RV160およびRV260でのポリシーNATの設定

目的

このドキュメントでは、RV160およびRV260でPolicy Network Address Translation（NAT；ポリシーネットワークアドレス変換）を設定する方法について説明します。

概要

ネットワークアドレス変換(NAT)はルータ上で動作し、未登録のIPアドレスを持つプライベートIPネットワークがインターネットに接続できるようにします。ルータは、ローカルネットワークとインターネット（パブリックネットワーク）間のエージェントとして機能します。つまり、NATは、プライベートアドレス（内部ネットワーク）を、ネットワーク外のコンピュータのグループ全体を表す単一の一意のパブリックIPアドレスに変換します。これにより、内部ネットワーク全体を1つの一意のパブリックIPアドレスの背後に効果的に隠すことで、セキュリティが強化されます。また、NATは、IPv4の枯渇に関する重要な問題のために、IPv4アドレスの使用を節約するのに役立ちます。

ポリシーNATでは、拡張アクセスリストで送信元アドレスと宛先アドレスを指定することによって、アドレス変換のパブリックアドレスを識別できます。 ポリシーNATを使用できる多くの方法の1つは、複数のプライベートIPアドレスを異なるWAN IPアドレスにマッピングすることです。

このドキュメントでは、2つの新しいVLAN（VLAN 2とVLAN 10）を作成し、それらを2つの異なるWAN IPアドレスに接続して、ポリシーNATを設定します。送信元ポートと宛先ポートを指定できます。ポリシーNATを使用すると、高度なユーザに対して柔軟なNATルールを作成できます。ルールを設定する前に、機能の機能とユースケースを理解してください。無効な設定を受け入れることができますが、機能しない可能性があります。ほとんどのユーザでは、代わりにポート転送またはスタティックNATを使用することを推奨します。

RV160およびRV260でNATおよびスタティックNATを設定する方法については、ここをクリックしてください。

該当するデバイス

・        RV160

・        RV260

[Software Version]

・        1.0.0.13

VLANの設定

ステップ1:Web設定ページにログインし、[LAN] > [VLAN Settings]に移動します。この例では、VLAN 2とVLAN 10を作成します。各VLANは、172.16.x.x/24の形式に従って異なるサブネットに配置されます。

ステップ2:[Plus]アイコンをクリックして、新しいVLANを作成します。

ステップ3:VLAN ID（範囲1 ～ 4093）と名前を入力します。

ステップ4:[Enabled] チェックボックスをオンにして、VLAN間ルーティングとデバイス管理を有効にします。この例では、VLAN間ルーティングのみを有効にします。内部ネットワーク管理者は、問題のトラブルシューティングに役立てるためにデバイスにリモートアクセスできるので、VLAN間ルーティングを有効にしておくと便利です。これにより、デバイスにアクセスするためにVLANを常に切り替える必要が減ります。

ステップ5:IPv4アドレスとサブネットマスクを入力します。この例では、172.16.2.60/24と入力します。

注：[サブネットマスク]フィールドは、/フィールドに入力したサブネットマスクに自動的に調整されます。

ステップ6:IPv4のDHCPタイプでは、[Disabled]のままにしています。これにより、VLAN上のDHCP IPv4サーバが無効になります。

ステップ7:[IPv6 Address/Prefix Length]セクションで、IPv6プレフィクスとプレフィクス長を入力します。デフォルトのIPv6プレフィクスとプレフィクス長、fec0:1::プレフィクスとして、プレフィクス長として64を指定します。

注：この例では、残りのオプションはデフォルト設定のままになります。

ステップ8:[Apply]をクリックします。

注：さらにVLANを作成する場合は、「VLAN設定」セクションのステップ1に戻ります。このデモンストレーションでは、別のVLANを作成しました。IPv4アドレスが172.16.3.60/24、IPv6アドレスプレフィクスがfec0:2::/64のVLAN 10。

ポリシーNATの設定

ステップ1:[Firewall] > [Policy NAT]に移動します。

ステップ2:[Plus] アイコンをクリックして、新しいポリシーNATルールを追加します。

ステップ3：新しいポリシーNATルールの名前を入力します。

ステップ4:[Enable] をオンにして、ポリシールールを有効にします。

ステップ5:[From Interface]フィールドで、トラフィックの送信元のドロップダウンリストからインターフェイスを選択します。この例では、VLAN1を選択します。

ステップ6:[To Interface]フィールドで、[From Interface]を選択します。この例では、[To Interface]として[WAN]を選択します。

注：Dynamic Network Address Translation（DNAT；ダイナミックネットワークアドレス変換）は、ルータがIPアドレスを変換し、ポート番号を変換しない拡張形式のNATです。この動的アプローチは、多数の内部コンピュータのアドレスを、ルーティング可能な少数のIPアドレスにマッピングするために使用されます。DNATの場合、「To interface」を「Any」に設定する必要があります。

ステップ7:[Source Address]セクションで、[Any]または[Use a new IP Group]を選択して新しいアドレスを作成します。次に、[変換元アドレス]ドロップダウンリストからオプションを選択します。Original Source AddressとしてAnyを選択し、VLAN 1の変換されたパブリックIPアドレスとしてWAN IPを選択します。

注：[新しいIPグループを使用する]を選択した場合は、ステップ11に進みます。

ステップ8:[Apply]をクリックし、新しいポリシーNATルールを追加します。

注：[Destination Address]フィールドと[Service]フィールドはデフォルトのままにします。

ステップ9：次のVLANに対してステップ2 ～ 6を繰り返します。別のWAN IPアドレスを持つようにVLAN 2を設定します。

ステップ10:[Original Source Address] で[Any]を選択し、[Translated Source Address]オプションで[Use a new IP Group] を選択します。

ステップ11:[Create new IP Group]ウィンドウが表示されます。WAN IPグループの名前を入力します。

注：「An IP Address Group must have少なくとも1つのグループIP address」というメッセージが表示されます。 これは次の手順で設定します。

ステップ12:[Plus]アイコンをクリックし、単一のIP、IPアドレスサブネット、またはIPアドレス範囲を追加します。この例では、VLANを単一のIPアドレスに変換するため、ドロップダウンリストからSingle IPを選択します。

ステップ13:[アドレスの詳細(Address Details)]フィールドに、所有する2番目のWAN IPアドレスを入力します。

ステップ14:[OK]をクリックし、新しいIPグループを作成します。

ステップ15:[Apply]をクリックして、新しいポリシーNATルールを追加します。

注：新しいWAN IPアドレスを必要とするVLANを追加する場合は、手順9 ～ 15を繰り返します。

ステップ16:[Apply]をクリックし、設定を適用します。

結論

これで、ポリシーNATが正常に設定されました。各VLANから送信されるトラフィックは、異なるWAN IPアドレスとして表示されます。これは、ポリシーNATを設定する方法の1つの例です。