NATセッション数の上限と制限

NATセッションは仕様上の最大数により制限されるほか、一部利用者による占有を防ぐための制限機能があります。

NATルールとNATセッション

natコマンドで設定されたNAT/NAPTのコンフィグは、NATルールとして保持されます。このNATルールにマッチする通信が発生するとNATセッションが生成され、セッションにマッチする通信のIPアドレスやポート番号の変換が行われます。

保持できるNATセッション数には上限があり、NATルールの数(NAT設定行数)はこれに含まれません。

NATセッションの状態は"show status nat"コマンドで参照できます。

NATセッション数の上限
機種 上限
SEIL/B1 4096
SEIL/X1 16384
SEIL/X2 32768
SEIL/x86 Fuji 65536
SEIL/BPV4 65536

NATセッション数超過時の処理

保持しているNATセッション数が最大値に達すると、新たなNATセッションは生成できません

その際、ログに"nat session is full"を記録し、当該パケットは破棄されます。

NATセッション保持数の制限

少数の端末による多数のNATセッションの占有を防ぐため、NATセッションの保持数を制限できます。

プライベート側IPアドレスによる制限
プライベート側IPアドレス一つあたりに許可する保持数の上限を設定できます。LAN内の特定のホストがPeer to Peerアプリケーション等により多数のホストとのセッションを維持するような場合に効果があります。
送信元IPアドレスによる制限
NATセッション生成の基点となるソースIPアドレス一つあたりに許可する保持数の上限を設定できます。単一のホストが多数のホスト宛に送信を行うことによる占有に上限を設けることができます。多数のホストから単一ホストへの受信に対しては効果がありません。