、サイトを選択します。

    注意

    注意: メニューにNATポリシーが表示されず、これを有効にしたい場合は、アカウント担当者またはカスタマーサポートに連絡してください。

  2. ナビゲーションメニューから、サイト設定 > NATをクリックします。

  3. 新規をクリックします。 NAT ルール追加パネルが開きます。

  4. 一般のセクションから、ルールのために以下の設定を構成します:

    • ルールの名前を入力します。

    • スライドを使用してルールを有効または無効にします(緑は有効、灰色は無効)。

    • ルール順序を設定します。 より具体的なルールには高い番号を、より一般的なルールには低い番号を設定してください。

  5. 元の送信元IPの設定を構成します。

    • IP範囲またはすべてを選択します。

      IP範囲は単一のIPアドレスまたはアドレスの範囲で指定できます。 複数のエントリを作成できます。

  6. 元の宛先IPおよびポート/プロトコル設定を構成します:

    • 宛先IP の下で、IP範囲または任意を選択します。

      IP範囲は単一のIPアドレスまたは範囲である可能性があります。 複数のエントリを作成できます。

    • 宛先ポート/プロトコルの下で、プロトコル/ポート形式を使用してプロトコルおよびポートを定義します:

      例: TCP/80, UDP/53, TCP/443

  7. NATアクションの下で、送信元または宛先NATを変更するかどうかを決定します。 送信元と宛先の両方を変更できますが、元のアドレスの両方を維持することはできません。

  8. 適用をクリックし、その後保存をクリックします。

    ルールはテーブルに追加されます。

この記事は役に立ちましたか?

5人中5人がこの記事が役に立ったと言っています

0件のコメント