ダイヤルとアクセス : 総合デジタル通信網(ISDN)、個別線信号方式(CAS)

ip nat outside source list コマンドを使用した設定例

2008 年 2 月 27 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 24 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
要約
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、ip nat outside source list コマンドを使用した設定例が紹介され、NAT プロセス中に IP パケットがどのように処理されるかについて簡単に説明されています。 このコマンドを使用して、ネットワークの外部からネットワークの内部に送信される IP パケットの送信元アドレスを変換できます。 この処理によって、ネットワークの内部から外部へと、反対の方向に送信される IP パケットの宛先アドレスが変換されます。 このコマンドは、オーバーラップするネットワーク(内部のネットワーク アドレスがネットワークの外部アドレスにオーバーラップする)などの状況で役に立ちます。 例として、下記のネットワーク ダイアグラムを取り上げます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 ただし、このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 2500 シリーズ ルータ

  • すべてのルータで実行される Cisco IOS(R) ソフトウェア リリース 12.2(24a)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定から作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

1a.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

ルータ 2514W の Loopback0 インターフェイス(172.16.88.1)からルータ 2501E の Loopback0 インターフェイス(171.68.1.1)への ping を実行すると、次の事象が発生します。

デフォルト ルートを使用して設定されているため、ルータ 2514W によりパケットがルータ 2514X に転送されます。 ルータ 2514X の外部インターフェイスに到達したパケットには、送信元アドレス(SA)として 172.16.88.1、宛先アドレス(DA)として 171.68.1.1 が設定されています。 SA が access-list 1(ip nat outside source list コマンドで使用される)で許可されている場合、SA は NAT プール Net171 にあるアドレスに変換されます。 ip nat outside source list コマンドでは、NAT プール「Net171」が参照されていることに注意してください。 この場合、アドレスは、この NAT プールで最初に使用できるアドレスの 171.68.16.10 に変換されます。 変換後、ルータ 2514X では、ルーティング テーブル内で宛先が検索され、パケットがルーティングされます。 ルータ 2501E の着信インターフェイスに到達したパケットには、SA として 171.68.16.10、DA として 171.68.1.1 が設定されています。 ルータ 2501E ではこのパケットに応答するために、Internet Control Message Protocol(ICMP)エコー応答が 171.68.16.10 に送信されます。 このアドレスへのルートが存在しない場合、パケットは廃棄されます。 この例では、デフォルト ルートが設定されているため、SA 171.68.1.1 と DA 171.68.16.10 を使用して、ルータ 2514X にパケットが送信されます。 ルータ 2514X では、その内部インターフェイスでパケットを受信すると、アドレス 171.68.16.10 へのルートがチェックされます。 このアドレスへのルートが存在しない場合、ICMP 到達不能応答が返されます。 この例では、171.68.16.10 へのルートが存在するため、外部グローバル アドレスと外部ローカル アドレス間の変換に基づいてホスト ルートを追加する ip nat outside source コマンドの add-route オプションによって、パケットのアドレスが 172.16.88.1 に逆変換され、外部インターフェイスからパケットがルーティングされます。

設定例

ルータ 2514W
hostname 2514W 
!

!--- 出力を省略。
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- 出力を省略。
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- 出力を省略。
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- パケットを 2514X へ転送するデフォルト ルート。


!

!--- 出力を省略。


ルータ 2514X
hostname 2514X 
! 

!--- 出力を省略。

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- 出力を省略。
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- 変換に使用される外部ローカル アドレスを定義する NAT プール。 

!
ip nat outside source list 1 pool Net171 add-route

!--- NAT プールを使用して外部グローバル アドレスの変換を
!--- 設定します。  


ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- 2514W と 2501E でのループバック インターフェイスに到達するための
!--- スタティック ルート。
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- 変換される外部グローバル アドレスを定義するアクセス リスト。 


!

!--- 出力を省略。

!

ルータ 2501E
hostname 2501E 
! 

!--- 出力を省略。

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- 出力を省略。

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- パケットを 2514X へ転送するデフォルト ルート。


!

!--- 出力を省略。


確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

次の出力で示されているように、変換エントリを確認するために show ip nat translations コマンドを使用できます。

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

上記の出力には、ルータ 2514W の Loopback0 インターフェイス上のアドレスである外部グローバル アドレス 172.16.88.1 が外部ローカル アドレス 171.68.16.10 に変換されることが示されています。

次に示されているように、ルーティング テーブル エントリを確認するために show ip route コマンドを使用できます。

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

上記の出力には、ip nat outside source コマンドの add-route オプションに従って作成される、外部ローカル アドレス 171.68.16.10 の /32 ルートが示されています。 このルートは、ネットワークの内部から外部へ送信されるパケットのルーティングと変換に使用されます。


トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明しています。

次の出力は、ルータ 2514W の loopback0 インターフェイスのアドレス(172.16.188.1)からルータ 2501E の loopback0 インターフェイスのアドレス(171.68.1.1)に ping を発行中に、ルータ 2514X で debug ip packet コマンドと debug ip nat コマンドを実行した結果です。

*Mar 1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95] !--- 外部インターフェイスに到達する最初のパケット内の送信元アドレスが !--- 最初に変換されます。 *Mar 1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via RIB *Mar 1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len 100, forward !--- 変換された送信元アドレスを含む ICMP エコー要求パケットが !--- ルーティングされ、内部インターフェイス上に転送されます。 *Mar 1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via RIB !--- 内部インターフェイスに到達する ICMP エコー応答パケットが !--- 宛先アドレスに基づいて最初にルーティングされます。 *Mar 1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95] !--- 次に、パケット内の宛先アドレスが変換されます。 *Mar 1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1 00, forward !--- 変換された宛先アドレスを含む ICMP エコー要求パケットが !--- 外部インターフェイス上に転送されます。



上述の手順は、外部インターフェイス上で受信される各パケットで繰り返されます。

要約

ip nat outside source static コマンド(スタティック NAT)の代わりに ip nat outside source list コマンド(ダイナミック NAT)を使用した場合の大きな違いは、(NAT が設定された)ルータによってパケットの変換基準が確認されるまで、変換テーブルにエントリがない点にあります。 上記の例では、SA 172.16.88.1 を持つパケット(ルータ 2514X の外部インターフェイスに到達したパケット)は、ip nat outside source list コマンドで使用される基準、access-list 1 に適合しています。 このため、内部ネットワークから送信されるパケットがルータ 2514W の loopback0 インターフェイスと通信するためには、まず外部ネットワークからパケットが発信される必要があります。

この例には、重要事項が 2 点含まれています。

第 1 に、外部から内部へパケットが送られるときは、最初に変換が行われてから、ルーティング テーブル内で宛先がチェックされます。 内部から外部へパケットが送られるときは、最初にルーティング テーブル内で宛先がチェックされてから、変換が行われます。

第 2 に、上記の各コマンドを使用したときに、IP パケットのどの部分が変換されるかを確認することが重要です。 次の表に、ガイドラインを示します。

コマンド アクション

ip nat outside source list

  • 外部から内部へ送られる IP パケットの送信元が変換される。

  • 内部から外部へ送られる IP パケットの宛先が変換される。

ip nat inside source list

  • 内部から外部へ送られる IP パケットの送信元が変換される。

  • 外部から内部へ送られる IP パケットの宛先が変換される。


上記のガイドラインが示しているのは、パケットの変換方法が 1 通りではないということです。 固有のニーズに従って、NAT インターフェイスの定義方法(内部または外部)と、変換前後にルーティング テーブルに含まれる経路を決定する必要があります。 パケットの変換される部分は、パケットが送られる方向と、NAT の設定方法によって異なる点に留意してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13770