IP : ネットワーク アドレス変換(NAT)

Optimized Edge Routing を使用した 2 つのインターネット接続に対する IOS NAT ロード バランシング

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 23 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は Cisco IOS のための設定を説明したものですか。 2 つの ISP 接続を通してネットワークアドレス変換とインターネットにネットワークを接続するルータ。 Cisco IOS ソフトウェアのネットワーク アドレス変換(NAT)では、特定の宛先までの等価コスト ルートが複数ある場合、複数のネットワーク接続を介して後続の TCP 接続および UDP セッションを分散できます。 いずれかの接続が使用不能になった場合は、Optimized Edge Routing(OER)のコンポーネントであるオブジェクト追跡を使用して、その接続が再度使用可能になるまでルートを無効にすることにより、インターネット接続の不安定性や信頼性の低さに関係なくネットワークの稼働率を確保できます。

/image/gif/paws/99427/ios-nat-2isp-1.gif

前提条件

要件

この資料は機能 LAN および WAN 接続があると仮定します; それは設定か最初の接続を確立するためにトラブルシューティング バックグラウンドを提供しません。

  1. このドキュメントでは、ルート間で差別化を行う方法については説明していないので、一方の接続を他方の接続よりも優先的に使用する方法は記載されていません。

  2. このドキュメントでは、ISP の DNS サーバの到達可能性に基づいていずれかのインターネット ルートを有効または無効にする OER の設定について説明しています。 1 つ ISP 接続のみを介して到達可能で、その ISP 接続が使用不能になると稼働できない特定のホストを識別する必要があります。

使用するコンポーネント

この設定は、Cisco 1811 ルータと 12.4(15)T Advanced IP Services ソフトウェアを使用して開発されました。 他のソフトウェア バージョンを使用する場合は、一部の機能を使用できない場合や、使用するコマンドがこのドキュメントに示されているコマンドと異なる場合があります。 同様の設定はすべての Cisco IOS ルータ プラットフォームで使用できますが、多くの場合、インターフェイス設定はプラットフォームごとに異なります。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

特定のトラフィックが常に 1 つの ISP 接続を使用するようにするには、ポリシーベース ルーティングを追加する必要がある場合があります。 この動作を必要とするトラフィックの例には、IPSec VPN クライアント、VoIP 受話器、および 1 つの ISP 接続オプションのみを使用して同じ IP アドレスに高速かつ低遅延で到達するその他のトラフィックが含まれます。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/99427/ios-nat-2isp-2.gif

設定

ネットワーク ダイアログに示すように、この設定例では、DHCP が設定された 1 つの ISP への IP 接続(FastEthernet 0)と、他の ISP 接続で PPPoE 接続を使用するアクセス ルータについて説明しています。 オブジェクト追跡と OER またはポリシーベース ルーティングを DHCP が割り当てられたインターネット接続とともに使用しない限り、これらの接続タイプによる設定への特別な影響はありません。 これらのケースでは、ポリシー ルーティングまたは OER にネクスト ホップ ルータを定義することが非常に困難です。

ルータの設定例
track timer interface 5
!
! Configure timers on route tracking
!
track 123 rtr 1 reachability
 delay down 15 up 10
!
track 345 rtr 2 reachability
 delay down 15 up 10
!
! Use “ip dhcp client route track [number]” 
   ! to monitor route on DHCP interfaces
! Define ISP-facing interfaces with “ip nat outside”
!
interface FastEthernet0
 ip address dhcp
 ip dhcp client route track 345
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet1
 no ip address
 pppoe enable
 no cdp enable
!
interface FastEthernet2
 no cdp enable
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 no cdp enable
!
interface FastEthernet5
 no cdp enable
!
interface FastEthernet6
 no cdp enable
!
interface FastEthernet7
 no cdp enable
!
interface FastEthernet8
 no cdp enable
!
interface FastEthernet9
 no cdp enable
!
! Define LAN-facing interfaces with “ip nat inside”
!
interface Vlan1
 description LAN Interface
 ip address 192.168.108.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
! Define ISP-facing interfaces with “ip nat outside”
!
Interface Dialer 0
 description PPPoX dialer
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 ip tcp adjust-mss
!
ip route 0.0.0.0 0.0.0.0 dialer 0 track 123
!
! Configure NAT overload (PAT) to use route-maps
!
ip nat inside source route-map fixed-nat
   interface Dialer0 overload
ip nat inside source route-map dhcp-nat 
   interface FastEthernet0 overload
!
! Configure an OER tracking entry 
   ! to monitor the first ISP connection
!
ip sla 1
 icmp-echo 172.16.108.1 source-interface Dialer0
 timeout 1000
 threshold 40
 frequency 3
!
! Configure a second OER tracking entry 
   ! to monitor the second ISP connection
!
ip sla 2
 icmp-echo 172.16.106.1 source-interface FastEthernet0
 timeout 1000
 threshold 40
 frequency 3
!
! Set the SLA schedule and duration
!
ip sla schedule 1 life forever start-time now
ip sla schedule 2 life forever start-time now
!
! Define ACLs for traffic that 
   ! will be NATed to the ISP connections
!
access-list 110 permit ip 192.168.108.0 0.0.0.255 any
!
! Route-maps associate NAT ACLs with NAT 
   ! outside on the ISP-facing interfaces
!
route-map fixed-nat permit 10
 match ip address 110
 match interface Dialer0
!
route-map dhcp-nat permit 10
 match ip address 110
 match interface FastEthernet0 

DHCP 割り当てルート トラッキングを使用する場合:

DHCP 割り当てルート トラッキングの設定例(オプション)
interface FastEthernet0
 description Internet Intf
 ip dhcp client route track 123
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 speed 100
 full-duplex
 no cdp enable

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show ip nat translation:NAT Inside ホストと NAT Outside ホストの間の NAT アクティビティを表示します。 このコマンドを使用すると、Inside ホストが両方の NAT Outside アドレスに変換されることを確認できます。

    Router# sh ip nat tra
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22
    tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80
    tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445  172.16.102.11:445
    Router#
    
  • show ip route:インターネットへのルートが複数存在することを確認します。

    Router# sh ip route
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, 
           L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, 
           U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is 172.16.108.1 to network 0.0.0.0
    
    C    192.168.108.0/24 is directly connected, Vlan1
         172.16.0.0/24 is subnetted, 2 subnets
    C       172.16.108.0 is directly connected, 
            FastEthernet4
    C       172.16.106.0 is directly connected, Vlan106
    S*   0.0.0.0/0 [1/0] via 172.16.108.1
                   [1/0] via 172.16.106.1
    Router#
    

トラブルシューティング

Cisco IOS ルータで NAT をした後に接続が機能しない場合は、次のことを確認してください。

  • Outside インターフェイスと Inside インターフェイスで NAT が適切に適用されている。

  • NAT 設定が完全であり、NAT を適用する必要があるトラフィックが ACL に反映されている。

  • インターネットおよび WAN への利用可能なルートが複数存在する。

  • ルート トラッキングを使用してインターネット接続が使用可能であることを確認する場合は、ルート トラッキングの状態を確認します。


関連情報


Document ID: 99427