図 3-17 インタフェースごとのIPプール
リモート・クライアントが内部ネットワークとの接続を開く場合は、内部ネットワーク内のホスト からの戻りのパケットは、静的IPプールNATアドレスを使用して、正しいゲートウェイ・インタ フェースにルーティングされます。
リモートのVPNクライアントのIPアドレスは、いずれかのゲートウェイ・インタフェース上のIP プール内のアドレスにネットワーク・アドレス変換されます。 IPプール内のアドレスは、ゲート ウェイ・インタフェースを介してのみルーティング可能なので、ターゲット・ホストからのすべての 戻りのパケットは、他のインタフェースではなくそのインタフェースに戻ります。このため、インタ フェースのIP NATプールが重複していないことが重要です。
ゲートウェイ・インタフェースにパケットが戻ると、ゲートウェイはリモート・ピアの発信元IPアド レスを復元します。
ゲートウェイのIPプールからのアドレスが正しいゲートウェイ・インタフェースに戻されるように、
ゲートウェイの背後にあるルータ上のルーティング・テーブルを編集する必要があります。
ゲートウェイごとのIPプールNATとインタフェースごとのIPプールNATを切り替えてからセキュ リティー・ポリシーをインストールすると、すべてのIPプールの割り当てとネットワーク・アドレス 変換されたすべての接続が削除されます。
NAT の優先順位
IPプールNATは、暗号化された(VPN)接続と、クリアな(ゲートウェイによって暗号解除された)
接続の両方で使用できます。
暗号化されていない接続の場合、IPプールNATはHide NATに比べて次の利点があります。
• ネットワーク・アドレス変換されるホストへの新しいバック・コネクション(X11など)を開 くことができます。
• 1つのIPに1つの接続を許可するプロトコルを使用する場合に、ユーザとIPアドレスのマッ
ピングは、1つのみのホストではなく複数のホストで使用できます。
• IPSec、GRE、およびIGMPプロトコルは、IPプールNAT(およびStatic NAT)を使用して
ネットワーク・アドレス変換を行うことができます。 Hide NATは、TCP、UDP、および ICMPプロトコルのみで機能します。
これらの利点があるため、IPプールNATとHide NATの両方が同じ接続に一致する場合に、IPプール NATを優先するように指定できます。 Hide NATは、IPプールがすべて使用された場合にのみ適用 されます。
NATの優先順位は以下のとおりです。
1. Static NAT 2. IPプールNAT 3. Hide NAT
Static NATは、IPプールNATのすべての利点およびその他の利点を持っているので、他のNAT方法
よりも優先順位が高くなります。
NGX(R60)よりも前のバージョンのゲートウェイ、およびアップグレードされたゲートウェイ
(デフォルト)の場合は、NATの優先順位は以下のとおりです。
1. Static NAT 2. Hide NAT 3. IPプールNAT
注: ゲートウェイ経由のクリアな接続のIPプールNATを有効にするには、user.defファイル
内でINSPECTの変更を設定します。 詳細については、チェック・ポイントの技術サポート
にお問い合わせください。
異なる宛先に対する IP プール・アドレスの再利用
IPプールNATを使用するNGX(R60)よりも前のバージョンのゲートウェイで、IPプールにN個の アドレスが含まれている場合は、最大N個の異なるクライアントのネットワーク・アドレス変換を 行うことができます。
NGX(R60)以降のバージョンでは、異なる宛先に対してIPプールのアドレスを再利用でき、プー ル内のアドレスをより効率的に使用できます。ルールにN個のアドレスが含まれている場合は、サー バあたりのクライアント数がNを超えない限り、任意の数のクライアントにプールからIPアドレス を割り当てることができます。
宛先ごとのIPプールの割り当てを使用すると、2つの異なるクライアントが異なるサーバと通信し ている限り(図 3-18の接続1と2)、2つのクライアントがプールから同じIPアドレスを受け取る ことができます。IPアドレスを再利用する場合は、接続先のサーバからのバック・コネクションの みがサポートされます。つまり、クライアントに戻る接続は、接続が開かれた特定のサーバからの み開くことができます(図 3-18の接続3)。
図 3-18 異なる宛先に対するIPプールNATアドレスの再利用
デフォルトの[Do not reuse IP Pool]の動作では、IPプール内の各IPアドレスは一度だけ使用さ れます(図 3-19の接続1と2)。 このモードでは、IPプールに20個のアドレスが含まれている場合、
最大20の異なるクライアントのネットワーク・アドレス変換を行い、任意の発信元からクライア ントへのバック・コネクション(図 3-19の接続3)を開くことができます。
図 3-19 IPプールNATアドレスを再利用しない
「再利用」モードと「非再利用」モードを切り替えてから、セキュリティ・ポリシーをインストー ルすると、すべてのIPプールの割り当てとネットワーク・アドレス変換されたすべての接続が削除 されます。
IP プール NAT の設定
IPプールNATを設定するには、以下の手順に従います。
1. [Global Properties]>[NAT]ページで、[Enable IP Pool NAT]を選択し、必要なトラッ キング・オプションを選択します。
2. ゲートウェイの[General Properties]ページで、ゲートウェイのバージョンが正しく指定 されていることを確認します。IPプールNATは、NGX(R60)以降のバージョンのゲート ウェイの場合、ゲートウェイ・インタフェースごとに定義できます。
3. 各ゲートウェイまたはゲートウェイ・インタフェースに対して、そのIPプールNATアドレスを 表すネットワーク・オブジェクトを作成します。 IPプールとして、ネットワーク、グループ、
またはアドレス範囲を使用できます。たとえばアドレス範囲の場合は、以下の手順に従います。
• ネットワーク・オブジェクト・ツリーで、[Network Objects]ブランチを右クリックし、
[New]>[Address Range...]を選択します。[Address Range Properties]ウィンド ウが表示されます。
• [General]タブで、アドレス範囲の最初と最後のIPアドレスを入力します。
• [OK]をクリックします。新しいアドレス範囲がネットワーク・オブジェクト・ツリーの
[Address Ranges]ブランチに表示されます。
4. ゲートウェイ・オブジェクトを選択し、[Gateway Properties]ウィンドウにアクセスして、
[NAT]>[IP Pool NAT]を選択します。
5. [IP Pool NAT]ページで以下のいずれかを選択します。
• [Allocate IP Addresses from]を選択し、ゲートウェイ全体のIPプールNATを設定する ために作成したアドレス範囲を選択します。
• [Define IP Pool addresses on gateway interfaces]を選択し、IPプールNATをインタ フェースごとに設定します。
6. 必要な場合は、以下のオプションを1つ以上選択します。
• [Use IP Pool NAT for VPN client connections]
• [Use IP Pool NAT for gateway to gateway connections]
• [Prefer IP Pool NAT over Hide NAT]。IPプールNATとHide NATが同じ接続に一致した 場合にIPプールNATを優先することを指定します。Hide NATは、IPプールがすべて使用 された場合にのみ適用されます。
7. [Advanced]をクリックします。
• Return unused addresses to IP Pool after:プール内のアドレスは、ユーザがログオフ した場合でも60分間(デフォルト)は予約されています。ユーザがISPから切断し、再び ダイヤルして再接続した場合は、IPプールから最初に取得したアドレスがタイムアウト になるまで、2つのプールNATアドレスがこのユーザに使用されます。ユーザがISPとの 接続を頻繁に切断する場合は、このタイムアウト時間を短縮し、IPプールが枯渇しない ようにすることができます。
• Reuse IP addresses from the pool for different destinations: クライアントが最初に 接続を開いた特定のサーバからだけでなく、任意の発信元からクライアントへのバック・
コネクションを開くことを許可する必要がない場合は、このオプションを選択すること をお勧めします。
8. [OK]をクリックします。
9. 各内部ルータのルーティング・テーブルを編集して、NATプールから割り当てられたIPアド レスを使用するパケットが適切なゲートウェイまたは適切なゲートウェイ・インタフェース
(インタフェースごとのIPプールを使用する場合)にルーティングされるようにします。
クラスタ用の IP プール NAT
ゲートウェイ・クラスタ用のIPプールは、SmartDashboardの次の2つの場所で設定されます。
• ゲートウェイ・オブジェクトの[NAT]>[IP Pool NAT]ページで、接続シナリオを選択し ます。
• クラスタ・メンバ・オブジェクトの[IP Pool NAT]ページで、クラスタ・メンバ上のIP プールを定義します。 各クラスタ・メンバに対して個別のIPプールを設定する必要があります。
各クラスタ・メンバ・インタフェースに対して個別のIPプールを定義することはできません。