NAT46ルールの操作

- NAT46ルールは、セキュリティゲートウェイおよびクラスタメンバR80.20以降でのみサポートされています。

メニュー

NAT46ルールは、セキュリティゲートウェイ上のセッション情報を維持することなく、IPv4トラフィックをIPv6トラフィックに変換する。

  • 1:1のIPアドレスマッピングを行います。

  • システムは、これら2つのパーツの組み合わせとして、変換されたソースIPv6アドレスを生成します。

    1. 96ビットのプレフィックスで定義されたIPv6アドレスを持つユーザ定義のNetworkオブジェクト。

    2. 送信元のIPv4アドレスで、32ビットのサフィックスとして付加されます。

  • [IPv4ネットワーク] --- (インターネット) --- [セキュリティゲートウェイ] --- [IPv6ネットワーク]

    コンテンツプロバイダの一般的な使用例。

  • [IPv4ネットワーク] --- [セキュリティゲートウェイ] --- (インターネット) --- [IPv6ネットワーク]

    企業における一般的な使用例。

トポロジの例:

[IPv4クライアント] ---(内部) [セキュリティゲートウェイ] ---(外部) [IPv6 サーバ]

各変数の意味は以下のとおりです。

項目

説明

IPv4クライアント

IPv4実アドレスは192.168.2.55です。

IPv6 NATed アドレスは2001:DB8:90::192.168.2.55/96です。

セキュリティゲートウェイ内部インタフェース

IPv4アドレスは192.168.2.1/24です。

セキュリティゲートウェイ外部インタフェース

IPv6アドレスは2001:DB8:5001::1/96です。

IPv6サーバ

IPv6実アドレスは2001:DB8:5001::30/96です。

IPv4 NATed アドレスは 1.1.1.66/24 です。

IPv6 NATedネットワーク

外部Security Gateway側のネットワークのIPv6アドレスは 2001:DB8:90::/96です。

これらのIPv6アドレスは、IPv4クライアントのIPv4アドレスをIPv6アドレスに変換するために使用されます。

IPv4 NATedネットワーク

内部Security Gateway側のネットワークのIPv4アドレスは 1.1.1.0/24です。

これらのIPv4アドレスは、IPv6サーバのIPv6アドレスをIPv4アドレスに変換するために使用されます

交通の流れ

  1. IPv4クライアントは、IPv6サーバのNATed IPv4アドレスにIPv4接続を開始します。

    IPv4アドレス 192.168.2.55 から IPv4アドレス 1.1.1.66へ

  2. Security Gatewayは、これらのNAT変換を実行します。

    1. 送信元IPv4アドレス192.168.2.55から送信元IPv6アドレス2001:DB8:90::192.168.2.55/96へ

    2. 宛先IPv4アドレス1.1.1.66から宛先IPv6アドレス2001:DB8:5001::30へ

  3. IPv6サーバは、このリクエスト接続をIPv6アドレス 2001:DB8:90::192.168.2.55/96から IPv6アドレス 2001:DB8:5001::30 として受け取ります。

  4. IPv6サーバはこの接続に対して、IPv6アドレス2001:DB8:5001::30からIPv6アドレス2001:DB8:90::192.168.2.55/96まで返信します。

  5. Security Gatewayは、これらのNAT変換を実行します。

    1. 送信元IPv6アドレス2001:DB8:5001::30から送信元IPv4アドレス1.1.1.66へ

    2. 宛先IPv6アドレス 2001:DB8:90::192.168.2.55/96 から宛先IPv4アドレス 192.168.2.55へ

  6. IPv4クライアントは、この応答接続を IPv4アドレス 1.1.1.66 から IPv4 アドレス 192.168.2.55までとして受信します。

要約すると

  • リクエスト: [IPv4クライアント] ---> [セキュリティゲートウェイ] ---> [IPv6サーバ]

    パケット内のフィールド

    元のIPv4パケット

    NATed IPv6パケット

    ソースIP

    192.168.2.55 / 24

    2001:DB8:90::192.168.2.55 / 96

    宛先IP

    1.1.1.66 / 24

    2001:DB8:5001::30 / 96

  • 返信[IPv4クライアント] <--- [セキュリティゲートウェイ] <--- [IPv6サーバ]

    パケット内のフィールド

    元のIPv6パケット

    NATed IPv4パケット

    ソースIP

    2001:DB8:5001::30 / 96

    192.168.2.55 / 24

    宛先IP

    2001:DB8:90::192.168.2.55 / 96

    1.1.1.66 / 24

NAT46の既知の制限事項

  • NAT46ルールは、Security GatewayおよびクラスタメンバのR80.20以降でのみサポートされます。

  • NAT46はVoIPトラフィックをサポートしない。

  • NAT46はFTPトラフィックをサポートしていません。

  • NAT46は、コントロール接続とデータ接続の間に状態情報を必要とするプロトコルをサポートしていない。

NAT46の設定

-クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

ステップ

手順

1

宛先IPv6ネットワークに接続するインタフェースにIPv6アドレスが割り当てられ、IPv6ネットワークプレフィックス長が96に等しいことを確認してください。

- これは、IPv6ネットワークプレフィックス長が96である有効なIPv6アドレスであれば、どれでもかまいません。

  • Gaia Portal:

    Network Management > Network Interfacesをクリックします。

  • Gaia Clish:

    次を実行します:

    show interface <Name of Interface> ipv6-address

IPv6アドレスが割り当てられていない場合は、今すぐ割り当ててください。

詳細はR81.20 Gaia Administration Guide- 章ネットワーク管理- 節ネットワークインタフェース- 節物理インタフェース

2

NATされたIPv4アドレス(NAT46ルールのTranslated Destinationカラムに定義されている)宛てのトラフィックを、宛先IPv6ネットワークに接続するインタフェース経由で送信するようにルーティングが構成されていることを確認する。

  • Gaia Portal:

    Advanced Routing > Routing Monitorをクリックします。

  • Gaia Clish:

    次を実行します:

    show route

もし、そのようなルートがまだ存在しない場合は、Gaia Clishで追加してください。

詳細はR81.20 Gaia Administration Guide

これらのコマンドをGaiaClishで実行します。

  1. スタティックルートを追加します。

    set static route <NATed Destination IPv4 Addresses>/<NATed IPv4 Net Mask> nexthop gateway logical <Name of Interface that connects to the real IPv6 Network> on

    トポロジの例:

    [IPv4クライアント] --- (IPv6側のNATed IPv4は1.1.1.0/24) [セキュリティゲートウェイ] (eth3) --- [IPv6サーバ]

    この場合、次のコマンドでIPv4ルートを設定します。

    set static route 1.1.1.0/24 nexthop gateway logical eth3 on

  2. 設定を保存します。

    save config

3

IPv6 CoreXL Firewallインスタンスの数が、IPv4 CoreXL Firewallインスタンスの数と同じであることを確認します。

  1. Security Groupでコマンドラインに接続します。

  2. Gaia Clish、またはエキスパートモードにログインします。

  3. IPv6 CoreXL Firewallインスタンスの数を表示します。

    fw6 ctl multik stat

  4. IPv4 CoreXL Firewallインスタンスの数を表示します。次を実行します:

    fw ctl multik stat

  5. IPv6 CoreXL Firewallインスタンスの数がIPv4 CoreXL Firewallインスタンスの数より少ない場合、次の手順を実行します。

    1. 次を実行します:

      cpconfig

    2. 選択Check Point CoreXL

    3. 選択Change the number of IPv6 firewall instances

    4. IPv6 CoreXL Firewallインスタンスの数をIPv4 CoreXL Firewallインスタンスの数と同じになるように設定します。

    5. 選択Exit

    6. Security Gatewayを再起動します。

  6. Security Groupでコマンドラインに接続します。

  7. Gaia Clish、またはエキスパートモードにログインします。

  8. IPv6 CoreXL Firewallインスタンスの数を表示します。次を実行します:

    fw6 ctl multik stat

  9. IPv4 CoreXL Firewallインスタンスの数を表示します。次を実行します:

    fw ctl multik stat

出力例:

[Expert@GW:0]# fw6 ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
 0 | Yes     | 3      |           0 |        0
 1 | Yes     | 2      |           0 |        4
 2 | Yes     | 1      |           0 |        2
[Expert@GW:0]#
[Expert@GW:0]# fw ctl multik stat
ID | Active  | CPU    | Connections | Peak
----------------------------------------------
 0 | Yes     | 3      |          10 |       14
 1 | Yes     | 2      |           6 |       15
 2 | Yes     | 1      |           7 |       15
[Expert@GW:0]#

アクセスコントロールポリシーで、NAT46ルールをManual NATルールとして設定します。

このNATトラフィックを許可するアクセスコントロールルールを追加してください。

  1. 該当するソースIPv4オブジェクト(IPv4ホスト、IPv4アドレスレンジ、またはIPv4ネットワーク)を設定する。

    1. Objects メニュー >New Host をクリックする。

    2. Object Nameフィールドに、該当する名前を入力します。

    3. Commentフィールドに、該当するテキストを入力します。

    4. このオブジェクトのGeneralページをクリックします。

    5. IPv4 addressフィールドに、IPv4アドレスを入力します。

    6. IPv6セクションで:

      何も入力しないでください

    7. このオブジェクトのNATページで:

      何も設定しないでください。

    8. このオブジェクトの他のページで該当する設定を行います。

    9. クリックOK

    1. Objects メニュー >New Network をクリックする。

    2. Object Nameフィールドに、該当する名前を入力します。

    3. Commentフィールドに、該当するテキストを入力します。

    4. このオブジェクトのGeneralページをクリックします。

    5. IPv4セクションで:

      1. Network addressフィールドに、送信元IPv4ネットワークのIPv4アドレスを入力します。

      2. Net maskフィールドに、送信元IPv4ネットワークのネットマスクを入力します。

    6. IPv6セクションで:

      何も入力しないでください。

    7. このオブジェクトのNATページで:

      何も設定しないでください。

    8. クリックOK

    1. Objects メニュー >More object types >Network Object >Address Range >New Address Range をクリック。

    2. Object Nameフィールドに、該当する名前を入力します。

    3. Commentフィールドに、該当するテキストを入力します。

    4. このオブジェクトのGeneralページをクリックします。

    5. IPv4セクションで:

      1. First IP addressフィールドに、IPv4アドレスの範囲の最初のIPv4アドレスを入力します。

      2. Last IP addressフィールドに、IPv4アドレスの範囲の最後のIPv4アドレスを入力します。

    6. IPv6セクションで:

      何も入力しないでください。

    7. このオブジェクトのNATページで:

      何も設定しないでください。

    8. クリックOK

  2. 宛先IPv4 Hostオブジェクトを設定する。

    このオブジェクトは、IPv4ソースの接続先である宛先IPv4アドレスを表わします。

    1. Objects メニュー >New Network をクリックする。

    2. Object Nameフィールドに、該当する名前を入力します。

    3. Commentフィールドに、該当するテキストを入力します。

    4. このオブジェクトのGeneralページをクリックします。

    5. IPv4セクションで:

      1. Network addressフィールドに、宛先IPv4ネットワークのIPv4アドレスを入力します。

      2. Net maskフィールドに、宛先IPv4ネットワークのネットマスクを入力します。

    6. IPv6セクションで:

      何も入力しないでください。

    7. このオブジェクトのNATページで:

      何も設定しないでください。

    8. クリックOK

  3. 96ビットのプレフィックスで定義されたIPv6アドレスを持つ変換元IPv6ネットワークオブジェクトを設定する。

    このオブジェクトは、ソースIPv4アドレスの変換先である、変換されたソースIPv6アドレスを表わします。

    1. Objects メニュー >New Network をクリックする。

    2. Object Nameフィールドに、該当する名前を入力します。

    3. Commentフィールドに、該当するテキストを入力します。

    4. このオブジェクトのGeneralページをクリックします。

    5. IPv4セクションで:

      何も入力しないでください。

    6. IPv6セクションで:

      1. Network addressフィールドに、変換されたソースIPv6アドレスを入力します。

      2. Prefixフィールドに、96を入力します。

    7. このオブジェクトのNATページで:

      何も設定しないでください。

    8. クリックOK

  4. 変換された宛先IPv6 Hostオブジェクトを設定する。

    このオブジェクトは、変換されたIPv4ソースが接続される、変換された宛先IPv6アドレスを表わします。

    1. Objects メニュー >New Host をクリックする。

    2. Object Nameフィールドに、該当する名前を入力します。

    3. Commentフィールドに、該当するテキストを入力します。

    4. このオブジェクトのGeneralページをクリックします。

    5. IPv4セクションで:

      何も入力しないでください。

    6. IPv6セクションで:

      Network addressフィールドに、宛先の静的 IPv6アドレスを入力します。

    7. このオブジェクトのNATページで:

      何も設定しないでください。

    8. このオブジェクトの他のページで該当する設定を行います。

    9. クリックOK

  5. 手動NAT46ルールを作成します。

    1. 左のナビゲーションツールバーから、Security Policiesをクリックします。

    2. 一番上のAccess Controlセクションで、NATをクリックします。

    3. Manual Lower Rulesセクションのタイトルを右クリックし、New Ruleの近くで、AboveまたはBelowをクリックします。

      このNAT46ルールを設定します。

      オリジナル
      発信元

      オリジナル
      宛先

      オリジナル
      サービス

      変換
      発信元

      変換
      宛先

      変換
      サービス

      *Any

      または

      発信元
      IPv4
      Host
      オブジェクト

      または

      発信元
      IPv4
      Address Range
      オブジェクト

      または

      発信元
      IPv4
      Network
      オブジェクト

      IPv4
      Host
      オブジェクト

      *Any

      IPv6
      Network
      オブジェクト

      IPv6アドレス
      を持ち、次で定義:
      96ビット
      プレフィックス

      IPv6
      Host
      オブジェクト

      = Original

      以下の手順を実行します:

      1. Original Sourceカラムに、該当するIPv4オブジェクトを追加します。

        このルールカラムでは、NAT46ルールは次のタイプのオブジェクトのみをサポートします。

        • *Any

        • 静的IPv4アドレスを持つホスト

        • IPv4アドレスを持つアドレス範囲

        • IPv4アドレスを持つネットワーク

      2. Original Destinationカラムに、IPv4ソースの接続先である宛先IPv4アドレスを表すIPv4Hostオブジェクトを追加します。

        このルールカラムでは、NAT46ルールはIPv4ホストオブジェクトのみをサポートします。

      3. Original Servicesカラムは、デフォルトのAnyのままにします。

      4. Translated Sourceカラムに、96ビットのプレフィックスで定義されたIPv6アドレスを持つIPv6Network objectを追加します。

        このルールカラムでは、NAT64ルールは、96ビットプレフィックスで定義されたIPv6アドレスを持つIPv6ネットワークオブジェクトのみをサポートします。

      5. Translated Source カラムで、96 ビットのプレフィックスを持つ IPv6Network object を右クリック >NAT Method をクリック >Stateless NAT46 をクリック。

        46のアイコンがTranslated Sourceカラムに表示されます。

      6. Translated Destinationカラムに、変換されたIPv4ソースが接続する変換された宛先IPv6アドレスを表わすIPv6Host オブジェクトを追加します。

        このルールカラムでは、NAT46ルールはIPv6ホストオブジェクトのみをサポートします。

      7. Translated Servicesカラムは、デフォルトの= Originalのままにします。

      要約すると、これらのNAT46ルールのみを設定する必要があります(ルール番号は便宜上のものです)。

      #

      オリジナル
      発信元

      オリジナル
      宛先

      オリジナル

      サービス

      変換
      発信元

      変換
      宛先

      変換

      サービス

      1

      *Any

      IPv4
      ホスト
      オブジェクト

      *Any

      IPv6
      ネットワーク
      オブジェクト

      IPv6アドレス
      を持ち、次で定義:
      96ビット
      プレフィックス

      IPv6
      ホスト
      オブジェクト

      = Original

      2

      IPv4
      ホスト
      オブジェクト
      with
      スタティック
      IPv4
      アドレス

      IPv4
      ホスト
      オブジェクト

      *Any

      IPv6
      ネットワーク
      オブジェクト

      IPv6アドレス
      を持ち、次で定義:
      96ビット
      プレフィックス

      IPv6
      ホスト
      オブジェクト

      = Original

      3

      IPv4
      アドレス
      範囲
      オブジェクト

      IPv4
      ホスト
      オブジェクト

      *Any

      IPv6
      ネットワーク
      オブジェクト

      IPv6アドレス
      を持ち、次で定義:
      96ビット
      プレフィックス

      IPv6
      ホスト
      オブジェクト

      = Original

      4

      IPv4
      ネットワーク
      オブジェクト

      IPv4
      ホスト
      オブジェクト

      *Any

      IPv6
      ネットワーク
      オブジェクト

      IPv6アドレス
      を持ち、次で定義:
      96ビット
      プレフィックス

      IPv6
      ホスト
      オブジェクト

      = Original

  6. アクセスコントロールポリシーをインストールします。

NAT46トラフィックのログ

NAT64接続のSecurity Gatewayログでは、送信元と宛先のIPv6アドレスが元のIPv6形式で表示されます。

NAT46のエントリを確認するには、Log DetailsウィンドウのMoreセクションをご覧ください。

ログのフィールド

説明

Xlate (NAT) Source IP

Security Gatewayが元のソース IPv4アドレスを変換した、変換後のソース IPv6 アドレスを表示します。

Xlate (NAT ) Destination IP

Security Gatewayが元の宛先 IPv4アドレスを変換した、変換された宛先IPv6アドレスを表示します。

More

エントリをNAT46トラフィックとして識別します(Nat46 enabled)