リモート・ピアが NAT の背後にある場合、TCP および UDP 接続用として、NAT 解決フィルター (NRF) と呼ばれる接続レベルのフィルター構造も作成されます。NATT アンカー・フィルターと NATT 動的フィルターが作成されるのは、フェーズ 2 のセキュリティー・アソシエーション作成時点ですが、これとは異なり、NRF が作成されるのは、フェーズ 2 のセキュリティー・アソシエーションを介した接続で最初のインバウンド・パケットの受信時点です。NRF には、単一のソースおよび宛先 IP アドレス、単一のソースおよび宛先ポート値、および単一のプロトコルが含まれています。この接続レベル・フィルターは、アウトバウンド・データに使用されるフェーズ 2 セキュリティー・アソシエーションを判別するために必要です。NAT 解決フィルターのサンプル表示については、ipsec コマンドによるアクティブ・フィルターの表示を参照してください。