Hierarchical Navigation |
目次概要 概要Cisco ルータでスタティックとダイナミックの両方の Network Address Translation(NAT; ネットワーク アドレス変換)コマンドを設定する必要がある場合があります。 このドキュメントでは、この設定方法と、設定例について説明します。 前提条件要件NAT の基本的な概念と動作について理解していれば役立ちます。 詳細については、このドキュメントの「関連情報」のセクションを参照してください。 使用するコンポーネントこのドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスを使用して作成されたものです。 このドキュメント内で使用されているデバイスはすべて、クリアな設定(デフォルト)から作業を始めています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。 表記法ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 NAT の設定ダイナミック NAT では、変換を必要とするトラフィックをルータが受信するまでは NAT テーブルにトランスレーションが存在しません。 ダイナミック トランスレーションにはタイムアウト時間があり、この時間を経過すると変換テーブルからトランスレーションが削除されます。 スタティック NAT では、スタティック NAT コマンドを設定したときからトランスレーションが NAT 変換テーブルに存在します。このトランスレーションは、スタティック NAT コマンドを削除するまで変換テーブルに存在し続けます。 次のネットワーク ダイアグラムに例を示します。 
NAT の設定例 前の図の NAT ルータでは、次のコマンドが設定されています。
OutsideA というデバイスの設定は次のとおりです。
InsideA というデバイスの設定は次のとおりです。
show ip nat translations コマンドを使用すると、変換テーブルの内容が次のように表示されます。 NATrouter#show ip nat translations Pro Inside global Inside local Outside local Outside global --- 172.16.131.1 10.10.10.1 --- --- 変換テーブルにはスタティック トランスレーションのみがリストされている点に注意してください。 このエントリは、内部グローバル アドレスを内部ローカル アドレスに戻します。これは、外部クラウドのデバイスがグローバル アドレス 172.16.131.1 宛てに送信したパケットが、ローカル アドレスが 10.10.10.1 である内部クラウドのデバイスに到達できることを意味します。 同じことが次のように表示されます。 outsideA#ping 172.16.131.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms NATrouter#debug ip nat 18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005] 18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005] 18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006] 18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006] 18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007] 18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007] 18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008] 18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008] 18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009] 18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009] access control list(ACL; アクセス コントロール リスト)7 によって許可された送信元アドレスのパケットが、ルータの内部インターフェイスによって受信されない限り、それ以外のトランスレーションは変換テーブルに生成も入力もされません。 しかし、ダイナミック トランスレーションがまだ 1 つも入力されていないため、外部デバイスは、たとえパケットをグローバル アドレス(172.16.131.2〜172.16.131.10)に送信しても、どの内部デバイス(10.10.10.1 以外)にも到達できません。 これらのグローバル アドレスの 1 つに宛てたパケットをルータが受信すると、ルータは変換テーブルから既存のトランスレーションを探します。 既存のトランスレーションがない場合は、ルータはパケットのルーティングを試みます。 NAT の動作の詳細については、『ip nat outside source list コマンドを使用した設定例』および『ip nat outside source static コマンドを使用した設定例』を参照してください。 上記のトポロジでは、ネットワークの内部デバイスと外部デバイスの間の通信が内部デバイスによってのみ開始される場合は、ダイナミック トランスレーションがうまく機能します。 しかし、外部から送信されたパケットを受信する必要がある内部ネットワークに電子メール サーバを追加するとどうなるでしょうか。 この場合は、外部の電子メール サーバが内部の電子メール サーバとの通信を開始できるように、スタティック NAT エントリを設定する必要があります。 上記の例で、電子メール サーバが 10.10.10.1 のローカル アドレスを持つデバイスであれば、すでにスタティック トランスレーションは存在します。 しかし、多くの場合は予備のグローバル アドレスが少ないため、NAT 用に単一のデバイスを静的に設定する必要がある場合は、次のような設定を使用できます。
上記の例では、Serial 0 の IP アドレスをオーバーロードするように NAT が設定されています。 これは、複数の内部ローカル アドレスを同じグローバル アドレス(このケースでは serial 0 に割り当てられたアドレス)ヘダイナミックに変換できることを意味します。さらに、NAT を静的に設定することによって、TCP ポートが 25(SMTP)のローカル アドレス 10.10.10.1 から送信されたパケットが、TCP ポートが 25 の serial 0 の IP アドレスに変換されます。これはスタティック NAT エントリであるため、外部にある電子メール サーバは、SMTP(TCP ポート 25)パケットをグローバル アドレス 172.16.131.254 に送信できます。 注:ダイナミック NAT とスタティック NAT の両方に同じグローバル アドレスを使用することは可能ですが、可能な限り異なるグローバル アドレスを使用することをお勧めします。 NAT 変換テーブルには次のエントリがあります。
debug ip nat の出力には、OutsideA デバイスが InsideA デバイスにアクセスするときの NAT 変換が次のように表示されます。
要約すると、ダイナミック NAT では、変換テーブルに NAT トランスレーションを作成するには、パケットが NAT ルータでスイッチングされる必要があります。 ip nat inside コマンドを使用する場合、これらのパケットは内部から送信される必要があります。 ip nat outside コマンドを使用する場合、これらのパケットは外部から送信される必要があります。 スタティック NAT ではパケットがルータでスイッチングされる必要はなく、トランスレーションは変換テーブルに静的(スタティック)に入力されます。 Cisco サポート コミュニティ - 特集対話関連情報 |
| 