Hierarchical Navigation |
目次概要 概要このドキュメントには、ip nat outside source static コマンドを使用した設定例が記載されています。また、NAT プロセスにおいて IP パケットがどのように処理されるかについても簡単に説明しています。 例として、このドキュメントで示されているネットワーク トポロジを取り上げます。 前提条件要件この設定を開始する前に、次の要件が満たされていることを確認してください。 詳細については、このドキュメントの「関連情報」のセクションを参照してください。 使用するコンポーネントこのドキュメントの情報は、Cisco IOS(R) ソフトウェア リリース 12.2(27) が稼働する Cisco 2500 シリーズ ルータに基づくものです。 この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。 表記法ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 設定このセクションでは、このドキュメントで説明する機能を設定するために必要な情報について記載しています。 注: この資料が使用するコマンドのその他の情報を見つけるのにCommand Lookup Tool (登録ユーザだけ)を使用して下さい。 ネットワーク ダイアグラムこの文書では、次のネットワーク設定を使用します。
ルータ 2514W の Loopback1 インターフェイスからルータ 2501E の Loopback0 インターフェイスに PING を発行した際に発生する状況を次に示します。 ルータ 2514X の外部インターフェイス(S1)で、この PING パケットの Source Address(SA; 発信元アドレス)が 172.16.89.32 に、Destination Address(DA; 宛先アドレス)が 171.68.1.1 に設定されています。 NAT により、SA が(ルータ 2514X で設定された ip nat outside source static コマンドに従って)外部ローカル アドレス 171.68.16.5 に変換されます。 ルータ 2514x は、次にルーティング テーブルをチェックして 171.68.1.1 の経路を探します。 経路が存在しない場合、ルータ 2514x はパケットを廃棄します。 この例の場合、ルータ 2514X には 171.68.1.0 へのスタティック ルートを経由する 171.68.1.1 へのルートがあるので、 パケットは宛先に転送されます。 ルータ 2501E では、着信インターフェイス(E0)で、このパケットの SA が 171.68.16.5 に、DA が 171.68.1.1 に設定されていることが確認されます。 そして応答するために、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)エコー応答を 171.68.16.5 に送信します。 経路がない場合はパケットを廃棄します。 この例では(デフォルト)ルートがあります。 したがって、ルータ 2514X に応答パケットが送信されます。このパケットの SA は 171.68.1.1 に、DA は 171.68.16.5 に設定されます。 ルータ 2514x はパケットを受信して、171.68.16.5 アドレスへの経路をチェックします。 経路がない場合、ICMP 到達不能応答で応答します。 この例では、171.68.16.5 へのルートは存在します(スタティック ルートを使用)。 したがって、このパケットは元の 172.16.89.32 アドレスに変換されて、外部インターフェイス(S1)に転送されます。 設定このドキュメントでは以下の設定を使用しています。
検証このセクションを使用して、設定が正しく動作していることを確認します。 特定の show コマンドが、アウトプットインタープリタ(登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。 変換エントリを確認するには、次の出力に示すように show ip nat translations コマンドを使用します。 2514X#show ip nat translations Pro Inside global Inside local Outside local Outside global --- --- --- 171.68.16.5 171.16.89.32 2514X# トラブルシューティングこの例では、NAT プロセスを説明するために、NAT 変換デバッグと IP パケット デバッグを使用しています。 注: debug コマンドは大量の出力を生成するので、システムの他の機能に影響を与えないように、IP ネットワークのトラフィック量が少ない時間帯にのみ実行してください。 注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。 この出力は、ルータ 2514X の外部インターフェイスに到達した最初のパケットを示しています。 172.16.89.32 の送信元アドレスは 171.68.16.5 に変換されます。 ICMP パケットは Ethernet1 インターフェイス外部の送信先に向けて転送されます。 5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171] 5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed via RIB 5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201, len 100, forward 5d17h: ICMP type=8, code=0 この出力では、171.68.1.1 からのリターン パケットの宛先アドレスが 171.68.16.5 から 172.16.89.32 に変換されることが示されています。 その結果 ICMP パケットは シリアル1 インターフェイス外部へ転送されます。 5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed via RIB 5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171] 5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254, len 100, forward 5d17h: ICMP type=0, code=0 ICMP パケットの交換は継続されます。 このデバッグ出力の NAT プロセスは、上の出力と同じです。 5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172] 5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed via RIB 5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201, len 100, forward 5d17h: ICMP type=8, code=0 5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed via RIB 5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172] 5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254, len 100, forward 5d17h: ICMP type=0, code=0 5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173] 5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed via RIB 5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201, len 100, forward 5d17h: ICMP type=8, code=0 5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed via RIB 5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173] 5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254, len 100, forward 5d17h: ICMP type=0, code=0 5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174] 5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed via RIB 5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201, len 100, forward 5d17h: ICMP type=8, code=0 5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed via RIB 5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174] 5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254, len 100, forward 5d17h: ICMP type=0, code=0 5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175] 5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed via RIB 5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201, len 100, forward 5d17h: ICMP type=8, code=0 5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed via RIB 5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175] 5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254, len 100, forward 5d17h: ICMP type=0, code=0 まとめパケットが外部から内部に移動する場合は、先に変換が行われてから、ルーティング テーブルで宛先がチェックされます。 パケットが内部から外部へ移動するとき、まず送信先についてルーティング テーブルをチェックしてから次に変換が行われます。 詳細については、『NAT の処理順序』を参照してください。 このドキュメントで説明した各コマンドを使用する場合、IP パケットのどの部分が変換されるかに注意することが重要です。 次の表にガイドラインを示します。
これらのガイドラインは、パケットの変換方法が複数あることを示しています。 実際のニーズに応じて、NAT インターフェイスの定義方法(内部あるいは外部)と、変換前または変換後にはルーティング テーブルにどのようなルートが含まれるべきかを決定する必要があります。 パケットのどの部分が変換されるかは、パケットの移動方向と NAT の設定によって決定されるということを常に念頭に置いてください。 Cisco サポート コミュニティ - 特集対話関連情報
|
| 