ソース NAT 変換の種類と一般的な使用例

概要

ソースアドレス変換の種類と、それぞれの一般的な使用例を次に示します。

動的 IP およびポート

特定の送信元 ip アドレスの場合、パロアルトネットワークファイアウォールは、送信元の ip アドレスまたは範囲を単一の ip アドレスに変換します。マッピングはソースポートに基づいているため、ソースポートが使い果たされるまで、複数のソース ip が1つの翻訳済みアドレスを共有できます。これは、多くのプライベート ip アドレス間で共有されるパブリック ip アドレスが1つだけの場合に一般的です。ISP に接続するインターフェイスに割り当てられている IP アドレスを選択するのが一般的です。

送信プールに ip アドレスを追加するには、アドレスの種類を "翻訳済みアドレス" に変更し、有効なパブリック ip を一覧に追加します。ファイアウォールは、各セッションに基づいてアドレスプールから負荷分散されます。

次の CLI コマンドを使用して NAT プールの使用率を確認します。 > 実行中のグローバル-ippool を表示

動的 IP

特定の送信元 ip アドレスの場合、ファイアウォールは、ソース ip を定義済みのプールまたは範囲内の ip に変換します。マッピングはポートベースではないので、セッションが続く限り、このマッピングは1から1になります。各同時セッションは、プールのアドレスを使用して、他のソース ip では使用できません。送信セッションを同時に作成する内部ホストの数が動的プールの IP アドレスの数を超えた場合に、変換されたアドレスプールが使い果たされる可能性があるため、このオプションを使用する場合は注意してください。このオプションは、ISP から2つ以上のパブリック ip が存在するが、ネットワーク上の各内部ホストに1つを割り当てるのに十分ではなく、必要に応じてのみ送信ホストに割り当てる必要がある場合に使用されます。動的プールには、IP アドレスの範囲を割り当てるのが一般的です。

特定の nat ポリシーの現在の nat プールマッピングを表示するには、次の CLI コマンドを実行します。

> 実行中の nat ルール-ippool ルールの表示</NAT>

静的 IP

この翻訳の種類を使用して、単一の送信元アドレスを特定のパブリックアドレスに変換します。これは通常、変更されない翻訳済みアドレスを使用してサーバー (電子メール、web、または任意のアプリケーション) を外部に公開するために使用されます。

双方向の "Yes" を選択すると、指定された source\destination ゾーンに基づいて両方の方向にマッピングが作成されます。双方向が [いいえ] に設定されている場合、マッピングは source\destination ゾーンの方向にのみ基づいて作成されます。一般公開されているサーバーの静的 NAT ポリシーでは、通常は双方向の [はい] に設定しているため、サーバーの送信トラフィックは受信トラフィックと同じアドレスを使用します。

静的 IP マッピングの種類を使用して、アドレス範囲全体を特定のアドレス範囲 (1 から1のマッピング) に変換します。このポリシーを使用する送信元 IPs の数は、翻訳された範囲と正確に一致する必要があります。これは通常、ネットワークの結合時に重複する IP 範囲を解決するために使用されます。ここに示されているポリシーは、Corp ゾーン宛ての10.20.1 アドレスを持つすべてのソースアドレスを、10.30.1 範囲内の一致するアドレスに変換します。

所有者: jteetsel