スイッチ : Cisco Catalyst 6500 シリーズ スイッチ

Catalyst 6500/6000 での NAT の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 23 日) | 英語版 (2015 年 9 月 19 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Catalyst 6500/6000 シリーズ スイッチでの Network Address Translation(NAT)の設定方法について説明しています。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

使用するコンポーネント

Cisco IOS を実行するこの文書に記載されている情報は Supervisor Engine 720 が付いている Cisco Catalyst 6500 シリーズ スイッチに基づいていますか。 CatOS ソフトウェア リリース 8.4(4) を実行する Cisco Catalyst 6500 シリーズ スイッチおよび Supervisor Engine II が付いているソフトウェア リリース 12.2(18)SXD6。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、Cisco Catalyst 6000 シリーズ スイッチにも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/97262/nat-cat665k-configex.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは、ラボ環境で使用された RFC 1918 のアドレスです。

Cisco IOS の設定例

この設定例では、インターフェイス FastEthernet 4/4 の IP アドレスをオーバーロードするように NAT が設定されています。 つまり、複数の Inside のローカル アドレスが同じグローバル アドレスに動的に変換されることになります。 この場合、インターフェイス FastEthernet 4/4 に割り当てられたアドレスが、これになります。

さらに、NAT は静的に TCPポート 25 (SMTP)のローカルアドレス 10.10.10.2 から送信されるパケットが interface fastethernet 4/4 IP アドレス TCPポート 2525 に変換されるように設定されます。 これが静的NATエントリであるので、外部の電子メール クライアントは 172.16.10.64 のグローバルアドレスに SMTP パケットを送信できます。 Outside ポートに 2525 が選択されているのは、サービス拒否(DoS)攻撃を防ぐためです。

ネイティブ モードの Catalyst 6500
6509sup720#show running-config 
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface FastEthernet 4/4 with an IP address and as a 
!--- NAT outside interface.

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside 
!--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside 
!--- interface.

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Specifies the translation for inside workstations and
!--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Specifies the static mapping for the outside email clients
!--- to access the inside email server.


!--- Refer to ip nat inside source for more details 
!--- on the command.

!
!
ip classless
no ip http server
!

!--- ACL 100 permits only the desired traffic for translation.

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4 
!
end

CatOS の設定例

ハイブリッド モードで稼働するスイッチの場合は、最初にスーパーバイザで VLAN を設定してから、MSFC で NAT 設定を適用する必要があります。 ハイブリッド モードでは特定のポートに IP アドレスを指定できないため、Outside のポート インターフェイスを持つ代わりに、インターフェイス VLAN を設定する必要があります。

スーパバイザ(スイッチ プロセッサ)のハイブリッドモード コンフィギュレーションの Catalyst 6500

!--- Configure VLAN 2, VLAN 3 and VLAN 4 on the Supervisor.


!--- Add VLAN 2.

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- Add VLAN 3.

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- Add VLAN 4.

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- Assign port fa4/4 to VLAN 4.

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

MSFC (ルートプロセッサ)のハイブリッドモード コンフィギュレーションの Catalyst 6500
MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!         
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 2 with an IP address and as a NAT inside 
!--- interface.

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines interface VLAN 3 with an IP address and as a NAT inside 
!--- interface.

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines interface VLAN 4 with an IP address and as a NAT outside
!--- interface.

!
ip nat inside source list 100 interface Vlan4 overload

!--- Specifies the translation for inside workstations and
!--- servers to access the outside world.

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Specifies the static mapping for the outside email clients
!--- to access the inside email server.


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 permits only the desired traffic for translation.

!
!
line con 0
line vty 0 4
 no login
!
!
end

確認

ここでは、設定が正常に動作していることを確認します。

アウトプット インタープリタ ツール(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show ip nat translations:アクティブな NAT 変換を表示します。

    Cat6k#show ip nat translations 
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---    
  • show ip access-list:すべての現在の IP アクセス リストの内容を表示します。

    Cat6k#show ip access-lists 
    Extended IP access list 100
        permit ip 10.10.10.0 0.0.0.255 any (32 matches)
        permit ip 10.10.20.0 0.0.0.255 any (22 matches)
        deny ip any any 
  • show ip nat statistics:NAT の統計情報を表示します。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug ip nat:IP NAT 機能によって変換された IP パケットの情報を表示します。

    Cat6k#debug ip nat
    IP NAT debugging is on
    Cat6k#
    *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
    *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]
  • clear ip nat translation ?:変換テーブルからダイナミック ネットワーク アドレス変換(NAT)による変換を削除します。

関連コマンド

  • ip nat:インターフェイスで送受信されるトラフィックが NAT 対象であることを指定します。

  • ip nat inside destination:Inside 宛先アドレスの NAT をイネーブルにします。

  • ip nat inside source:Inside 送信元アドレスの NAT をイネーブルにします。

  • ip nat outside source:Outside 送信元アドレスの NAT をイネーブルにします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97262