ゲートウェイ配下に設置したCato SocketにSNATの設定をして非対称ルーティングを解消してみた

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cato NetworksのSNAT機能を使用して非対称ルーティングを解消する方法についてご紹介します。

想定するネットワーク構成

今回、非対称ルーティングが発生してしまうネットワーク構成として下図を想定しています。

  • Cato Socketとインターネットの間にFirewallやルータが存在しており、NWのゲートウェイとして導入している
  • サーバのデフォルトゲートウェイが第三者Firewallやルータに設定されている

上記の場合

サーバからの戻りの通信が直接ゲートウェイである、FW/ルータに送信され、Cato Socketを通らずにインターネットへ送られてしまう。

Cato SocketでSNAT設定をすることで、上記のような非対称ルーティングを解消することができます。

SNATの設定方法

Cato Management Access(CMA)からNATの設定を行います。
CMAから[Network]>[Site]の画面を開き、NAT設定を行う拠点を選択します。

拠点のSite Configuration画面に移動したら、[Site Configuration]>[ROUTING]>[NAT]を選択します。

NAT Policy Enableを選択してNAT機能を有効化します

NATポリシーを作成します。

[New]をクリックし、NATルール作成画面を開きます。

[General]

Name ,Rule Orderにそれぞれポリシー名とポリシー番号を入力します

[NAT Action]

Translate Source IPにチェックを入れ、SNATのIPアドレスを入力します。

入力したIPアドレスが変換後の送信元IPアドレスになります。

その他の設定はデフォルトのまま[Apply]をクリックして設定を保存します。

最後に、編集したNATルールを保存するため[Save]をクリックします。

疎通確認

SNATの設定を行うことで非対称ルーティングが解消され、サーバからの戻りの通信もCato Socketを通るようになったことを確認します。

社外ネットワークに接続しているクライアントから社内ネットワークのサーバへ疎通確認を行います。

<SNAT設定前>

<SNAT設定後>

クライアント⇔サーバで疎通が確認できました。

CMA上のイベントログでは送信元がデフォルトのクライアントIP範囲であることが確認できます。

パケットキャプチャを確認すると、送信元が設定した[192.168.222.30]に変換されていることが分かります。

まとめ

  • SNAT機能を有効化することで送信元IPを変換することができる
  • SNATをすることで、クライアント⇔サーバ間の非対称ルーティングが解消できる

今回はCato NetworksのSNAT機能についてご紹介しました。