NAT規則

NATルールベースには、IPアドレスの変換方法を指定する2つのセクションがあります。

  • Original Packet

  • Translated Packet

NATルールベースの各セクションは、トラフィックのSourceDestinationService を定義するセルに分割されています。

NATルールベースはこのような形になっています。

いいえ

原資料

オリジナル・デスティネーション

オリジナルサービス

翻訳元

翻訳された宛先

翻訳サービス

インストール

コメント

自動生成されるルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。

XのNAT規則(Y-Z)

1

Object1

Object2

Any

= Original

= Original

= Original

Policy Targets

 

2

Object3

Object4

Any

Sオブジェクト5

Sオブジェクト6

= Original

Policy Targets

 

3

Object7

Object8

Any

Hオブジェクト9

Hオブジェクト10

= Original

Policy Targets

 

自動NATルールと手動NATルール

ネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。のNATルールには、2つのタイプがあります。

手動NATルールを作成する際、ルールに変換されたNATオブジェクトを作成することが必要になる場合があります。

自動ルールの使用

これらのSmartConsoleオブジェクトに対して、自動NATルールを有効にすることができます。

SmartConsoleは、パケットの送信元と送信先を変換するために、スタティックNATの2つのルールを自動的に作成します。

Hide NATの場合、パケットの送信元を変換するルールが1つ作成されます。

ネットワークとアドレス範囲オブジェクトの場合、SmartConsoleは、イントラネットのトラフィックを変換しないように別のルールを作成します。同一オブジェクト上のコンピュータのIPアドレスは変換されません。

この表は、NATの自動規則をまとめたものです。

トラフィックのタイプ

静的NAT

NATを隠す

内部から外部へ

ルールは、ソースIPアドレスを変換する

ルールは、ソースIPアドレスを変換する

外部→内部

ルールは、宛先IPアドレスを変換する

N/A (外部接続不可)

イントラネット(ネットワークおよびアドレスレンジオブジェクト用)

ルールがIPアドレスを変換しない

ルールがIPアドレスを変換しない

NAT規則施行令

ファイアウォールは、NATルールベースを順次適用していきます。自動ルールと手動ルールは、異なる方法で実施されます。自動ルールは、双方向NATを使用して、1つの接続に対して2つのルールを適用させることができます。

  • Manual rules - 接続にマッチした最初の手動 NAT ルール閉じた Check Point管理サーバの管理者によるNATルールの手動構成。が適用されます。ファイアウォールは、より適用可能な別のNATルールを強制するものではありません。

  • Automatic rules - 接続にマッチした2つの自動NATルール、SourceDestination のルールを実施することができます。接続が2つの自動ルールに一致する場合、それらのルールが実行されます。

SmartConsoleは、自動NATルールをこの順序で整理します。

  1. Firewallの静的NATルール、またはホスト(コンピュータまたはサーバ)オブジェクトの静的NATルール

  2. FirewallのNATルール、またはホストオブジェクトの非表示

  3. ネットワークまたはアドレスレンジオブジェクトの静的NATルール

  4. ネットワークまたはアドレスレンジオブジェクトのNATルールを隠す

自動ルールの例

以下は、自動ルールの例です。

  1. HRネットワーク内のイントラネット接続は翻訳されません。ファイアウォールは、HRオブジェクトの一部である2つのコンピュータ間の接続を変換しません。

    ファイアウォールは、ルール1に一致するトラフィックには、ルール2および3を適用しません。

  2. HRネットワークからのIPアドレスから任意のIPアドレス(通常は外部のコンピュータ)への接続は、Static NATのIPアドレスに変換されます。

  3. 任意のIPアドレス(通常は外部のコンピュータ)からHRへの接続は、Static NATのIPアドレスに変換されます。

  1. Salesアドレスの範囲内のイントラネット接続は変換されません。Firewallは、Salesオブジェクトに含まれるIPアドレスを使用する2つのコンピュータ間の接続を変換しません。

    ファイアウォールは、ルール1に一致するトラフィックにルール2を適用しません。

  2. セールス」アドレスの範囲にあるIPアドレスから任意のIPアドレス(通常は外部のコンピュータ)への接続は、Hide NATのIPアドレスに変換されます。

スタティックNATとハイドNATの設定

SmartConsoleのオブジェクトに対してNATを有効化し、設定することができます。

Static NATを有効にすると、各オブジェクトは異なるIPアドレスに変換されます。SmartConsoleは、NATルールを自動的に作成することができますが、手動で作成することもできます。

Hide NATは、内部のIPアドレスを識別するために異なるポート番号を使用します。Hide NAT モードを有効にすると、ファイアウォールは IP アドレスを変換することができます。

  • 外部セキュリティゲートウェイインターフェースのIPアドレス

  • オブジェクトのIPアドレス

- これらの構成では、Hide NATを使用することはできません。

  • ポート番号を変更できないプロトコルを使用したトラフィック

  • IPアドレスを使って異なるコンピュータやクライアントを識別する外部サーバ

自動NATの有効化

SmartConsoleは、ネットワークのNATルールを自動的に作成し、設定することができます。IPアドレスを変換するすべてのオブジェクトで、自動NATを有効にします。次に、アクセスコントロールルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を設定し、該当するオブジェクトへのトラフィックを許可するようにします。

  1. SmartConsoleで、Gateways & Servers 、ゲートウェイオブジェクトをダブルクリックします。

    ゲートウェイのGeneral Properties ウィンドウが開きます。

  2. ナビゲーションツリーで、NAT > Advancedを選択します。

  3. Add automatic address translation rules to hide this Gateway behind another Gatewayを選択します。

  4. Translation method:Hide またはStatic を選択してください。

  5. オブジェクトのNAT IPアドレスを設定します。

    • Hide behind Gateway - セキュリティゲートウェイのIPアドレスを使用する

    • Hide behind IP address - IPアドレスを入力します。

  6. Install on Gateway をクリックし、All または IP アドレスを変換するセキュリティゲートウェイを選択します。

  7. OKをクリックします。。

  8. アクセスコントロールポリシーをインストールします。

該当するすべてのゲートウェイでNATを有効にして設定した後、ポリシーをインストールします。

外部ネットワークへのNAT自動隠蔽

大規模で複雑なネットワークの場合、すべての内部IPアドレスに対してHide NATの設定を行うことは現実的でない場合があります。簡単な方法としては、ファイアウォールで外部ネットワークとのトラフィックに対して自動的にNATを隠すようにすることです。ファイアウォールは、外部インタフェースを通過するすべてのトラフィックを、そのインタフェースの有効なIPアドレスに変換します。

このサンプルでは、内部ネットワーク閉じた ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。のコンピュータがインターネット上の外部サーバへの接続を開く構成になっています。内部クライアントの発信元IPアドレスは、外部インタフェースのIPアドレスに変換されます。

項目

説明

1

社内ネットワーク

2

Security Gateway - Firewallは自動Hide NATで構成されています。

2A、2B

外部インタフェース 192.0.2.1 と 192.0.2.100 の2つ。

1 -->3

インターネット上の外部のコンピュータやサーバ

発信元IPアドレスは、次の該当する外部インタフェースのIPアドレスに変換されます。192.0.2.1または192.0.2.100

- 接続が通常のNATルールとNAT-for-Internal-Networksルールに一致する場合、通常のNATルールが優先されます。

  1. SmartConsoleで、Gateways & Servers 、ゲートウェイオブジェクトをダブルクリックします。

    ゲートウェイのGeneral Properties ウィンドウが開きます。

  2. ナビゲーションツリーで、NATを選択します。

  3. Hide internal networks behind the Gateway's external IPを選択します。

  4. OKをクリックします。。

  5. アクセスコントロールポリシーをインストールします。

一部のデプロイメントでは、NATルールを手動で定義する必要があります。valid (NATされた) IPアドレスを使用するSmartConsoleオブジェクトを作成します。オブジェクトの元のIPアドレスを有効なIPアドレスに変換するためのNATルールを作成します。次に、これらの有効なIPアドレスを持つ該当する変換オブジェクトへのトラフィックを許可するように、ファイアウォールルールベースを設定します。

- 手動NATルールの場合、変換されたIPアドレスを関連付けるためにプロキシARPエントリを設定する必要があります。 NATの詳細設定 - "Automatic and Proxy ARP" の項を参照してください。

これらは、手動でNATルールを使用しなければならないいくつかの状況です。

Webサーバに手動静的NATを設定する手順を説明します。SmartConsoleオブジェクトに対して、手動でHide NATを設定することも可能です。導入例(ポート変換の手動ルール)」を参照してください。

  1. ネットワークオブジェクト(例えばWebサーバ)からクローンを作成する。

  2. 元のオブジェクトをNATされたオブジェクトにマッピングするNATルールを追加します。

  3. 新しいNATされたオブジェクトへのトラフィックを許可するアクセスコントロールルールを追加します。

  1. SmartConsoleでオブジェクトを右クリックし、Clone を選択します。

    新しいオブジェクトのGeneral Properties ウィンドウが開きます。

  2. Nameを入力します。オブジェクトの名前は、<name>_valid_address とすることを推奨します。

  3. NATされたIPアドレスを入力します。

  4. OKをクリックします。。

  1. SmartConsoleで、Security Policies > Access Control > NAT にアクセスします。

  2. 自動NATルールの上に手動ルールを追加します。

  3. IPアドレスを変換するための手動ルールを設定します。例:

    • Original Source - WebServer

    • Translated Source - WebServer_valid_address

  1. SmartConsoleで、Security Policies > Access Control > Policy にアクセスします。

  2. 該当するNATされたオブジェクトへのトラフィックを許可するルールを追加します。

    これらのオブジェクトは、<name>_valid_address と呼ばれるクローンオブジェクトである。

  3. ポリシーをインストールします。

サンプルデプロイメント(静的NATとHide NAT)

このサンプルデプロイメントの目標は、設定することです。

  • 内部ネットワーク上のSMTPサーバとHTTPサーバを静的NATで接続。これらのサーバは、インターネットから公開アドレスを使ってアクセスすることができる。

  • インターネットにアクセスする内部ネットワークのユーザには、NATを隠します。このネットワークは、インターネットからアクセスすることはできません。

項目

説明

1

社内コンピュータ(Alaska_LAN 2001:db8::/64)

2

Webサーバ(Alaska.Web 2001:db8:0:10::5 を 2001:db8:0:a::5 に変換しています。)

3

メールサーバ(Alaska.Mail 2001:db8:0:10::6 を 2001:db8:0:a::6 に変換しています。)

4

セキュリティゲートウェイ(外部インタフェース2001:db8:0:a::1)

5

インターネット上の外部のコンピュータやサーバ

    1. Alaska.Web オブジェクトをダブルクリックし、NAT を選択します。

    2. Add Automatic Address Translation Rulesを選択します。

    3. Translation method で、Static を選択します。

    4. Hide behind IP Address を選択し、2001:db8:0:a::5 を入力します。

    5. OKをクリックします。。

    1. Alaska.Mail オブジェクトをダブルクリックし、NAT を選択します。

    2. Add Automatic Address Translation Rulesを選択します。

    3. Translation method で、Static を選択します。

    4. Hide behind IP Address を選択し、2001:db8:0:a::6 を入力します。

    5. OKをクリックします。。

    1. Alaska_LAN オブジェクトをダブルクリックし、NAT を選択します。

    2. Add Automatic Address Translation Rulesを選択します。

    3. Translation method で、Hide を選択します。

    4. Hide behind Gatewayを選択します。

  4. OKをクリックします。。

  5. アクセスコントロールポリシーをインストールします。

導入例(ポート変換の手動ルール)

このサンプル構成の目標は、外部のコンピュータが1つのIPアドレスからDMZネットワーク内のWebとメールサーバにアクセスできるようにすることです。DMZネットワークオブジェクトにHide NATを設定し、サーバに手動NATルールを作成します。

項目

説明

1

インターネット上の外部のコンピュータやサーバ

2

Security Gateway (Alaska_GW external interface 2001:db8:0:c::1)

3

DMZ network (Alaska_DMZ 2001:db8:a::/128)

4

Webサーバ(Alaska_DMZ_Web 2001:db8:a::35:5 を 2001:db8:0:c::1 に変換しています。)

5

メールサーバ(Alaska_DMZ_Mail 2001:db8:a::35:6 を 2001:db8:0:c::1 に変換したものです。)

    1. Alaska_DMZ オブジェクトをダブルクリックし、NAT を選択します。

    2. Add Automatic Address Translation Rulesを選択します。

    3. Translation method で、Hide を選択します。

    4. Hide behind Gatewayを選択します。

    5. OKをクリックします。。

    1. SmartConsoleで、Security Policies > Access Control > NAT にアクセスします。

    2. 自動ルールの下にルールを追加します。

    3. セルを右クリックし、Add new items を選択すると、これらの設定ができます。

      • Original Destination - Alaska_GW

      • Original Service - HTTP

      • Translated Destination - Alaska_DMZ_Web

    1. 自動ルールの下にルールを追加します。

    2. セルを右クリックし、Add new items を選択すると、これらの設定ができます。

      • Original Destination - Alaska_GW

      • Original Service - SMTP

      • Translated Destination - Alaska_DMZ_Web

    1. SmartConsoleで、Security Policies > Access Control > NAT にアクセスします。

    2. ルールベースにルールを追加する。

    3. セルを右クリックし、Add new items を選択すると、これらの設定ができます。

      • Destination - Alaska_DMZ

      • Service - HTTP, SMTP

      • Action - Allow

  5. アクセスコントロールポリシーをインストールします。

いいえ

原資料

オリジナル・デスティネーション

オリジナルサービス

翻訳元

翻訳された宛先

翻訳サービス

インストール

コメント

1

Alaska_DMZ

Alaska_DMZ

Any

オリジナル

オリジナル

オリジナル

すべて

自動ルール

2

Alaska_DMZ

Any

Any

HAlaska_DMZ(アドレス隠し)

オリジナル

オリジナル

すべて

自動ルール

3

Any

Alaska_GW

http

オリジナル

S Alaska_DMZ_Web

オリジナル

ポリシーの対象

 

4

Any

Alaska_GW

smtp

オリジナル

S Alaska_DMZ_Mail

オリジナル

ポリシーの対象

 

ステートフルNAT64の設定(IPv6→IPv4変換)

バックグラウンド:

NAT64変換(RFC6146)により、IPv6のみのクライアントと IPv4のみのサーバがユニキャストのUDP、TCP、ICMPを使用して通信することができます。

IPv6専用クライアントもその一つです。

  • IPv6 のみを実装したネットワーキングスタックを持つホスト。

  • IPv4とIPv6の両方のプロトコルを実装したネットワークスタックを持つホストで、IPv6のみの接続性を持つもの。

  • IPv6専用クライアントアプリケーションを実行するホスト。

IPv4専用サーバもその一つです。

  • IPv4 のみを実装したネットワーキングスタックを持つホスト。

  • IPv4とIPv6の両方のプロトコルを実装したネットワークスタックを持つホストで、IPv4のみの接続性を持つもの。

  • IPv4のみのサーバアプリケーションを実行するホスト。

IPアドレスの変換は、RFC6145で定義されたIP/ICMP変換アルゴリズムに従って、パケットヘッダを変換することで行われます。IPv4ホストのIPv4アドレスは、RFC6052で定義されたアルゴリズムを用いてIPv6アドレスとの間で変換され、この特定の目的のためにステートフルNAT64に割り当てられたIPv6プレフィックスが使用されます。

- DNS64については、RFC6147を参照。

ステートフルNAT64のプロパティ。

  • N:M変換を行う。

    • NはMより大きくなければならない

    • M=1 の場合、単一の IPv4 アドレスの後ろに Hide NAT を実行します。

    • M>1の場合、IPv4アドレスの範囲の後ろにHide NATを実行します。

  • IPv4アドレスの保存性が高い(ポートを使って多重化)。

  • 接続状態およびバインディングを保存します。

  • IPv6クライアントへのIPv6アドレスの割り当てに関する要件はない。IPv6アドレスの割り当ては、どのようなモードでも正当です(Manual、DHCP6、SLAAC)。

  • スケーラブルなソリューションです。

NAT64のユースケースシナリオ

  • [IPv6ネットワーク] --- (インターネット) --- [セキュリティゲートウェイ] --- [内部IPv4ネットワーク]。

    コンテンツプロバイダの一般的な使用例。DNS64は必要ありません。

  • [内部IPv6ネットワーク] --- [セキュリティゲートウェイ] --- (インターネット) --- [IPv4ネットワーク]。

    通信事業者、ISP、企業での一般的な使用例。DNS64が必要です。

  • [IPv6 Network] --- [Security Gateway] --- [IPv4 Network]

    企業における一般的な使用例。DNS64が必要です。

これらの規格は、NAT64に対応しています。

  • RFC 6144- IPv4/IPv6変換のためのフレームワーク

  • RFC 6146- ステートフルNAT64。IPv6クライアントからIPv4サーバへのネットワークアドレスとプロトコルの変換

  • RFC 6052- IPv4/IPv6トランスレータのIPv6アドレッシング

  • RFC 6145- IP/ICMP変換アルゴリズム

  • RFC 2428- IPv6とNATのためのFTP拡張機能

  • RFC 6384- IPv6-IPv4変換のためのFTPアプリケーションレイヤーゲートウェイ(ALG)

これらの機能は、NAT64ではサポートされていません。

NAT64ルールを設定するためのワークフロー。

  1. NAT64に対応したセキュリティゲートウェイの準備

  2. NAT64のルールを定義します。

  3. NAT64の追加設定を行います。

NAT64に対応したSecurity Gatewayの準備

- クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。では、each クラスタメンバでこの手順を実行します。

ステップ

手順

1

宛先IPv4ネットワークに接続するインタフェースにIPv6アドレスが割り当てられ、IPv6ネットワークのプレフィックス長が96以下であることを確認する。

:これは、IPv6ネットワークプレフィックス長が96以下の有効なIPv6アドレスであれば、どれでもかまいません。

IPv6アドレスが割り当てられていない場合は、今すぐ割り当ててください。詳しくは、R81.10 Gaia Administration Guide - ChapterNetwork Management - SectionNetwork Interfaces - SectionPhysical Interfaces をご覧ください。

2

NATされたIPv6アドレス(NAT64ルールのOriginal Destination 列で定義)を宛先とするトラフィックが、宛先IPv4ネットワークに接続するインタフェースを通じて送信されるように、IPv6ルーティングが設定されていることを確認してください。

  • Gaia Portal:

    Advanced Routing > Routing Monitorをクリックします。

  • Gaia Clish:

    次を実行します:

    show ipv6 route

もし、そのようなルートがまだ存在しない場合は、Gaia Clishで追加してください。詳しくは、R81.10 Gaia Administration Guide をご覧ください。

これらのコマンドをGaiaClishで実行します。

  1. スタティックルートを追加します。

    set ipv6 static-route <NATed Destination IPv6 Addresses>/<96 or less> nexthop gateway <Any IPv6 Address from the IPv6 subnet of the Interface that connects to the destination real IPv4 network> on

    トポロジの例:

    IPv6 クライアント] --- (IPv4 側の NAT された IPv6 は 1111:2222::/96) [セキュリティゲートウェイ] (IPv6 3333:4444::1 の eth3) --- [IPv4 サーバ] --- (IPv6側の NAT された NAT された IPv6 は 1111:2222::/96) [IPv4 サーバ] --- (IPv6側の NAT された NAT された NAT は 1133:4444::1)

    その場合、本コマンドでIPv6経路を設定します。

    set ipv6 static-route 1111:2222::/96 nexthop gateway 3333:4444::10 on

  2. 設定を保存します。

    save config

3

IPv6 CoreXL閉じた マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。 Firewallインスタンスの数が、IPv4 CoreXL Firewallインスタンスの数と同じであることを確認します。

  1. Security Groupでコマンドラインに接続します。

  2. Gaia Clish、またはExpertモードにログインしてください。

  3. IPv6 CoreXL Firewallインスタンスの数を表示します。

    fw6 ctl multik stat

  4. IPv4 CoreXL Firewallインスタンスの数を表示します。

    fw ctl multik stat

  5. IPv6 CoreXL Firewallインスタンスの数がIPv4 CoreXL Firewallインスタンスの数より少ない場合、次の手順を実行します。

    1. 次を実行します:

      cpconfig

    2. Check Point CoreXLを選択します。

    3. Change the number of IPv6 firewall instancesを選択します。

    4. IPv6 CoreXL Firewallインスタンスの数をIPv4 CoreXL Firewallインスタンスの数と同じになるように設定します。

    5. Exitを選択します。

    6. Security Gateway を再起動します。

  6. Security Groupでコマンドラインに接続します。

  7. Gaia Clish、またはExpertモードにログインしてください。

  8. IPv6 CoreXL Firewallインスタンスの数を表示します。

    fw6 ctl multik stat

  9. IPv4 CoreXL Firewallインスタンスの数を表示します。

    fw ctl multik stat

出力例:

[Expert@GW:0]# fw ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
 0 | Yes     | 3      |          10 |       14
 1 | Yes     | 2      |           6 |       15
 2 | Yes     | 1      |           7 |       15
[Expert@GW:0]#
[Expert@GW:0]# fw6 ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
 0 | Yes     | 3      |           0 |        0
 1 | Yes     | 2      |           0 |        4
 2 | Yes     | 1      |           0 |        2
[Expert@GW:0]#

NAT64ルールの定義

アクセスコントロールポリシーで、NAT64ルールを手動NATルールとして定義する。このNATトラフィックを許可するアクセスルールを追加していることを確認してください。

  1. ソースIPv6ネットワークオブジェクトを定義します。

    このオブジェクトはソースIPv6アドレスを表し、ソースIPv4アドレスに変換します。

  2. IPv4で埋め込まれたIPv6アドレスを持つ変換先IPv6ネットワークオブジェクト、または静的IPv6アドレスを持つ変換先IPv6ホストオブジェクトを定義してください。

    このオブジェクトは、IPv6 ソースが接続する翻訳されたデスティネーション IPv6 アドレスを表す。

  3. 変換元 IPv4 Address Range オブジェクトを定義する。

    このオブジェクトは変換されたソースIPv4アドレスを表し、オリジナルのソースIPv6アドレスに変換する。

  4. Manual NAT64 ルールを作成します。

  5. アクセスコントロールポリシーをインストールします。

  1. Objectsメニュー > New Networkをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    何も入力しないでください。

  6. IPv6セクションで:

    1. Network address フィールドには、ソース IPv4 アドレスに変換する IPv6 ネットワークの IPv6 アドレスを入力します。

    2. Prefix フィールドに、IPv6 ネットワークのプレフィックスを入力します。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. Objectsメニュー > New Networkをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    何も入力しないでください。

  6. IPv6セクションで:

    1. Network address フィールドには、IPv6ソースが接続する宛先のIPv4-embedded IPv6アドレス(IPv4-mapped IPv6アドレスとも呼ばれる)を入力します。

      このようなIPv6アドレスは、左から順に、80個の「0」ビット、16個の「1」ビット、そしてIPv4アドレスの32ビット、0:0:0:0:FFFF:X.Y.Z.W(X.Y.Z.Wは宛先IPv4アドレスの4オクテットを表す)を含んでいます。

      例えば、IPv4ネットワーク192.168.3.0の場合、IPv4エンベデッドIPv6アドレスは0:0:0:0:FFFF:192.168.3.0、あるいは0:0:0:FFFF:C0A8:0300となります。詳細については、を参照してくださいRFC 6052

      これらのIPv4エンベデッドIPv6アドレスは、外部のDNS64サーバによって公開される。

    2. Prefix フィールドに、該当するIPv6プレフィックスを入力します。

    注:IPv4-embedded IPv6アドレスは、これらのオブジェクトタイプにのみ定義することができます。アドレス範囲、ネットワーク、ホスト。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. Objectsメニュー > New Hostをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    何も入力しないでください。

  6. IPv6セクションで:

    Network address フィールドには、IPv6ソースの接続先である宛先の静的IPv6アドレスを入力します。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. このオブジェクトの他のページで該当する設定を行う。

  9. OKをクリックします。。

  1. Objectsメニュー > More object types > Network Object > Address Range > New Address Rangeをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    1. First IP address フィールドには、ソースIPv6アドレスの変換先となる、IPv4アドレス範囲の最初のIPv4アドレスを入力します。

    2. Last IP address フィールドには、ソースIPv6アドレスの変換先となる、IPv4アドレス範囲の最後のIPv4アドレスを入力します。

    注:

    • このIPv4アドレスの範囲では、プライベートIPv4アドレス(RFC1918および Menu > Global properties > Non Unique IP Address Range

    • このIPv4アドレスの範囲は、ネットワークのIPv4側で使用してはならない。

    • より多くのNAT64同時接続を行うために、大きなIPv4アドレス範囲を定義することをお勧めします。

  6. IPv6セクションで:

    何も入力しないでください。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. 左のナビゲーションツールバーから、Security Policies をクリックします。

  2. 一番上のAccess Controlセクションで、NATをクリックします。

  3. Manual Lower Rules セクションのタイトルを右クリックし、New Rule の近くで、Above またはBelow をクリックします。

    このManual NAT64ルールを設定します。

    重要-Original Source およびOriginal Destination 列では、一部のオブジェクトタイプの組み合わせはサポートされていません。このセクションの一番下にあるサポートされているNATルールの概要表を参照してください。

    1. Original Source 列に、元のソース IPv6 アドレスの IPv6 オブジェクトを追加します。

      このルール欄で、NAT64ルールはこれらのタイプのオブジェクトのみをサポートします。

      • *Any

      • 静的IPv6アドレスを持つホスト

      • IPv6アドレスを含むアドレス範囲

      • IPv6アドレスを持つネットワーク

    2. Original Destination 列に、IPv4 埋め込み IPv6 アドレスを持つ変換先 IPv6 オブジェクトを追加します。

      このルール欄で、NAT64ルールはこれらのタイプのオブジェクトのみをサポートします。

      • 静的IPv6アドレスを持つホスト

      • IPv4が埋め込まれたIPv6アドレスの範囲

      • IPv4が埋め込まれたIPv6アドレスのネットワーク

    3. Original Services の欄は、デフォルトのAny のままでお願いします。

    4. Translated Source 列に、変換元IPv4アドレス範囲のIPv4Address Range オブジェクトを追加します。

      このルール欄で、NAT64ルールはこれらのタイプのオブジェクトのみをサポートします。

      • 静的IPv4アドレスを持つホスト、Original Source 列で静的IPv6アドレスを持つホストを選択した場合のみ。

      • IPv4アドレスを含むアドレス範囲

    5. Translated Source 列で、IPv4Address Range オブジェクト> を右クリックし、NAT Method > をクリックし、Stateful NAT64 をクリックします。

      • Translated Packet Destination の欄は、= Embedded IPv4 Address を示しています。

      • 64 のアイコンは、Translated SourceTranslated Destination の両列に表示されます。

      このルール欄では、NAT64ルールはこれらのタイプのオブジェクトのみをサポートしています。

      • 静的IPv4アドレスを持つホスト、Original Source 列で静的IPv6アドレスを持つホストを選択した場合のみ。

      • 組み込み用IPv4アドレス

    6. Translated Services の欄は、デフォルトの= Original のままでお願いします。

  4. アクセスコントロールポリシーをインストールします。

まとめると、以下のManual NAT64ルールのみを設定する必要があります(ルール番号は便宜上つけたものです)。

#

オリジナル
発信元

オリジナル
宛先

オリジナル
サービス内容

(翻訳)
発信元

(翻訳)
宛先

(翻訳)
サービス内容

1

*Any

IPv6
Host
を持つオブジェクトです。
スタティック
IPv6アドレス

*Any

IPv4
Address
Range
object

IPv4
Host
object

= Original

2

*Any

IPv6
Address Range
オブジェクトに
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

3

*Any

IPv6
Network
オブジェクトに IPv4 を埋め込んだものです。
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

4

IPv6
Host
object
with
スタティック
IPv6
アドレス

IPv6
Host
を持つオブジェクトです。
スタティック
IPv6アドレス

*Any

IPv4
Host
object

IPv4
Host
object

= Original

5

IPv6
Host
object
with
スタティック
IPv6
アドレス

IPv6
Address Range
を持つオブジェクトです。
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

6

IPv6
Host
object
with
スタティック
IPv6
アドレス

IPv6
Network
オブジェクトに
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

7

IPv6
Address
Range
object

IPv6
Host
を持つオブジェクトです。
スタティック
IPv6アドレス

*Any

IPv4
Address
Range
object

IPv4
Host
object

= Original

8

IPv6
Address
Range
object

IPv6
Address Range
を持つオブジェクトです。
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

9

IPv6
Address
Range
object

IPv6
Network
オブジェクトに
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

10

IPv6
Network
object

IPv6
Host
を持つオブジェクトです。
スタティック
IPv6アドレス

*Any

IPv4
Address
Range
object

IPv4
Host
object

= Original

11

IPv6
Network
object

IPv6
Address Range
を持つオブジェクトです。
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

12

IPv6
Network
object

IPv6
Network
オブジェクトに
IPv4エンベデッド
IPv6アドレス

*Any

IPv4
Address
Range
object

Embedded
IPv4
Address

= Original

NAT64の追加設定をする

NAT64の変換機構を制御する追加設定を行うことができます。これらの設定は、RFC6145に準拠しています。

ベストプラクティス- デフォルトの設定は、技術に精通している方のみ変更することをお勧めします。

  1. 管理サーバに接続しているSmartConsoleのウィンドウをすべて閉じます。

  2. Database Tool (GuiDBEdit Tool) (sk13009参照) を使って、該当する Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 または Domain Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 に接続します。

  3. 左上のセクションで、Table > Global Properties > properties をクリックします。

  4. 右上のセクションで、firewall_properties をクリックします。

  5. 下のセクションで、これらのField Names にスクロールしてください。

    • nat64_add_UDP_checksum

    • nat64_avoid_PMTUD_blackhole

    • nat64_copy_type_of_service

    • nat64_error_message_on_dropped_packets

  6. 該当するフィールド名を右クリックし、Edit をクリックします。

  7. 該当するValue (trueまたはfalse)を選択します。OKをクリックします。。

    フィールド名

    説明

    nat64_add_UDP_checksum

    この設定は、パケットのチェックサム値がゼロの場合、トランスレータが有効なUDPチェックサム値を計算してパケットに追加するかどうかを制御します。

    デフォルトでは、チェックサム値がゼロのIPv4 UDPパケットはIPv6側でドロップされるため、これは重要なことです。

    デフォルト:false

    nat64_avoid_PMTUD_blackhole

    PMTU発見時にIPv4(宛先)側でパケットの断片化を許可するかどうかを制御します。

    機器の組み合わせによっては、PMTUの検出に失敗する場合は、この設定を有効にします。

    デフォルト:false

    nat64_copy_type_of_service

    この設定は、トラフィッククラスフィールドを Type Of Serviceフィールドにコピーし、変換されたパケットのType Of Serviceフィールドをゼロに設定するかどうかを制御します。

    デフォルト:true

    nat64_error_message_on_dropped_packets

    この設定は、接続を閉じた後に監査ログ閉じた 管理サーバに対する管理者アクション (ログインとログアウト、オブジェクトの作成または変更、ポリシーのインストールなど) を含むログ。を生成するかどうかを制御します。

    閉じた接続ごとに、ログに表示されます。

    • 接続情報(送信元と送信先のIPアドレス、送信元ポート、サービス)。

    • 翻訳されたソースIPアドレスとソースポート。

    • 開始時刻と終了時刻。

    • 接続が期限切れで切断された場合、ログにはTCP End Reason フィールドに追加情報が表示されます。

      このフィールドがログに表示されない場合、接続はTCP RST、またはTCP FINで閉じられ、期限切れにはなっていません。

    デフォルト:true

  8. 変更を保存する(File > Save All )をクリックします。

  9. データベースツール(GuiDBEdit Tool)を閉じます。

  10. SmartConsoleで該当するSecurity Management ServerまたはDomain Management Serverに接続します。

  11. アクセスコントロールポリシーをインストールします。

NAT64のトラフィックのログ取得

NAT64接続のSecurity Gatewayのログで、送信元と送信先のIPv6アドレスが元のIPv6形式で表示されるようになりました。NAT64のエントリを確認するには、Log Details ウィンドウのMore セクションを参照してください。

ログのフィールド

説明

Xlate (NAT) Source IP

Security Gateway が元のソース IPv6 アドレスを変換した、変換後のソース IPv4 アドレスを表示します。

Xlate (NAT ) Destination IP

Security Gateway が元の宛先 IPv6 アドレスを変換した変換先 IPv4 アドレスを表示します。

More

エントリーをNAT64トラフィックとして識別する(Nat64 enabled)

NAT64変換フロー例

[IPv6 クライアント] --- (インタフェース) [セキュリティゲートウェイ] --- (内部) [IPv4 サーバ]

各変数の意味は以下のとおりです。

項目

説明

IPv6クライアント

IPv6実アドレスは1111:1111::0100/96です。

セキュリティゲートウェイ
外部インタフェース

IPv6アドレス

セキュリティゲートウェイ
内部インタフェース

IPv4アドレスは10.0.0.1/24です。

IPv6アドレス

IPv4サーバ

IPv4実アドレスは10.0.0.100/24です。

IPv6 NATされたアドレスは1111:2222::0A00:0064/96です。

IPv6 NATされたネットワーク

外部 Security Gateway 側のネットワークの IPv6 アドレスは 1111:2222::/96 です。

これらのIPv6アドレスは、IPv4サーバのIPv4アドレスをIPv6アドレスに変換するために使用されます。

IPv4 NATされたネットワーク

内部 Security Gateway 側のネットワークの IPv4 アドレスは 1.1.1.0/24

これらのIPv4アドレスは、IPv6クライアントのIPv6アドレスをIPv4アドレスに変換するために使用されます。

  1. IPv6クライアントは、IPv4サーバのNATされたIPv6アドレスにIPv6接続を開始します。

    IPv6クライアントのIPv6実アドレス1111:1111::0100からIPv4サーバのNATされたIPv6アドレス1111:2222::0A00:0064まで

    各変数の意味は以下のとおりです。

    1111:2222::」の部分は、NATされたIPv6サブネットです

    0A00:0064」の部分が10.0.0.100

  2. Security Gatewayは、これらのNAT変換を実行します。

    1. IPv6 クライアントのsource アドレスを、実際の IPv6 アドレス 1111:1111::0100 から、特別に連結されたsource IPv6 アドレス 0064:FF9B::0101:01X に変換します。

      各変数の意味は以下のとおりです。

      0064:FF9B::」の部分は、NAT64用に予約された周知のプレフィックス(RFCの定義による)

      0101:01XX」の部分が1.1.1.X

    2. IPv6 クライアントのsource アドレスを、特別に連結したsource IPv6 アドレス 0064:FF9B::0101:01XX からsource IPv4 アドレス 1.1.1.X に変換します。

    3. IPv6 クライアントの NAT されたdestination アドレスを、IPv6 アドレス 1111:2222::0A00:0064 から NAT された宛先 IPv4 アドレス 10.0.0.100 に変換します。

  3. IPv4 Server は、このリクエスト接続をsource IPv4 アドレス 1.1.1.X からdestination IPv4 アドレス 10.0.0.100 として受信します。

  4. IPv4 Server は、この接続に対してsource IPv4 アドレス 10.0.0.100 からdestination IPv4 アドレス 1.1.1.X まで返信します。

  5. Security Gatewayは、これらのNAT変換を実行します。

    1. IPv4サーバのsource 実IPv4アドレス10.0.0.100をsource NATされたIPv6アドレス1111:2222::0A00:0064に変換する。

    2. IPv6クライアントのNATされたdestination IPv4アドレス1.1.1.Xをdestination 特殊な連結されたIPv6アドレス0064:FF9B::0101:01Xに変換します。

      各変数の意味は以下のとおりです。

      64:FF9B::」の部分は、NAT64用に予約された有名なプレフィックス(RFCで定義されています)

      0101:01XX」の部分が1.1.1.X

    3. IPv6 クライアントのdestination 特殊連結 IPv6 アドレス 0064:FF9B::0101:01XX をdestination IPv6 実アドレス 1111:1111::0100 に変換します。

  6. IPv6 Client は、この応答接続をsource の IPv6 アドレス 1111:2222::0A00:0064 からdestination の IPv6 アドレス 1111:1111::0100 として受け取ります。

  • Request:[IPv6 クライアント] ---> [セキュリティゲートウェイ] ---> [IPv4サーバ]。

    パケット内のフィールド

    元のIPv6パケット

    NATされたIPv4パケット

    ソースIP

    1111:1111::0100 / 96

    1.1.1.X / 24

    宛先

    1111:2222::0A00:0064 / 96

    10.0.0.100 / 24

  • Reply:[IPv6 クライアント】<--- 【セキュリティゲートウェイ】<--- 【IPv4 サーバ

    パケット内のフィールド

    元のIPv4パケット

    NATされたIPv6パケット

    ソースIP

    10.0.0.100 / 24

    1111:2222::0A00:0064 / 96

    宛先

    1.1.1.X / 24

    1111:1111::0100 / 96

ステートレスNAT46の設定(IPv4→IPv6変換)

NAT46ルールは、Security GatewayおよびクラスタメンバR80.20以降でのみサポートされます。

バックグラウンド:

NAT46変換により、IPv4ネットワークとIPv6ネットワークは、Security Gateway上でセッション情報を保持することなく通信することができます。

ステートレスNAT46のプロパティ。

  • 1:1 の IP アドレスマッピングを行います。

  • システムは、これら2つの部分の組み合わせとして、変換されたソースIPv6アドレスを生成する。

    1. 96 ビットのプレフィックスで定義された IPv6 アドレスを持つユーザ定義の Network オブジェクト。

    2. 送信元のIPv4アドレスで、32ビットのサフィックスとして付加される。

NAT46のユースケースシナリオ

  • [IPv4 Network] --- (Internet) --- [Security Gateway] --- [IPv6 Network]

    コンテンツプロバイダの一般的な使用例。

  • [IPv4 Network] --- [Security Gateway] --- (Internet) --- [IPv6 Network]

    企業における一般的な使用例。

これらの機能は、NAT46ではサポートされていません。

  • VoIPトラフィック。

  • FTPトラフィック。

  • 制御接続とデータ接続の間に状態情報を必要とするあらゆるプロトコル。

NAT46のためのSecurity Gatewayの準備

- クラスタでは、each クラスタメンバでこの手順を実行します。

ステップ

手順

1

宛先IPv6ネットワークに接続するインタフェースにIPv6アドレスが割り当てられ、IPv6ネットワークプレフィックス長が96に等しいことを確認する。

- これは、IPv6ネットワークプレフィックス長が96である有効なIPv6アドレスであれば、どれでもかまいません。

  • Gaia Portal:

    Network Management > Network Interfacesをクリックします。

  • Gaia Clish:

    次を実行します:

    show interface <Name of Interface> ipv6-address

IPv6アドレスが割り当てられていない場合は、今すぐ割り当ててください。詳しくは、R81.10 Gaia Administration Guide - ChapterNetwork Management - SectionNetwork Interfaces - SectionPhysical Interfaces をご覧ください。

2

NATされたIPv4アドレス(NAT46ルールのTranslated Destination 列で定義されている)宛のトラフィックが、宛先IPv6ネットワークに接続するインタフェースを通じて送信されるようにルーティングが設定されていることを確認します。

  • Gaia Portal:

    Advanced Routing > Routing Monitorをクリックします。

  • Gaia Clish:

    次を実行します:

    show route

もし、そのようなルートがまだ存在しない場合は、Gaia Clishで追加してください。詳しくは、R81.10 Gaia Administration Guide をご覧ください。これらのコマンドをGaiaClishで実行します。

  1. スタティックルートを追加します。

    set static route <NATed Destination IPv4 Addresses>/<NATed IPv4 Net Mask> nexthop gateway logical <Name of Interface that connects to the real IPv6 Network> on

    トポロジの例:

    [IPv4 クライアント] --- (IPv6側のNATされたIPv4は 1.1.1.0/24) [セキュリティゲートウェイ] (eth3) --- [IPv6サーバ] --- (IPv6側のNATされたIPv4は 1.1.1.0/24)

    その場合、本コマンドでIPv4経路を設定します。

    set static route 1.1.1.0/24 nexthop gateway logical eth3 on

  2. 設定を保存します。

    save config

3

IPv6 CoreXL Firewallインスタンスの数が、IPv4 CoreXL Firewallインスタンスの数と同じであることを確認します。

  1. Security Groupでコマンドラインに接続します。

  2. Gaia Clish、またはExpertモードにログインしてください。

  3. IPv6 CoreXL Firewallインスタンスの数を表示します。

    fw6 ctl multik stat

  4. IPv4 CoreXL Firewallインスタンスの数を表示します。次を実行します:

    fw ctl multik stat

  5. IPv6 CoreXL Firewallインスタンスの数がIPv4 CoreXL Firewallインスタンスの数より少ない場合、次の手順を実行します。

    1. 次を実行します:

      cpconfig

    2. Check Point CoreXLを選択します。

    3. Change the number of IPv6 firewall instancesを選択します。

    4. IPv6 CoreXL Firewallインスタンスの数をIPv4 CoreXL Firewallインスタンスの数と同じになるように設定します。

    5. Exitを選択します。

    6. Security Gateway を再起動します。

  6. Security Groupでコマンドラインに接続します。

  7. Gaia Clish、またはExpertモードにログインしてください。

  8. IPv6 CoreXL Firewallインスタンスの数を表示します。次を実行します:

    fw6 ctl multik stat

  9. IPv4 CoreXL Firewallインスタンスの数を表示します。次を実行します:

    fw ctl multik stat

出力例:

[Expert@GW:0]# fw6 ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
 0 | Yes     | 3      |           0 |        0
 1 | Yes     | 2      |           0 |        4
 2 | Yes     | 1      |           0 |        2
[Expert@GW:0]#
[Expert@GW:0]# fw ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
 0 | Yes     | 3      |          10 |       14
 1 | Yes     | 2      |           6 |       15
 2 | Yes     | 1      |           7 |       15
[Expert@GW:0]#

アクセスコントロールポリシーで、NAT46ルールをマニュアルNATルールとして定義します。このNATトラフィックを許可するアクセスルールを追加していることを確認してください。

  1. 適用可能なソースIPv4オブジェクト(IPv4ホスト、IPv4アドレスレンジ、またはIPv4ネットワーク)を定義します。

  2. デスティネーション IPv4 Host オブジェクトを定義する。

    このオブジェクトは、IPv4 ソースの接続先であるデスティネーション IPv4 アドレスを表す。

  3. 96ビットプレフィックスで定義されたIPv6アドレスを持つ変換元IPv6ネットワークオブジェクトを定義する。

    このオブジェクトは、ソースIPv4アドレスの変換先である、変換されたソースIPv6アドレスを表します。

  4. 変換後の宛先IPv6Hostオブジェクトを定義します。

    このオブジェクトは、変換されたIPv4ソースが接続される、変換されたデスティネーションIPv6アドレスを表す。

  5. Manual NAT46 ルールを作成します。

  6. アクセスコントロールポリシーをインストールします。

  1. Objectsメニュー > New Hostをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4 address フィールドに、IPv4 アドレスを入力します。

  6. IPv6セクションで:

    何も入力しないでください

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. このオブジェクトの他のページで該当する設定を行う。

  9. OKをクリックします。。

  1. Objectsメニュー > New Networkをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    1. Network address フィールドに、送信元IPv4ネットワークのIPv4アドレスを入力します。

    2. Net mask フィールドに、送信元IPv4ネットワークのネットマスクを入力します。

  6. IPv6セクションで:

    何も入力しないでください。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. Objectsメニュー > More object types > Network Object > Address Range > New Address Rangeをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    1. First IP address フィールドに、IPv4アドレスの範囲の最初のIPv4アドレスを入力します。

    2. Last IP address フィールドに、IPv4アドレスの範囲の最後のIPv4アドレスを入力します。

  6. IPv6セクションで:

    何も入力しないでください。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. Objectsメニュー > New Networkをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    1. Network address フィールドに、宛先IPv4ネットワークのIPv4アドレスを入力します。

    2. Net mask フィールドに、宛先IPv4ネットワークのネットマスクを入力します。

  6. IPv6セクションで:

    何も入力しないでください。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. Objectsメニュー > New Networkをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    何も入力しないでください。

  6. IPv6セクションで:

    1. Network address フィールドに、変換元IPv6アドレスを入力します。

    2. Prefixフィールドに、96を入力します。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. OKをクリックします。。

  1. Objectsメニュー > New Hostをクリックします。

  2. Object Nameフィールドに、該当する名前を入力します。

  3. Commentフィールドに、該当する名前を入力します。

  4. このオブジェクトのGeneral ページをクリックします。

  5. IPv4セクションで:

    何も入力しないでください。

  6. IPv6セクションで:

    Network address フィールドに、宛先の静的 IPv6 アドレスを入力します。

  7. このオブジェクトのNAT のページで。

    何も設定しないでください。

  8. このオブジェクトの他のページで該当する設定を行う。

  9. OKをクリックします。。

  1. 左のナビゲーションツールバーから、Security Policies をクリックします。

  2. 一番上のAccess Controlセクションで、NATをクリックします。

  3. Manual Lower Rules セクションのタイトルを右クリックし、New Rule の近くで、Above またはBelow をクリックします。

    この NAT46 ルールを設定します。

    オリジナル
    発信元

    オリジナル
    宛先

    オリジナル
    サービス内容

    (翻訳)
    発信元

    (翻訳)
    宛先

    (翻訳)
    サービス内容

    *Any

    or

    発信元
    IPv4
    Host
    object

    or

    発信元
    IPv4
    Address Range
    object

    or

    発信元
    IPv4
    Network
    object

    IPv4
    Host
    object

    *Any

    IPv6
    Network
    object
    をもって
    IPv6アドレス
    で定義される。
    96ビットの
    接頭辞

    IPv6
    Host
    object

    = Original

    以下の手順で行ってください。

    1. Original Source 列に、該当する IPv4 オブジェクトを追加します。

      このルール欄では、NAT46ルールはこれらのタイプのオブジェクトのみをサポートします。

      • *Any

      • 固定IPv4アドレスを持つホスト

      • IPv4アドレスを含むアドレス範囲

      • IPv4アドレスを持つネットワーク

    2. Original Destination 列に、IPv4 ソースの接続先であるデスティネーション IPv4 アドレスを表す IPv4Host オブジェクトを追加します。

      このルール列では、NAT46ルールはIPv4ホストオブジェクトのみをサポートします。

    3. Original Services の欄は、デフォルトのAny のままでお願いします。

    4. Translated Source 列に、96 ビットのプレフィックスで定義された IPv6 アドレスを持つ IPv6Network object を追加します。

      このルール欄では、NAT64ルールは、96ビットプレフィックスで定義されたIPv6アドレスを持つIPv6ネットワークオブジェクトのみをサポートします。

    5. Translated Source 列で、96 ビットのプレフィックスを持つ IPv6Network object を右クリックします。> をクリックします。NAT Method > をクリックします。Stateless NAT46 をクリックします。

      46 のアイコンがTranslated Source の欄に表示されます。

    6. Translated Destination 列に、変換されたIPv4ソースが接続される変換先IPv6アドレスを表すIPv6Host オブジェクトを追加します。

      このルールカラムでは、NAT46ルールはIPv6ホストオブジェクトのみをサポートします。

    7. Translated Services の欄は、デフォルトの= Original のままでお願いします。

    要約すると、これらのNAT46ルールのみを設定する必要があります(ルール番号は便宜上のものです)。

    #

    オリジナル
    発信元

    オリジナル
    宛先

    オリジナル

    サービス内容

    (翻訳)
    発信元

    (翻訳)
    宛先

    (翻訳)

    サービス内容

    1

    *Any

    IPv4
    Host
    object

    *Any

    IPv6
    Network
    object
    をもって
    IPv6アドレス
    で定義される。
    96ビットの
    接頭辞

    IPv6
    Host
    object

    = Original

    2

    IPv4
    Host
    object
    with
    スタティック
    IPv4
    アドレス

    IPv4
    Host
    object

    *Any

    IPv6
    Network
    object
    をもって
    IPv6アドレス
    で定義される。
    96ビットの
    接頭辞

    IPv6
    Host
    object

    = Original

    3

    IPv4
    Address
    Range
    object

    IPv4
    Host
    object

    *Any

    IPv6
    Network
    object
    をもって
    IPv6アドレス
    で定義される。
    96ビットの
    接頭辞

    IPv6
    Host
    object

    = Original

    4

    IPv4
    Network
    object

    IPv4
    Host
    object

    *Any

    IPv6
    Network
    object
    をもって
    IPv6アドレス
    で定義される。
    96ビットの
    接頭辞

    IPv6
    Host
    object

    = Original

  4. アクセスコントロールポリシーをインストールします。

NAT64接続のSecurity Gatewayのログで、送信元と送信先のIPv6アドレスが元のIPv6形式で表示されるようになりました。NAT46のエントリーを確認するには、Log Details ウィンドウのMore セクションをご覧ください。

ログのフィールド

説明

Xlate (NAT) Source IP

Security Gateway が元のソース IPv4 アドレスを変換した、変換後のソース IPv6 アドレスを表示します。

Xlate (NAT ) Destination IP

Security Gateway が元の宛先 IPv4 アドレスを変換した変換先 IPv6 アドレスを表示します。

More

エントリをNAT46トラフィックとして識別する(Nat46 enabled)

[IPv4 クライアント] ---(内部) [セキュリティゲートウェイ] ---(外部) [IPv6 サーバ]

各変数の意味は以下のとおりです。

項目

説明

IPv4クライアント

IPv4実アドレスは192.168.2.55です。

IPv6 NATed アドレスは2001:DB8:90::192.168.2.55/96です。

セキュリティゲートウェイ内部インタフェース

IPv4アドレス

セキュリティゲートウェイ外部インタフェース

IPv6アドレスは2001:DB8:5001::1/96です。

IPv6サーバ

IPv6実アドレスは、2001:DB8:5001::30/96です。

IPv4 NATされたアドレスは1.1.1.66/24です。

IPv6 NATされたネットワーク

外部 Security Gateway 側のネットワークの IPv6 アドレスは 2001:DB8:90::/96 です。

これらのIPv6アドレスは、IPv4クライアントのIPv4アドレスをIPv6アドレスに変換するために使用されます。

IPv4 NATされたネットワーク

内部 Security Gateway 側のネットワークの IPv4 アドレスは 1.1.1.0/24

これらのIPv4アドレスは、IPv6サーバのIPv6アドレスをIPv4アドレスに変換するために使用されます

  1. IPv4 Clientは、IPv6 ServeのNATされたIPv4アドレスにIPv4接続を開始します。

    IPv4アドレス 192.168.2.55 から IPv4アドレス 1.1.1.66 まで

  2. Security Gatewayは、これらのNAT変換を実行します。

    1. 送信元IPv4アドレス192.168.2.55から送信元IPv6アドレス2001:DB8:90::192.168.2.55/96に至るまで

    2. 宛先IPv4アドレス1.1.1.66から宛先IPv6アドレス2001:DB8:5001::30まで

  3. IPv6 Server は、このリクエスト接続を IPv6 アドレス 2001:DB8:90::192.168.2.55/96 から IPv6 アドレス 2001:DB8:5001::30 として受け取ります。

  4. IPv6 Serverはこの接続に対して、IPv6アドレス2001:DB8:5001::30からIPv6アドレス2001:DB8:90::192.168.2.55/96まで返信する。

  5. Security Gatewayは、これらのNAT変換を実行します。

    1. 送信元IPv6アドレス2001:DB8:5001::30から送信元IPv4アドレス1.1.1.66まで

    2. 宛先IPv6アドレス 2001:DB8:90::192.168.2.55/96 から宛先IPv4アドレス 192.168.2.55 まで

  6. IPv4 Client は、この応答接続を IPv4 アドレス 1.1.1.66 から IPv4 アドレス 192.168.2.55 までとして受信します。

要約すると

  • リクエスト:[IPv4クライアント] ---> [セキュリティゲートウェイ] ---> [IPv6サーバ]。

    パケット内のフィールド

    元のIPv4パケット

    NATされたIPv6パケット

    ソースIP

    192.168.2.55 / 24

    2001:DB8:90::192.168.2.55 / 96

    宛先

    1.1.1.66 / 24

    2001:DB8:5001::30 / 96

  • 返信[IPv4 クライアント】<--- 【セキュリティゲートウェイ】<--- 【IPv6サーバ

    パケット内のフィールド

    元のIPv6パケット

    NATされたIPv4パケット

    ソースIP

    2001:DB8:5001::30 / 96

    192.168.2.55 / 24

    宛先

    2001:DB8:90::192.168.2.55 / 96

    1.1.1.66 / 24