Skip to main content

 

Cisco Meraki Documentation

MX のNAT 例外機能と手動インバウンドファイアウォール

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年07月25日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

特定の状況下では、ネットワーク管理者がプライベートな送信元 IP アドレスを維持したまま、WAN インターフェースからネットワークトラフィックを外部へ送信する必要があるトポロジを持つ場合があります。内部ネットワークを保護し、IPv4 の枯渇を防ぐために、すべての内部送信元アドレスを書き換えることが推奨されていますが、ユースケースによっては内部トラフィックが同じ内部送信元 IP を維持する必要があります。典型的な例としては、WAN アプライアンスの WAN アップリンクで終端されるレイヤ 3 MPLS VPN などがあります。NAT 例外と手動インバウンドファイアウォール機能を使用することで、WAN アプライアンスでこれらのユースケースに対応できます。

NAT 例外

NAT 例外(No NAT とも呼ばれる)は、一部またはすべての構成済み VLAN で NAT 免除を設定する機能です。これにより、WAN アプライアンスの LAN で受信したパケットの送信元 IP アドレスが、WAN アップリンクを通過する際に書き換えられなくなります。

この機能が必要だと考える場合は、本番環境に導入する前にラボでテストすることを推奨します。

MX16 以降のファームウェアに関する更新:
MX アプライアンスで AnyConnect クライアント VPN を利用するために、クライアント VPN(AnyConnect または IPsec のいずれか)と No NAT の同時利用ができないように仕様が変更されました。

MX から発信される場合、IPsec トンネルは確立できますが、NAT 例外有効時は受信した ISAKMP リクエストは破棄されます。

警告:NAT オーバーライド設定 VLAN でのインバウンドトラフィック許可について

MX 18.x を実行している場合、No-NAT 例外オーバーライドが有効な VLAN で WAN インターフェースからのインバウンドトラフィックは許可されません。


回避策:これらの VLAN でインバウンドトラフィックを許可するには、必要な IP 向けに 1:1 NAT ルールと適切なインバウンドファイアウォールルールを設定する必要があります。

例えば、192.168.0.0/24 の VLAN で No-NAT が有効で、外部から 192.168.0.100 へインバウンド通信を許可したい場合は、192.168.0.100 LAN を 192.168.0.100 WAN にマッピングする 1:1 NAT ルールを設定してください。同時に 192.168.0.0/24 へのリモート送信元を許可するインバウンドファイアウォールルールも必要です。

BGP(Border Gateway Protocol)については、MX セキュリティアプライアンスでの BGP に関するドキュメントを参照してください。

ユースケース

MPLS フェイルオーバー付きダイレクトインターネットアクセス

Graph showing a direct Internet access with MPLS failover scenario

 

 

 

課題:クライアントが元の送信元 IP で MPLS ネットワークへアクセスする必要がある。

 

解決策:WAN2 で NAT 例外を有効にすることで解決できます。インターネットリンク経由のトラフィックは NAT され、MPLS 経由はNAT されません

MPLS 専用拠点

Graph showing an MX branch with MPLS as the only uplink scenario

 

 

 

課題:拠点は MPLS のみ、インターネットアクセスはデータセンターで提供。クライアントが元の送信元 IP で MPLS ネットワークへアクセスする必要がある。

 

解決策:WAN インターフェースで NAT 例外を有効にすることで解決できます。WAN 側で NAT は行われません。

 

クラウド管理のため、WAN アプライアンスは MPLS 経由でオンラインである必要があります。

パブリックルーティング可能な LAN サブネットおよび DMZ

Graph showing a scenario with publicly routable LAN subnets and DMZs

 

 

 

 

課題:パブリックルーティング可能な DMZ サブネットを構成したい。

 

解決策:DMZ VLAN で NAT 例外を有効にすることで、DMZ でパブリックルーティング可能なサブネットを利用できます。

 

パブリックルーティング可能なサブネットはNAT されず、MPLS もNAT されず、インターネットリンク経由のトラフィックのみ NAT されます。

注意事項 

本機能は Early Access 機能のため、有効化前にこのセクションをよくお読みください。

インバウンドファイアウォール

NAT 例外を有効にすると、インバウンドファイアウォールの設定画面も有効になります。インバウンドファイアウォールは、ネットワーク外部からのトラフィックを制御します。これには 1:1 NAT、1:多 NAT、ポート転送、クライアント VPN 接続のインバウンド通信も含まれます。インバウンドファイアウォールを正しく設定しないと、ネットワークへの不正アクセスのリスクがあります。

WAN アプライアンスファイアウォールは、ネットワーク内部(WAN アプライアンスの背後)から開始されたトラフィックに対しては引き続きステートフルです。ネットワーク外部(WAN 側)から開始されたトラフィックのみインバウンドファイアウォールの影響を受けます。

必要な対応

Deny Any Any ルールがデフォルトでインバウンドファイアウォールに自動的に設定されます。外部から通過を許可したいトラフィックは許可ルールとして個別に追加してください。Deny Any Any ルールはセキュリティアプライアンスがオフラインになったり、クラウド管理トラフィックに影響したりはしません

これらのルールは セキュリティ & SD-WAN > 設定 > ファイアウォール ページで作成できます。必要に応じてインバウンド接続を許可してください。

Early Access ページで有効化した場合、インバウンドファイアウォールのデフォルト Deny Any Any ルールはルーティングモードのデフォルト動作です。サポートによって以前にこの機能が有効化されていた場合、Early Access ページから機能を削除・再有効化するまで動作は変わりません。

MX がパススルーモードの場合、デフォルトのファイアウォールルールは Allow Any Any です。

1:1/ 1:多 NAT、ポート転送、ファイアウォールサービス

インバウンドファイアウォールは、NAT、ポート転送、ファイアウォールホストサービスなどの「許可されたインバウンド接続」フィールドを上書きします。

インバウンドファイアウォールはクライアント VPN(AnyConnect または IPSec)などのサービスにも影響します。これらの接続を許可するには、MX のアップリンク IP(ウォームスペア構成の場合は仮想 IP)を宛先としたルールを設定してください。

必要な対応

NAT、ポート転送、ファイアウォールサービスの許可されたインバウンド接続は、セキュリティ & SD-WAN > 設定 > ファイアウォールページでインバウンドファイアウォールを使用して構成してください。

インバウンドファイアウォールルールでは、NAT/ポートフォワーディングルールで設定した LAN IP ではなく、MX の WAN インターフェース IP アドレスを宛先として指定してください。宛先ポートも必ず指定してください。

前提条件

  1. この機能には MX 15.4 以上のファームウェアが必要です
  2. オーガナイゼーション > 新機能を試す ページからネットワークで有効化できます
  3. VLAN ごとの NAT オーバーライドオプションは、VLAN が有効 かつ いずれかのアップリンクで NAT 例外が無効の場合のみ利用可能です。下図参照。
    Dashboard UI options where NAT on Uplink 1 is ticked as disabled

設定

NAT 例外を構成するには、有効化後に セキュリティ & SD-WAN > 設定 > アドレス & VLAN に移動してください。

以下は構成例と期待される動作です。

構成例 1 - アップリンク 1 で NAT を無効化

Dashboard UI options where NAT can be disabled

VLAN ごとの NAT オーバーライドオプションは VLAN が有効 かつ いずれかのアップリンクで NAT 例外が無効な場合のみ利用可能です。上記・下記の画像を参照してください。

Dashboard UI options where NAT on Uplink 1 is ticked as disabled

期待される動作


アップリンク 1/WAN 1 から WAN アプライアンスを流れるすべてのトラフィックは NAT されません(LAN 発トラフィックの送信元 IP は維持されます)。一方、アップリンク 2/WAN2 から流れるトラフィックはすべて NAT されます。

 

構成例 2 - アップリンク 1・2 で NAT 無効化、VLAN 100 で NAT 例外を上書き

Dashboard UI options where NAT on Uplink 1 i and Uplink 2 ticked as disabled with VLAN override exception

期待される動作


VLAN 100 からのトラフィックは両アップリンクで NAT され、VLAN 200 からのトラフィックは両アップリンクで NAT されません。

トラブルシューティング


NAT 例外が動作しているか最も簡単に確認するには、セキュリティアプライアンスの LAN からトラフィックを生成し、ダッシュボードのパケットキャプチャツールで NAT 例外が有効なアップリンクのトラフィックをスニッフィングしてください。アップリンクを流れるトラフィックの送信元 IP を観察します。トラフィックがまだ NAT されている場合は、設定を確認し、セキュリティアプライアンスの設定が最新であることを確認してください。

重複サブネット

LAN と WAN で同じサブネットを使用しないようご注意ください。これは WAN アプライアンスが NAT 機器や ISP モデムの背後にある場合によく発生します。この場合 NAT 例外が期待通り動作しません。

アウトバウンド一方向トラフィック

一方向トラフィックの場合:

  1. 正しい次ホップ(WAN アプライアンスアップリンク IP、仮想 IP があればそちら)へ戻りルートが設定されているか確認してください。
  2. インバウンドファイアウォールで正しいサブネットを許可しているか確認してください。
  3. MX セキュリティアプライアンスの LAN/WAN の同時パケットキャプチャを取得し、どこでトラフィックがドロップされているか特定してください。

インバウンド一方向トラフィック

  1. アウトバウンドファイアウォール(セキュリティ & SD-WAN > 設定 > ファイアウォール)で正しい通信を許可しているか確認してください。
  2. LAN 上のデバイスが到達可能か確認してください(ping、ダッシュボードのライブツールで ARP チェック、正しい VLAN 上か確認)。
  3. WAN アプライアンスの LAN/WAN の同時パケットキャプチャを取得し、どこでトラフィックがドロップされているか特定してください。