NAPT を使用するパートナー企業モデルは、NAT を使用するパートナー企業モデルを変更して、パートナー企業の内部ネットワークの前にある NAT デバイスを NAPT デバイスで置き換えています。
このモデルの説明では、以下のステートメントおよび概念を取り扱います。
パートナー企業モデルでは、両方のパートナー企業が各自の内部ネットワーク内でパブリック IP アドレスを使用するネットワーク・トポロジーを想定していました。NAT を使用するパートナー企業モデルでは、パートナー企業モデルを変更して、各パートナー企業のプライベート・ネットワークの前に NAT デバイスを配置して、各プライベート・ネットワークにプライベート・アドレッシングを組み込んでいます。両方の NAT デバイスは、静的 1 対 1 アドレス・マッピングを使用しています。
NAPT を使用するパートナー企業モデルは、NAT を使用するパートナー企業モデルを変更して、パートナー企業の内部ネットワークの前にある NAT デバイスを NAPT デバイスで置き換えています。NAPT デバイスは、複数対 1 のアドレスおよびポート・マッピングを使用します。 z/OS® ホストの前にある NAT は、引き続き静的 1 対 1 アドレス・マッピングを使用します。
図 1 は、NAPT トポロジーを使用するパートナー企業を示しています。
NAPT 使用のパートナー企業モデルには、NAT 使用のパートナー企業モデルと同じ基本的セキュリティー要件があります。1 つの相違点は、Enterprise Extender (EE) トラフィック用の IPSec 保護が、例から除去されていることです。 EE トラフィックは、IPSec 保護の有無にかかわらず、NAPT の使用と互換性がありません。詳しくは、NAT トラバース時の Enterprise Extender に関する考慮事項を参照してください。
この例には、静的 1 対 1 アドレス・マッピングから NAPT マッピングへの変更によって影響を受ける構成ステップのみが含まれています。NAPT 使用のパートナー企業モデルの場合に追加または変更される構成ステートメントは、太字で示されています。この例では、パートナー企業 1 (PCO1) のポリシーについて記述しています。
この例で仮定していることは、静的 1 対 1 アドレス・マッピングを使用して、NAPT 背後の非トラステッド・ゾーン B 内のパートナー企業 (PCO2) (9.4.4.4) から、接続ネットワーク経由で、NAT 背後のこのホスト上のサーバーへのネットワーク通信を使用可能にするために、以下の要件を満たす必要があるとします。
パートナー企業の内部ネットワーク (ゾーン B) の前に NAPT がある場合、NAT 使用のパートナー企業ポリシーから、これらの要件を満たすために以下の変更を加える必要があります。
以下に示すのは、すべてのオブジェクトおよびそれぞれの参照も含めて、完全に構成されたポリシーです。
# IpFilterPolicy for secure public server
IpFilterPolicy
{
PreDecap off
IpFilterGroupRef ZoneB
}
KeyExchangePolicy
{
AllowNat Yes
NatKeepAliveInterval 0
KeyExchangeRuleRef ZoneB_KeyExRule1
}
###### All re-usable statements follow #######
IpFilterGroup ZoneB
{
IpFilterRuleRef ZoneB-Permitted-traffic
IpFilterRuleRef FTPServer-ZoneB #IPSec-protected
}
######################################
# IpFilterRules #
# defines: #
# data endpoints #
# Allowed services #
# Actions (permit, deny, ipsec) #
######################################
IpFilterRule ZoneB-Permitted-traffic
{
IpSourceAddrRef PrivateServerAddress
IpDestAddrRef ZoneB
IpServiceRef IKE-local-500
IpServiceRef IKE-local-4500
IpServiceGroupRef SecureFTPServer
IpGenericFilterActionRef permit-nolog
}
IpFilterRule FTPServer-ZoneB
{
IpSourceAddrRef PrivateServerAddress
IpDestAddrRef ZoneB
IpServiceGroupRef FTPServer
IpGenericFilterActionRef ipsec-nolog
IpDynVpnActionRef FTP-vpnaction
}
####################
# IpService groups #
####################
IpServiceGroup FTPServer
{
IpServiceRef FTPServer-Control
IpServiceRef FTPServer-Data-Passive
}
IpServiceGroup SecureFTPServer
{
IpServiceRef SecureFTPServer-Control
IpServiceRef SecureFTPServer-Data-Passive
}
##################################
# Services provided by this host #
##################################
IpService IKE-local-500
{
SourcePortRange 500
DestinationPortRange 0
Protocol UDP
Direction bidirectional
Routing local
SecurityClass 0
}
IpService IKE-local-4500
{
SourcePortRange 4500
DestinationPortRange 0
Protocol UDP
Direction bidirectional
Routing local
SecurityClass 0
}
IpService SecureFTPServer-Control
{
SourcePortRange 990
DestinationPortRange 1024 65535
Protocol tcp
Direction bidirectional InboundConnect
Routing local
SecurityClass 0
}
IpService SecureFTPServer-Data-Passive
{
SourcePortRange 50201 50400
DestinationPortRange 1024 65535
Protocol tcp
Direction bidirectional InboundConnect
Routing local
SecurityClass 0
}
IpService FTPServer-Control
{
SourcePortRange 21
DestinationPortRange 1024 65535
Protocol tcp
Direction bidirectional InboundConnect
Routing local
SecurityClass 0
}
IpService FTPServer-Data-Passive
{
SourcePortRange 50000 50200
Protocol tcp
Direction bidirectional InboundConnect
Routing local
SecurityClass 0
}
######################
# Security Endpoints #
######################
LocalSecurityEndpoint Local_IKED
{
Identity Fqdn Server.PCO1.example.com
Location 10.1.1.1
}
RemoteSecurityEndpoint ZoneB_IKED
{
Identity Fqdn *.PCO2.example.com
Location 9.4.4.4
CaLabel CA4PartnerCompany
}
##########################
# Generic filter actions #
##########################
IpGenericFilterAction permit-nolog
{
IpFilterAction permit
IpFilterLogging no
}
IpGenericFilterAction ipsec-nolog
{
IpFilterAction ipsec
IpFilterLogging no
}
##################################
# Key Exchange offers #
# defines: #
# Authentication type #
# Encryption type #
# Peer authentication method #
# Refresh limits #
##################################
KeyExchangeOffer RSA-SHA1-3DES-DH2
{
HowToEncrypt 3DES
HowToAuthMsgs SHA1
HowToAuthPeers RsaSignature
DHGroup Group2
RefreshLifetimeProposed 480
RefreshLifetimeAccepted 240 1440
RefreshLifesizeProposed none
RefreshLifesizeAccepted none
}
##################################
# Key Exchange Actions #
# defines: #
# Negotiation mode #
# List of Key exchange offers #
##################################
KeyExchangeAction Main-RSA-SHA1-3DES-DH2
{
HowToInitiate main
HowToRespondIKEv1 main
KeyExchangeOfferRef RSA-SHA1-3DES-DH2
}
######################################
# KeyExchangeRules #
# defines: #
# A pair of security endpoints #
# permitted in IKE negotiations #
######################################
KeyExchangeRule ZoneB_KeyExRule1
{
LocalSecurityEndpointRef Local_IKED
RemoteSecurityEndpointRef ZoneB_IKED
KeyExchangeActionRef Main-RSA-SHA1-3DES-DH2
}
############################
# Data Offers #
# defines: #
# Encapsulation mode #
# Authentication type #
# Encryption type #
# Refresh limits #
############################
### Authenticated offer ###
IpDataOffer TRAN-ESPSHA-NOENCR
{
HowToEncap Transport
HowToEncrypt DoNot
HowToAuth ESP HMAC_SHA1
RefreshLifetimeProposed 240
RefreshLifetimeAccepted 120 480
RefreshLifesizeProposed none
RefreshLifesizeAccepted none
}
##############################
# Dynamic VPN Actions #
# defines: #
# Initiation role #
# Pfs group #
# Lifetime of connection #
# List of Data offers #
##############################
IpDynVpnAction FTP-vpnaction
{
Initiation remoteonly
InitiateWithPfs group2
AcceptablePfs group2
VpnLife 1440
IpDataOfferRef TRAN-ESPSHA-NOENCR
}
################
# IP addresses #
################
IpAddr PrivateServerAddress
{
Addr 10.1.1.1
}
IpAddr ZoneB
{
Addr 9.4.4.4
}