ゲートウェイ配下に設置したCato SocketにSNATの設定をして非対称ルーティングを解消してみた
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cato NetworksのSNAT機能を使用して非対称ルーティングを解消する方法についてご紹介します。
想定するネットワーク構成
今回、非対称ルーティングが発生してしまうネットワーク構成として下図を想定しています。

- Cato Socketとインターネットの間にFirewallやルータが存在しており、NWのゲートウェイとして導入している
- サーバのデフォルトゲートウェイが第三者Firewallやルータに設定されている
上記の場合
サーバからの戻りの通信が直接ゲートウェイである、FW/ルータに送信され、Cato Socketを通らずにインターネットへ送られてしまう。
Cato SocketでSNAT設定をすることで、上記のような非対称ルーティングを解消することができます。

SNATの設定方法
Cato Management Access(CMA)からNATの設定を行います。
CMAから[Network]>[Site]の画面を開き、NAT設定を行う拠点を選択します。
拠点のSite Configuration画面に移動したら、[Site Configuration]>[ROUTING]>[NAT]を選択します。

NAT Policy Enableを選択してNAT機能を有効化します


NATポリシーを作成します。
[New]をクリックし、NATルール作成画面を開きます。

[General]
Name ,Rule Orderにそれぞれポリシー名とポリシー番号を入力します

[NAT Action]
Translate Source IPにチェックを入れ、SNATのIPアドレスを入力します。
入力したIPアドレスが変換後の送信元IPアドレスになります。
その他の設定はデフォルトのまま[Apply]をクリックして設定を保存します。

最後に、編集したNATルールを保存するため[Save]をクリックします。

疎通確認
SNATの設定を行うことで非対称ルーティングが解消され、サーバからの戻りの通信もCato Socketを通るようになったことを確認します。
社外ネットワークに接続しているクライアントから社内ネットワークのサーバへ疎通確認を行います。

<SNAT設定前>

<SNAT設定後>
クライアント⇔サーバで疎通が確認できました。

CMA上のイベントログでは送信元がデフォルトのクライアントIP範囲であることが確認できます。


パケットキャプチャを確認すると、送信元が設定した[192.168.222.30]に変換されていることが分かります。

まとめ
- SNAT機能を有効化することで送信元IPを変換することができる
- SNATをすることで、クライアント⇔サーバ間の非対称ルーティングが解消できる
今回はCato NetworksのSNAT機能についてご紹介しました。