IP : IP アドレッシング サービス

ip nat outside source static コマンドを使用した設定例

2006 年 6 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 6 月 1 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
要約
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントには、ip nat outside source static コマンドを使用した設定例が記載されています。また、NAT プロセスにおいて IP パケットがどのように処理されるかについても簡単に説明しています。 例として、このドキュメントで示されているネットワーク トポロジを取り上げます。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

詳細については、このドキュメントの「関連情報」のセクションを参照してください。

使用するコンポーネント

このドキュメントの情報は、Cisco IOS(R) ソフトウェア リリース 12.2(27) が稼働する Cisco 2500 シリーズ ルータに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報について記載しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

2a.gif

ネットワーク構成
※ 画像をクリックすると、大きく表示されます。

ルータ 2514W の Loopback1 インターフェイスからルータ 2501E の Loopback0 インターフェイスに PING を発行した際に発生する状況を次に示します。

ルータ 2514X の外部インターフェイス(S1)で、この PING パケットの Source Address(SA; 発信元アドレス)が 172.16.89.32 に、Destination Address(DA; 宛先アドレス)が 171.68.1.1 に設定されています。 NAT により、SA が(ルータ 2514X で設定された ip nat outside source static コマンドに従って外部ローカル アドレス 171.68.16.5 に変換されます。 ルータ 2514X は自身のルーティング テーブルを参照して 171.68.1.1 へのルートを探します。 このルートが存在しない場合は、そのパケットはルータ 2514X により廃棄されます。 この例の場合、ルータ 2514X には 171.68.1.0 へのスタティック ルートを経由する 171.68.1.1 へのルートがあるので、 パケットは宛先に転送されます。 ルータ 2501E では、着信インターフェイス(E0)で、このパケットの SA が 171.68.16.5 に、DA が 171.68.1.1 に設定されていることが確認されます。 ルータ 2501E は応答として Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)エコー応答を 171.68.16.5 に送信します。 このアドレスへのルートが存在しない場合、パケットは廃棄されますが、 この例では(デフォルト)ルートがあります。 したがって、ルータ 2514X に応答パケットが送信されます。このパケットの SA は 171.68.1.1 に、DA は 171.68.16.5 に設定されます。 ルータ 2514X はこのパケットを受信すると、171.68.16.5 へのルートが存在するかどうかをチェックします。 ルートが存在しない場合は、ICMP 到達不能応答を返します。 この例では、171.68.16.5 へのルートは存在します(スタティック ルートを使用)。 したがって、このパケットは元の 172.16.89.32 アドレスに変換されて、外部インターフェイス(S1)に転送されます。

設定例

このドキュメントでは、次の設定を使用しています。

ルータ 2514W
hostname 2514W 
! 


!--- 出力を省略。

interface Loopback1 
 ip address 172.16.89.32 255.255.255.0 
! 
interface Ethernet1 
 no ip address 
 no ip mroute-cache 
! 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
! 

!--- 出力を省略。

ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- パケットを 2514X に転送するデフォルト ルート。

!


!--- 出力を省略。

ルータ 2514X
hostname 2514X 
! 


!--- 出力を省略。

ip nat outside source static 172.16.89.32 171.68.16.5 

!--- 外部ローカル アドレス。

! 


!--- 出力を省略。

interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 

!--- Ethernet 1 を NAT 内部インターフェイスとして定義しています。

 no ip mroute-cache 
 no ip route-cache 
! 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 no ip route-cache 
 ip nat outside 

!--- Serial 1 を NAT 外部インターフェイスとして定義しています。

 clockrate 2000000 



! 


!--- 出力を省略。

ip classless  
ip route 171.68.1.0 255.255.255.0 171.68.192.201 
ip route 171.68.16.0 255.255.255.0 172.16.191.254 

!--- 2514E および 2514W のループバック インターフェイスに到達するための


!--- スタティック ルート。

!


!--- 出力を省略。

ルータ 2501E
hostname rp-2501E 
! 


!--- 出力を省略。

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 


!--- 出力を省略。

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- パケットを 2514X に転送するデフォルト ルート。

!


!--- 出力を省略。


確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

変換エントリを確認するには、次の出力に示すように show ip nat translations コマンドを使用します。

2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                171.68.16.5        171.16.89.32
2514X#

トラブルシューティング

この例では、NAT プロセスを説明するために、NAT 変換デバッグと IP パケット デバッグを使用しています。

注:debug コマンドは大量の出力を生成するので、システムの他の機能に影響を与えないように、IP ネットワークのトラフィック量が少ない時間帯にのみ実行してください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

この出力は、ルータ 2514W の loopback1 インターフェイスのアドレス(172.16.89.32)からルータ 2501E の loopback0 インターフェイスのアドレス(171.68.1.1)に PING を発行し、ルータ 2514X で debug ip packet コマンドと debug ip nat コマンドを同時に実行した場合の結果です。

この出力は、ルータ 2514X の外部インターフェイスに到達した最初のパケットを示しています。 発信元アドレスは 172.16.89.32 から 171.68.16.5 に変換されます。 この ICMP パケットは Ethernet1 インターフェイスから宛先に転送されます。

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

この出力では、171.68.1.1 からのリターン パケットの宛先アドレスが 171.68.16.5 から 172.16.89.32 に変換されることが示されています。 変換後の ICMP パケットは Serial1 インターフェイスから転送されます。

5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

ICMP パケットの交換は継続されます。 このデバッグ出力の NAT プロセスは、上の出力と同じです。

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

要約

パケットが外部から内部に移動する場合は、先に変換が行われてから、ルーティング テーブルで宛先がチェックされます。 パケットが内部から外部に移動する場合は、先にルーティング テーブルで宛先がチェックされてから、変換が行われます。 詳細については、『NAT の処理順序』を参照してください。

このドキュメントで説明した各コマンドを使用する場合、IP パケットのどの部分が変換されるかに注意することが重要です。 次の表にガイドラインを示します。

コマンド アクション

ip nat outside source static

  • 外部から内部へ移動する IP パケットの発信元を変換します。

  • 内部から外部へ移動する IP パケットの宛先を変換します。

ip nat inside source static

  • 内部から外部へ移動する IP パケットの発信元を変換します。

  • 外部から内部へ移動する IP パケットの宛先を変換します。


これらのガイドラインは、パケットの変換方法が複数あることを示しています。 実際のニーズに応じて、NAT インターフェイスの定義方法(内部あるいは外部)と、変換前または変換後にはルーティング テーブルにどのようなルートが含まれるべきかを決定する必要があります。 パケットのどの部分が変換されるかは、パケットの移動方向と NAT の設定によって決定されるということを常に念頭に置いてください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報