図 1 は、セキュリティー・ゲートウェイとホストのどちらも NAT の背後にある構成を示しています。また、z/OS® は、1 つのエンドポイントのみ (セキュリティー・ゲートウェイまたは z/OS ホストのいずれか) が NAT の背後にある場合に、レスポンダー・モードで機能することもサポートします。z/OS ホスト (レスポンダーとして機能する) の前に NAT デバイスがある場合、NAT のアドレス・マッピングは静的でなければなりません。セキュリティー・ゲートウェイの前に NAT デバイスがある場合は、NAT のアドレス・マッピングは静的でも、動的でもかまいません。動的マッピングは、1 対 1 のアドレス変換または複数対 1 のアドレス・ポート変換 (NAPT) のどちらかを使用できます。
図 1 では、クライアントとセキュリティー・ゲートウェイが別々のデバイスとして示されています。ただし、単一の IP アドレス以外の何か (例えば一定範囲の IP アドレス) を保護するようにセキュリティー・アソシエーションをネゴシエーションする時は必ず、そのセキュリティー・アソシエーションをネゴシエーションするその IKE デーモンが、セキュリティー・ゲートウェイとして機能します。
セキュリティー・ゲートウェイが NAT の背後にある場合は、NAT 背後の個々のホストを識別することができません。使用可能な NAT アドレスが 1 つだけである場合は、セキュリティー・ゲートウェイ (GW) と z/OS 間でネゴシエーションされるすべてのセキュリティー・アソシエーションは、その NAT アドレスを使用してネゴシエーションされ、同じセキュリティー特性を持つことになります。セキュリティー・ゲートウェイ背後のトラフィックを保護するために複数のセキュリティー特性が必要な場合は、z/OS が個々の NAT アドレスに基づいてポリシーを検出可能となるように、より多くの NAT アドレスが必要になります。