PANEL_addNatPolDlg
For general information on NAT Policies, see ネットワーク > NAT ポリシー.
NAT ポリシーを使用すると、送信元の IP アドレス、送信先の IP アドレス、および送信先サービスの一致する組み合わせに基づいて NAT (ネットワーク アドレス変換) を柔軟に制御できます。NAT はポリシーに基づいて適用されるため、異なる種類の NAT を同時に配備することができます。このセクションは、次のサブセクションで構成されています。
• 着信トラフィック用の 1 対 1 の NAT ポリシーの作成
• 着信トラフィック用の 1 対 1 の NAT ポリシー (再帰) の作成
• 1 対 1 の NAT ポリシーによる着信ポート アドレス変換
このセクションでは、NAT ポリシーの作成と有効化を示す例で以下の IP アドレスが使用されています。ここで示す例をお使いの IP アドレスと置き換えることにより、これらの例を使用して、ネットワークの NAT ポリシーを作成することができます。
• 192.168.10.0/24 (インターフェース X0 上の IP サブネット)
• 67.115.118.64/27 (インターフェース X1 上の IP サブネット)
• 192.168.30.0/24 (インターフェース X2 上の IP サブネット)
• X0 の IP アドレスは 192.168.10.1
• X1 の IP アドレスは 67.115.118.68
• X2 "Sales" の IP アドレスは 192.168.30.1
• ウェブ サーバの“プライベート"アドレスは 192.168.30.200
• ウェブ サーバの“パブリック"アドレスは 67.115.118.70
• パブリック IP 範囲のアドレスは 67.115.118.71 から 67.115.118.74
多対 1 は Dell SonicWALL セキュリティ装置で最も一般的な NAT ポリシーであり、アドレスのグループを単一のアドレスに変換することができます。ほとんどの場合、これは、内部 "プライベート" IP サブネットを対象として、そこから送信されるすべての要求を SonicWALL の WAN インターフェース (既定では X1 インターフェース) の IP アドレスからの要求に変換することを意味します。この変換を行うと、送信先からは、その要求の送信元が内部プライベート IP アドレスではなく、SonicWALL の WAN インターフェースの IP アドレスであるかのように見えます。
NATポリシーは容易にセットアップし有効にできます。管理インターフェースから「ネットワーク > NATポリシー」ページに進み、「追加」ボタンを選択します。ポリシーを追加するための「NAT ポリシーの追加」ウィンドウが表示されます。NAT ポリシーを作成して X2 インターフェース上のすべてのシステムが SonicWALL の WAN ポートの IP アドレスを使用してトラフィックを開始できるようにするには、各ドロップダウン ボックスで以下の設定を選択します。
• 変換前の送信元:X2 サブネット
• 変換後の送信元:WAN プライマリ IP
• 変換前の送信先:すべて
• 変換後の送信先:オリジナル
• 変換前サービス:すべて
• 変換後サービス:オリジナル
• 受信インターフェース:X2
• 発信インターフェース:X1
• コメント:簡単な説明を入力
• NAT ポリシーを有効にする:有効
• 再帰ポリシーを作成する:消去
設定が完了したら、「OK」ボタンを選択して、NAT ポリシーを有効な状態で追加します。このポリシーは SonicWALL の他のインターフェースの背後にあるサブネットで複製できます。それに必要な作業は、「変換前の送信元」をそのインターフェースの背後にあるサブネットに変更して、送信元のインターフェースを調整し、別の NAT ポリシーとして追加することだけです。
多対多の NAT ポリシーを使用すると、特定のアドレス グループを別のアドレス グループに変換できます。このポリシーによって、SonicWALL では、複数のアドレスを利用した動的変換を実行できます。
NATポリシーは容易にセットアップし有効にできます。最初に「ネットワーク > アドレス オブジェクト」を選択して、画面の下部にある「追加」ボタンを選択する必要があります。「アドレス オブジェクトの追加」ウィンドウが表示されたら、「名前」フィールドに範囲の説明を入力して、ドロップダウン メニューから「範囲」を選択します。「開始アドレス」フィールドと「終了アドレス」フィールドに、アドレス (通常、ISP から提供されるパブリック IP アドレス) の範囲を入力し、「ゾーンの割り当て」メニューでゾーンとして「WAN」を選択します。設定が完了したら、「OK」ボタンを選択して範囲オブジェクトを作成します。
「ネットワーク > NAT ポリシー」を選択し、「追加」ボタンを選択します。「NAT ポリシーの追加」ウィンドウが表示されます。NAT ポリシーを作成して、LAN インターフェース (既定では X0 インターフェース) 上のシステムによるパブリック範囲アドレスを使用したトラフィックの開始を許可するには、各ドロップダウン メニューで以下の設定を選択します。
• 変換前の送信元:LAN プライマリ サブネット
• 変換後の送信元: public_range
• 変換前の送信先:すべて
• 変換後の送信先:オリジナル
• 変換前サービス:すべて
• 変換後サービス:オリジナル
• 受信インターフェース:X0
• 発信インターフェース:X1
• コメント:簡単な説明を入力
• NAT ポリシーを有効にする:有効
• 再帰ポリシーを作成する:消去
設定が完了したら、「OK」ボタンを選択して、NAT ポリシーを有効な状態で追加します。このポリシーを適用すると、SonicWALL は、作成した範囲内で使用可能な 4 つの IP アドレスを使用して、送信トラフィックを動的に割り付けます。
動的な割付をテストするには、LAN インターフェース (既定では X0 インターフェース) 上の拡散したアドレス範囲 (192.168.10.10、192.168.10.100、192.168.10.200 など) に複数のシステムをインストールして、各システムからパブリック ウェブ サイト 〈http://www.whatismyip.com〉 にアクセスします。各システムには、作成して NAT ポリシーに連結した範囲の中から別々の IP アドレスが表示されるはずです。
着信トラフィック用の 1 対 1 の NAT ポリシーの作成
着信トラフィック用の 1 対 1 の NAT は、外部のパブリック IP アドレスを内部のプライベート IP アドレスに変換できます。この NAT ポリシーを "許可" アクセス ポリシーと組み合わせると、任意の送信元がパブリック IP アドレスを使用して内部サーバに接続できるようになります。プライベート アドレスとパブリック アドレス間の変換は Dell SonicWALL によって処理されます。このポリシーを適用すると、SonicWALL セキュリティ装置は、WAN インターフェース (既定では X1 インターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベート IP アドレスに変換します。 以下では、必要なアドレス オブジェクトとともに NAT ポリシーを作成し、同時に発信トラフィック用の再帰 NAT ポリシーも作成します。再帰 NAT ポリシーについては、次のセクションで説明します。
NATポリシーは容易にセットアップし有効にできます。「ネットワーク > アドレス オブジェクト」を選択して、画面の下部にある「追加」ボタンを選択します。「アドレス オブジェクトの追加」ウィンドウの「名前」フィールドに、サーバのプライベート IP アドレスの説明を入力します。「タイプ」メニューで「ホスト」を選択して、「IP アドレス」フィールドにサーバのプライベート IP アドレスを入力し、「ゾーンの割り当て」メニューでサーバを割り当てたゾーンを選択します。「OK」を選択します。次に、「アドレス オブジェクトの追加」ウィンドウで、サーバのパブリック IP アドレス用の正しい値を持つ別のオブジェクトを作成し、「ゾーンの割り当て」メニューで「WAN」を選択します。設定が完了したら、「OK」ボタンを選択して範囲オブジェクトを作成します。
次に、「ネットワーク > NAT ポリシー」を選択し、「追加」ボタンを選択して、「NAT ポリシーの追加」ウィンドウを表示します。NAT ポリシーを作成して、割付済みパブリック IP アドレス経由でのウェブ サーバからパブリック インターネットへのトラフィックの開始を許可するには、各ドロップダウン ボックスで以下の設定を選択します。
• 変換前の送信先: webserver_public_ip
• 変換後の送信先: webserver_private_ip
• 変換前の送信先:すべて
• 変換後の送信先:オリジナル
• 変換前サービス:すべて
• 変換後サービス:オリジナル
• 受信インターフェース:X2
• 発信インターフェース:X1
• コメント:簡単な説明を入力
• NAT ポリシーを有効にする:有効
• 再帰ポリシーを作成する:有効
設定が完了したら、「OK」ボタンを選択して、NAT ポリシーを有効な状態で追加します。このポリシーを適用すると、SonicWALL は、WAN インターフェース (既定では X1 インターフェース) からのトラフィック開始時に、サーバのプライベート IP アドレスをパブリック IP アドレスに変換します。
サーバでウェブ ブラウザを開き、公開ウェブサイト http://www.whatismyip.com にアクセスすることによって、1 対 1 の割付をテストできます。このウェブサイトには、作成したばかりの NAT ポリシーでプライベート IP アドレスに付加された公開 IP アドレスが表示されるはずです。
着信トラフィック用の 1 対 1 の NAT ポリシー (再帰) の作成
これは、前のセクションで「再帰ポリシーを作成する」を有効にした場合に作成されるポリシーのミラー ポリシーです。このポリシーによって、外部の公開 IP アドレスを内部のプライベート IP アドレスに変換できます。この NAT ポリシーを「許可」アクセス ポリシーと組み合わせると、公開 IP アドレスを使用して、すべての送信元が内部サーバに接続することができます。SonicWALL は、プライベート アドレスと公開アドレス間の変換を処理します。このポリシーを適用すると、SonicWALL は、webserver_public_ip へ着信したトラフィックを、webserver_private_ip に送信します。
以下では、サーバへの HTTP アクセスを許可するルールを作成します。すべてのユーザがウェブ サーバのパブリック IP アドレス経由でウェブ サーバへの HTTP 接続を確立できるようにアクセス ポリシーを作成する必要があります。
補足 以前のバージョンのファームウェアでは、プライベート IP アドレスに対するルールを作成する必要がありました。この点は、SonicOS で変更されました。このため、プライベート IP アドレスに対するルールを作成しても、そのルールは機能しません。
「ファイアウォール > アクセス ルール」ページを選択し、「WAN」と「Sales」ゾーン (またはサーバを配置した任意のゾーン) 間に適用するポリシーを選択します。「追加...」ボタンを選択すると、ポップアップ アクセス ポリシー画面が表示されます。ポップアップが表示されたら、次の値を入力します。
• 動作:許可
• サービス:HTTP
• 送信元:すべて
• 送信先:webserver_public_ip
• 許可されたユーザ:すべて
• スケジュール:常に有効
• ログ:有効
• コメント:(簡単な説明を入力)
設定が完了したら、パブリック インターネット上に配置されているシステムを使用して、ウェブ サーバのパブリック IP アドレスへのアクセスを試行します。正常に接続できるはずです。接続不可の場合は、このセクションと前のセクションを調べて、必要なすべての項目を正しく設定したことを確認します。
1 対多のネットワーク アドレス変換 (NAT) ポリシーを使用することにより、変換前の送信元 IP アドレスを恒久性への鍵として使用して、恒久性を維持しながら、変換後の送信先の負荷を均衡化できます。例えば、SonicWALL では、適切な宛先の SRA に対して常にクライアント間の均衡を取ることによって、セッションの恒久性を維持しながら複数の SRA 装置の負荷分散を可能にしています。
1 対多の NAT 負荷分散の設定を行うには、最初に「ファイアウォール > アクセス ルール」ページを選択し、「WAN」と「LAN」間のポリシーを選択します。「追加...」ボタンを選択すると、ポップアップ アクセス ポリシー画面が表示されます。ポップアップが表示されたら、次の値を入力します。
• 動作:許可
• サービス:HTTPS
• 送信元:すべて
• 送信先:WAN プライマリ IP
• 許可されたユーザ:すべて
• スケジュール:常に有効
• コメント:説明テキスト (例えば "SSLVPN LB")
• ログ:有効
• 断片化パケットを許可する:消去
「ネットワーク > NAT ポリシー」を選択し、「追加...」ボタンを選択して、次の NAT ポリシーを作成します。
• 変換前の送信元:すべて
• 変換後の送信元:オリジナル
• 変換前の送信先:WAN プライマリ IP
• 変換後の送信先:「アドレス オブジェクトの作成...」を選択します。「アドレス オブジェクトの追加」画面が表示されます。
– 名前:説明的な名前 (例えば "mySSLVPN")
– ゾーンの割り当て:LAN
– 種別:ホスト
– IP アドレス:負荷分散する機器の IP アドレス (上記の図に示したトポロジの場合は、192.168.200.10、192.168.200.20、192.168.200.30)
• 変換前サービス:HTTPS
• 変換後サービス:HTTPS
• 受信インターフェース:すべて
• 発信インターフェース:すべて
• コメント:説明テキスト (例えば "SSLVPN LB")
• NAT ポリシーを有効にする:有効
• 再帰ポリシーを作成する:消去
1 対 1 の NAT ポリシーによる着信ポート アドレス変換
このタイプの NAT ポリシーは、内部サーバの実際のリスニング ポートを隠して、別のポートでのサーバへのパブリック アクセスを可能にしたい場合に便利です。以下の例では、前のセクションで作成したNAT ポリシーとルールを変更して、パブリック ユーザがパブリック IP アドレスを通じてプライベート ウェブ サーバに接続できるようにしますが、その接続には、標準の HTTP ポート (TCP 80) の代わりに、別のポート (TCP 9000) を使用するように設定します。
1. まず、使用する非標準ポートのユーザ定義サービスを作成します。「ファイアウォール > ユーザ定義サービス」ページを選択して、「追加」ボタンを選択します。ポップアップ画面が表示されたら、ユーザ定義サービスに webserver_public_port などの名前を指定します。次に、開始ポートと終了ポートとして 9000 と入力し、プロトコルとして「TCP (6)」を選択します。設定が完了したら、「OK」ボタンを選択してユーザ定義サービスを保存します。
2. 前のセクションで作成した、パブリック ユーザがパブリック IP アドレスを通じてプライベート ウェブ サーバに接続できるようにする NAT ポリシーを変更します。「ネットワーク > NAT ポリシー」メニューを選択し、この NAT ポリシーの横にある編集ボタンを選択します。ポリシー編集用の「NAT ポリシーの編集」ウィンドウが表示されます。NAT ポリシーを編集して、各ドロップダウン ボックスの設定を以下のように変更します。
– 変換前の送信元:すべて
– 変換後の送信元:オリジナル
– 変換前の送信先: webserver_public_ip
– 変換後の送信先: webserver_private_ip
– 変換前サービス: webserver_public_port (または上記で付けた任意の名前)
– 変換後サービス:HTTP
– 受信インターフェース:X1
– 発信インターフェース:すべて
– コメント:簡単な説明を入力
– NAT ポリシーを有効にする:有効
– 再帰ポリシーを作成する:消去
補足 送信先インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。これは直観に反しているように思われるかもしれませんが、正しい設定です (インターフェースを指定しようとすると、エラーが発生します)。
3. 設定が完了したら、「OK」ボタンを選択して、NAT ポリシーを有効な状態で追加します。このポリシーを適用すると、SonicWALL は、WAN インターフェース (既定では X1 インターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベート IP アドレスに変換し、要求されたプロトコル (TCP 9000) をサーバの実際のリスニング ポート (TCP 80) に変換します。
最後に、前のセクションで作成したファイアウォール アクセス ルールを変更して、すべてのパブリック ユーザがサーバの実際のリスニング ポート (TCP 80) の代わりに新しいポート (TCP 9000) を使用ウェブ サーバに接続できるようにします。
「ファイアウォール > アクセス ルール」セクションを選択し、「WAN」と「Sales」ゾーン (またはサーバに配置した任意のゾーン) 間に適用するポリシーを選択します。「設定」ボタンを選択すると、前に作成したポリシーが表示されます。ポップアップが表示されたら、次の値を編集します。
– 動作:許可
– サービス: webserver_public_port (または上記で付けた任意の名前)
– 送信元:すべて
– 送信先: webserver_public_ip
– 許可されたユーザ:すべて
– スケジュール:常に有効
– ログを有効にする: 有効
– コメント:(簡単な説明を入力)
設定が完了したら、パブリック インターネット上に配置されているシステムを使用して、ウェブ サーバのパブリック IP アドレスの新しい個別ポート (〈http://67.115.118.70:9000〉 など) に対するアクセスを試行します。正常に接続できるはずです。接続不可の場合は、このセクションと前のセクションを調べて、必要なすべての項目を正しく設定したことを確認します。
これは、SonicOS が動作している SonicWALL 上に作成できる、より複雑な NAT ポリシーの 1 つで、SonicWALL の WAN IP アドレスを使用して、複数の内部サーバにアクセスできるようになります。このポリシーが特に有効なのは、ISP から 1 つのパブリック IP アドレスしか提供されず、その IP アドレスを SonicWALL の WAN インターフェース (既定では X1 インターフェース) で使用する必要がある場合などです。
以下では、SonicWALL の WAN IP アドレス経由で 2 台の内部ウェブ サーバへのパブリック アクセスを提供する設定を行います。各サーバは固有の個別ポートに接続されます。次の例では、2 台のサーバ用のセットアップを行いますが、ポートがすべて固有である限り、3 台以上の場合のポリシーも作成可能です。
このセクションでは、次の 5 つのタスクを実行します。
1. サーバが応答する固有のパブリック ポートに対応する 2 つのユーザ定義サービス オブジェクトを作成します。
2. サーバのプライベート IP アドレスに対応する 2 つのアドレス オブジェクトを作成します。
3. 2 つの NAT エントリを作成して、2 台のサーバがパブリック インターネットへのトラフィックを開始できるようにします。
4. 2 つの NAT エントリを作成して、個別ポートを実際のリスニング ポートに割り付け、各サーバのプライベート IP アドレスを SonicWALL の WAN IP アドレスに割り付けます。
5. 2 つのアクセス ルール エントリを作成して、任意のパブリック ユーザが、SonicWALL の WAN IP アドレス経由で両方のサーバ、および各サーバの固有の個別ポートに接続できるようにします。
1. まず、使用する非標準ポートのユーザ定義サービスを作成します。「ファイアウォール > ユーザ定義サービス」ページを選択して、「追加」ボタンを選択します。ポップアップ画面が表示されたら、ユーザ定義サービスに servone_public_port や servtwo_public_port などの名前を指定します。次に、開始ポートと終了ポートとして 9100 および 9200 と入力し、プロトコルとして「TCP (6)」を選択します。設定が完了したら、「OK」ボタンを選択してユーザ定義サービスを保存します。
2. 「ネットワーク > アドレス オブジェクト」を選択して、ページの下部にある「追加」ボタンを選択します。「アドレス オブジェクトの追加」ウィンドウで、サーバのプライベート IP アドレスの説明を入力して、ドロップダウン ボックスから「ホスト」を選択します。サーバのプライベート IP アドレスを入力して、サーバがあるゾーンを選択します。設定が完了したら、「OK」ボタンを選択して範囲オブジェクトを作成します。
3. 「ネットワーク > NAT ポリシー」メニューを選択し、「追加」ボタンを選択します。「NAT ポリシーの追加」ウィンドウが表示されます。NAT ポリシーを作成して、2 台のサーバによる SonicWALL の WAN IP アドレスを使用したパブリック インターネットへのトラフィックの開始を許可するには、各ドロップダウン ボックスで以下の設定を選択します。
– 変換前の送信元: servone_private_ip
– 変換後の送信元:WAN プライマリ IP
– 変換前の送信先:すべて
– 変換後の送信先:オリジナル
– 変換前サービス:すべて
– 変換後サービス:オリジナル
– 受信インターフェース:X2
– 発信インターフェース:X1
– コメント:簡単な説明を入力
– NAT ポリシーを有効にする:有効
– 再帰ポリシーを作成する:消去
および:
– 変換前の送信元: servtwo_private_ip
– 変換後の送信元:WAN プライマリ IP
– 変換前の送信先:すべて
– 変換後の送信先:オリジナル
– 変換前サービス:すべて
– 変換後サービス:オリジナル
– 受信インターフェース:X2
– 発信インターフェース:X1
– コメント:簡単な説明を入力
– NAT ポリシーを有効にする:有効
– 再帰ポリシーを作成する:消去
設定が完了したら、「OK」ボタンを選択して、NAT ポリシーを有効な状態で追加します。これらのポリシーを適用すると、SonicWALL は、WAN インターフェース (既定では X1 インターフェース) からのトラフィック開始時に、サーバのプライベート IP アドレスをパブリック IP アドレスに変換します。
4. 「ネットワーク > NAT ポリシー」メニューを選択し、「追加」ボタンを選択します。「NAT ポリシーの追加」ウィンドウが表示されます。NAT ポリシーを作成して、個別ポートをサーバの実際のリスニング ポートに割り付け、SonicWALL の WAN IP アドレスをサーバのプライベート アドレスに割り付けるには、各ドロップダウン ボックスで以下の設定を選択します。
– 変換前の送信元:すべて
– 変換後の送信元:オリジナル
– 変換前の送信先:WAN プライマリ IP
– 変換後の送信先: servone_private_ip
– 変換前サービス: servone_public_port
– 変換後サービス:HTTP
– 受信インターフェース:X1
– 発信インターフェース:すべて
– コメント:簡単な説明を入力
– NAT ポリシーを有効にする:有効
– 再帰ポリシーを作成する:消去
および:
– 変換前の送信元:すべて
– 変換後の送信元:オリジナル
– 変換前の送信先:WAN プライマリ IP
– 変換後の送信先: servtwo_private_ip
– 変換前サービス: servtwo_public_port
– 変換後サービス:HTTP
– 送信元インターフェース:X1
– 送信先インターフェース:すべて
– コメント:簡単な説明を入力
– NAT ポリシーを有効にする:有効
– 再帰ポリシーを作成する:消去
補足 送信先インターフェースの設定では、サーバが接続されているインターフェースを指定するのではなく、必ず「すべて」を選択してください。これは直観に反しているように思われるかもしれませんが、正しい設定です (インターフェースを指定しようとすると、エラーが発生します)。
設定が完了したら、「OK」ボタンを選択して、NAT ポリシーを有効な状態で追加します。これらのポリシーを適用すると、SonicWALL は、WAN インターフェース (既定では X1 インターフェース) 経由での接続要求の到着時に、サーバのパブリック IP アドレスをプライベート IP アドレスに変換します。
5. パブリック インターネットのすべてのユーザーが個別ポートと SonicWALL の WAN IP アドレスを使用して 2 台のウェブ サーバにアクセスできるようにするためのアクセス ルールを作成します。
「ファイアウォール > アクセス ルール」ページを選択し、「WAN」と「Sales」ゾーン (またはサーバを配置した任意のゾーン) 間に適用するポリシーを選択します。「追加...」ボタンを選択すると、ポリシーを作成するポップアップ ウィンドウが表示されます。ポップアップが表示されたら、次の値を入力します。
– 動作:許可
– サービス: servone_public_port (または上記で付けた任意の名前)
– 送信元:すべて
– 送信先:WAN IP アドレス
– 許可されたユーザ:すべて
– スケジュール:常に有効
– ログを有効にする: 有効
– コメント:(簡単な説明を入力)
および:
– 動作:許可
– サービス: servtwo_public_port (または上記で付けた任意の名前)
– 送信元:すべて
– 送信先:WAN IP アドレス
– 許可されたユーザ:すべて
– スケジュール:常に有効
– ログを有効にする: 有効
– コメント:(簡単な説明を入力)
設定が完了したら、パブリック インターネット上に配置されているシステムを使用して、SonicWALL セキュリティ装置の WAN IP アドレス経由で、ウェブ サーバの新しい個別ポート
(http://67.115.118.70:9100 と http://67.115.118.70:9200 など) に対するアクセスを試行します。正常に接続できるはずです。接続不可の場合は、このセクションと前のセクションを調べて、必要なすべての項目を正しく設定したことを確認します。
このセクションは、次のサブセクションで構成されています。
• 前提条件
次ページからのタスクリストの説明の中で示している例では、サンプル設定の IP アドレス情報を使用しています。 作業を行う際は、必ず、これらの IP アドレス情報を実際の設定で使用されている正しいアドレス情報に置き換えてください。また、インターフェース名も実際とは異なる可能性があることに注意してください。
補足 すべての種別のログの記録、およびログの名前解決を有効にすることを強くお勧めします。
ログの記録と警告の通知を有効にするには、SonicWALL の管理 GUI にログインして「ログ > 種別」ページを開き、すべての種別のログを取得するために、「ログ レベル」ドロップダウン メニューの「デバッグ」、および「表示形式」ドロップダウン メニューの「すべての種別」を選択して、タイトル バーの「ログ」と「警告」の 2 つのチェックボックスをオンにしてから、右上隅の「適用」ボタンを選択します。これにより、変更が保存されて適用されます。例については、下のスクリーンショットを参照してください。デバッグ レベルのログは初期の設定およびトラブルシューティングの目的に限って使用し、設定が完了した時点で、実際のネットワーク環境に合った適切なログ レベルを設定することをお勧めします。
ログの名前解決を有効にするには、「ログ > 名前解決」ページを開き、「名前解決方法」ドロップダウン リストから「DNS の後に NetBIOS」を選択して、右上隅の「適用」ボタンを選択します。これにより、変更が保存されて適用されます。
NAT 負荷分散を設定するには、以下の作業をすべて行う必要があります。
1. アドレス オブジェクトの作成
2. アドレス グループの作成
3. 受信 NAT LB ポリシーの作成
4. 発信 NAT LB ポリシーの作成
5. ファイアウォール ルールの作成
6. 必要に応じたネットワークの検証とトラブルシューティング
この設定を完了するには、次の手順を実行します。
1. ネットワーク オブジェクトの作成 - 管理 GUI の「ネットワーク > アドレス オブジェクト」ページを開き、2 台の内部ウェブ サーバに対応するネットワーク オブジェクト、および外部ユーザがそれらのサーバにアクセスするために使用する仮想 IP (VIP) を作成します。
2. アドレス グループの作成 - www_group という名前のアドレス グループを作成し、直前の手順で作成した 2 つの内部サーバ アドレス オブジェクトを追加します。
3. グループ用の受信 NAT ルールの作成 - VIP へのアクセスを試行したすべてのユーザに対して、直前の手順で作成したアドレス グループのアドレスへの変換を許可するための NAT ルールを作成します。このルールでは、NAT 方式として「スティッキー IP」を使用します。
補足 この段階では、まだ NAT ルールの保存は行わないでください。
4. 負荷分散のタイプおよびサーバの動作確認方法の設定 - NAT ポリシー設定ウィンドウの「詳細設定」タブでは、オブジェクト (または、オブジェクトのグループや、グループのグループ) の状態を監視する手段として、ICMP Ping を送信する方法と、TCP ソケットが開いているかチェックする方法のどちらを使用するかを指定できます。この例では、TCP ポート 80 を監視することによって、サーバが正常に動作、応答しているかを確認することにします (このポートはユーザのアクセス先であるため、監視対象として適しています)。設定が完了したら、「OK」ボタンを選択して変更を保存、適用します。
補足 次の作業に進む前に、ログと状況のページをチェックして、リソースが検出済みであること、およびリソースがオンライン状態であることを示すログが記録されていることを確認してください。正常ならば、「ネットワーク監視: ホスト 192.160.200.220 はオンラインです」 (IP アドレスは実際に使用されている値になります) というメッセージを持つ 2 件の警告が「ファイアウォール イベント」として表示されるはずです。この 2 つのメッセージが表示されていない場合は、これまでの手順が適切に実行されているか確認してください。
5. 負荷分散グループ用の発信 NAT ルールの作成 - 内部サーバから WAN インターフェース (既定では X1 インターフェース) 経由で外部リソースにアクセスする際に、送信元を VIP に変換できるようにするための NAT ルールを作成します。
6. VIP 用のファイアウォール ルールの作成 - 外部からのトラフィックに対して、VIP 経由での内部ウェブ サーバへのアクセスを許可するためのファイアウォール ルールを作成します。
7. 設定のテスト - WAN の外側のラップトップから、ウェブ ブラウザを使用して HTTP 経由で VIP に接続します。
補足 1 台以上の SonicWALL SRA 装置を対象として負荷分散を行う場合は、許可するサービスとして HTTPS を使用して手順 1 ~ 7 を繰り返してください。
ウェブ サーバに対するアクセスが正常に行われていないと思われる場合は、「ファイアウォール > アクセス ルール」ページを表示して、マウス ポインタを統計アイコンの上に移動してください。
ルールが正しく設定されていない場合には、受信バイトと送信バイトの統計情報はまったく表示されませんが、正常に機能している場合は、負荷分散対象リソースに対する外部からのアクセスが成功するたびに、これらのバイト数が増加するのを確認できます。
ポリシーに関しても、同様に「ファイアウォール > NAT ポリシー」ページで統計アイコンにマウス ポインタを合わせることによってチェックを行えます。ポリシーが正しく設定されていない場合には、受信バイトと送信バイトの統計情報はまったく表示されませんが、正常に機能している場合は、負荷分散対象リソースに対する外部からのアクセスが成功するたびに、これらのバイト数が増加するのを確認できます。
最後に、ログと状況のページをチェックして、オフラインのホストがあることを示すネットワーク監視からの (黄色の) 警告が表示されていないか確認する必要があります。正常にアクセスできない場合は、負荷分散用に設定されているすべてのリソースが SonicWALL から到達不能になっているおそれがあり、その場合には、それらのリソースがオフラインでサービス停止の状態にあることが監視メカニズムによって検出されている可能性があります。負荷分散用のリソース、およびそれらと SonicWALL の間のネットワーク接続の状態をチェックして、それらが正常に機能していることを確認してください。