スイッチ : Cisco Catalyst 6500 シリーズ スイッチ

Catalyst 6500/6000 での NAT の設定例

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 8 月 1 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      ネットワーク ダイアグラム
      Cisco IOS の設定例
      CatOS の設定例
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
      関連するコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco Catalyst 6500/6000 シリーズ スイッチでの Network Address Translation(NAT)の設定方法について説明しています。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

使用するコンポーネント

このドキュメントの情報は、Cisco IOS(R) ソフトウェア リリース 12.2(18)SXD6 が稼働するスーパーバイザ エンジン 720 を搭載した Cisco Catalyst 6500 シリーズ スイッチ、および CatOS ソフトウェア リリース 8.4(4) が稼働するスーパーバイザ エンジン II を搭載した Cisco Catalyst 6500 シリーズ スイッチに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco Catalyst 6000 シリーズ スイッチにも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

nat-cat665k-configex.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用された RFC 1918 でのアドレスです。

Cisco IOS の設定例

この設定例では、インターフェイス FastEthernet 4/4 の IP アドレスをオーバーロードするように NAT が設定されています。 つまり、複数の Inside のローカル アドレスが同じグローバル アドレスに動的に変換されることになります。 この場合、インターフェイス FastEthernet 4/4 に割り当てられたアドレスが、これになります。

さらに、TCP ポート 25(SMTP)のローカル アドレス 10.10.10.2 を送信元とするパケットが、TCP ポート 2525 のインターフェイス FastEthernet 4/4 の IP アドレスに変換されるように、NAT が静的に設定されています。これは静的な NAT エントリなので、Outside の E メール クライアントでは SMTP パケットをグローバル アドレス 172.16.10.64 宛てに作成できます。 Outside ポートに 2525 が選択されているのは、サービス拒否(DoS)攻撃を防ぐためです。

ネイティブ モードの Catalyst 6500
6509sup720#show running-config 
 Building configuration...
 Current configuration : 7524 bytes
 !
 version 12.2
 service timestamps debug datetime
 service timestamps log datetime msec localtime
 service password-encryption
 service counters max age 10
 !
 hostname 6509sup720
 !
 boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin
 !username maui-nas-05 password cisco

 !
no ip domain-lookup
!
no mls flow ip
no mls flow ipv6
spanning-tree mode pvst
!
redundancy
 mode sso
 main-cpu
!
!
interface FastEthernet4/4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- インターフェイス FastEthernet 4/4 に IP アドレスを定義して、
!--- これを NAT Outside インターフェイスとして定義します。

!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- インターフェイス VLAN 2 に IP アドレスを定義して、
!--- これを NAT Inside インターフェイスとして定義します。

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- インターフェイス VLAN 3 に IP アドレスを定義して、
!--- これを NAT Inside インターフェイスとして定義します。

!

ip nat inside source list 100 interface FastEthernet 4/4 overload

!--- Inside のワークステーションとサーバ用に
!--- Outside の世界にアクセスするための変換を指定します。

ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525

!--- Outside の E メール クライアント用に
!--- Inside の E メール サーバにアクセスするための静的なマッピングを指定します。


!--- コマンドについての詳細は『ip nat inside source』を
!--- 参照してください。

!
!
ip classless
no ip http server
!

!--- ACL 100 では、変換対象のトラフィックだけが許可されます。

access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any
!
line con 0
transport input none
line vty 0 4 
!
end

CatOS の設定例

ハイブリッド モードで稼働するスイッチの場合は、最初にスーパーバイザで VLAN を設定してから、MSFC で NAT 設定を適用する必要があります。 ハイブリッド モードでは特定のポートに IP アドレスを指定できないため、Outside のポート インターフェイスを持つ代わりに、インターフェイス VLAN を設定する必要があります。

ハイブリッド モードの Catalyst 6500

スーパーバイザ(スイッチ プロセッサ)での設定例

!--- スーパーバイザで VLAN 2、VLAN 3、VLAN 4 を設定します。


!--- VLAN 2 を追加します。

Catalyst6500> (enable) set vlan 2
VLAN 2 configuration successful


!--- VLAN 3 を追加します。

Catalyst6500> (enable) set vlan 3
VLAN 3 configuration successful


!--- VLAN 4 を追加します。

Catalyst6500> (enable) set vlan 4
VLAN 4 configuration successful


!--- VLAN 4 にポート fa4/4 を割り当てます。

Catalyst6500> (enable) set vlan 4 4/4
VLAN 4 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
4     4/4
Catalyst6500> (enable)

ハイブリッド モードの Catalyst 6500

MSFC(ルート プロセッサ)での設定例
MSFC#show running-config
Building configuration...

Current configuration : 1024 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin
!
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
redundancy
 high-availability
 single-router-mode
!
!         
!
!
!
interface Vlan2
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- インターフェイス VLAN 2 に IP アドレスを定義して、
!--- これを NAT Inside インターフェイスとして定義します。

!
interface Vlan3
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- インターフェイス VLAN 3 に IP アドレスを定義して、
!--- これを NAT Inside インターフェイスとして定義します。

!
interface Vlan4
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- インターフェイス VLAN 4 に IP アドレスを定義して、
!--- これを NAT Outside インターフェイスとして定義します。

!
ip nat inside source list 100 interface Vlan4 overload

!--- Inside のワークステーションとサーバ用に
!--- Outside の世界にアクセスするための変換を指定します。

ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525

!--- Outside の E メール クライアント用に
!--- Inside の E メール サーバにアクセスするための静的なマッピングを指定します。


ip classless
no ip http server
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 permit ip 10.10.20.0 0.0.0.255 any

!--- ACL 100 では、変換対象のトラフィックだけが許可されます。

!
!
line con 0
line vty 0 4
 no login
!
!
end

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show ip nat translations:アクティブな NAT 変換を表示します。

    Cat6k#show ip nat translations 
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 172.16.10.64:2525  10.10.10.2:25        ---                  ---    
    
  • show ip access-list:すべての現在の IP アクセス リストの内容を表示します。

    Cat6k#show ip access-lists 
    Extended IP access list 100
        permit ip 10.10.10.0 0.0.0.255 any (32 matches)
        permit ip 10.10.20.0 0.0.0.255 any (22 matches)
        deny ip any any 
    
  • show ip nat statistics:NAT の統計情報を表示します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明しています。

トラブルシューティングのためのコマンド

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug ip nat:IP NAT 機能によって変換された IP パケットの情報を表示します。

    Cat6k#debug ip nat
    IP NAT debugging is on
    Cat6k#
    *Mar  1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80]
    *Mar  1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81]
    *Mar  1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82]
    *Mar  1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83]
    *Mar  1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84]
    *Mar  1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]
    
  • clear ip nat translation *:変換テーブルからダイナミック ネットワーク アドレス変換(NAT)による変換を削除します。

関連するコマンド

  • ip nat:インターフェイスで送受信されるトラフィックが NAT 対象であることを指定します。

  • ip nat inside destination:Inside 宛先アドレスの NAT をイネーブルにします。

  • ip nat inside source:Inside 送信元アドレスの NAT をイネーブルにします。

  • ip nat outside source:Outside 送信元アドレスの NAT をイネーブルにします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97262