Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
DMVPN:NAT デバイスの背後に配置された スポーク間のダイナミック トンネル
DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル

機能情報の入手

この章の構成

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルに関する制約事項

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルについて

NAT デバイスの背後に配置されていないスポークに制限される DMVPN スポークツースポーク トンネリング

NHRP 登録

NHRP 解決

NAT デバイスとの NHRP スポークツースポーク トンネル

NHRP 登録プロセス

NHRP 解決および消去プロセス

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルの機能情報

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル 機能により、1 つまたは複数のスポークが Network Address Translation(NAT; ネットワーク アドレス変換)デバイスの背後に配置されていても、Next Hop Resolution Protocol(NHRP)スポークツースポーク トンネルを Dynamic Multipoint Virtual Private Network(DMVPN)に構築できます。

機能情報の入手

ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルの機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスしてください。Cisco.com のアカウントは必要ありません。

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルに関する制約事項

スポークが、スポーク間にトンネルを構築するには、他のスポークの NAT 後のアドレスを認識する必要があります。

NAT 環境でスポークツースポーク トンネリングを使用する際には、次の制約事項を考慮してください。

複数の NAT 変換 :パケットは、NonBroadcast Multiaccess(NBMA; 非ブロードキャスト マルチアクセス)DMVPN クラウドの複数の NAT デバイスを通過でき、宛先に到達するまでに、いくつかの(重要でない)変換を行います。最後のものが重要な変換になります。それを使用して、最後の NAT デバイスを介してスポークに到達するすべてのデバイスに、NAT 変換を作成するからです。

NAT 前のアドレスを使用して到達できるハブまたはスポーク :2 つ以上のスポークを同じ NAT デバイスの背後に配置できます。この NAT デバイスには、NAT 前の IP アドレスを使用して到達できます。トンネルが望ましくないパスをたどることがあっても、NAT 後の IP アドレスだけが信頼されます。両方のスポークが同じデバイスを介して NAT を使用する場合、パケットが NAT デバイスの想定どおりに移動(内側から外側に、あるいは外側から内側に)しないことがあり、変換が適切に行われないことがあります。

NAT 対応のデバイスと非 NAT 対応のデバイスとの相互運用性 :DMVPN を使用して配置されるネットワークでは、NHRP NAT 機能を使用するデバイスが非 NAT 対応のデバイスと連動することが重要です。NHRP パケット ヘッダーの機能ビットは、送信元デバイスが NAT 拡張部を認識するかどうか、任意の受信者に示します。

同一の NAT 変換 :スポークがそのハブおよび他のスポークと通信するとき、スポークの NAT 後の IP アドレスが同じである必要があります。たとえば、スポークが DMVPN ネットワーク内でトンネル パケットをいずれの場所に送信しても、スポークの NAT 後の IP アドレスは同じである必要があります。

NAT のタイプが共に PAT である 2 つの NAT デバイスのそれぞれの後にスポークが配置されている場合、その 2 つのスポーク間でセッションが開始されても、そのセッションは確立できません。

次に、NAT インターフェイスにおける PAT の 1 つの設定例を示します。

ip nat inside source list nat_acl interface FastEthernet0/1 overload

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルについて

次の項では、1 つまたは両方のスポーク デバイスが NAT デバイスの背後に配置されていても、DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル により、スポークツースポーク トンネルの構築を可能にする方法を示します。

「NAT デバイスの背後に配置されていないスポークに制限される DMVPN スポークツースポーク トンネリング」

「NAT デバイスとの NHRP スポークツースポーク トンネル」

NAT デバイスの背後に配置されていないスポークに制限される DMVPN スポークツースポーク トンネリング

NAT により、ルータなどの単一のデバイスは、インターネット(「パブリック ネットワーク」)とローカル(「プライベート」)ネットワークの間でエージェントとして機能します。また NAT が主に使用されるのは、利用可能な IP アドレスが不足している場合です。単一の一意の IP アドレスは、NAT デバイスの外部のすべてに対して全体のデバイス グループを表す必要があります。また、NAT はセキュリティおよび管理上の目的でも展開されます。

DMVPN ネットワークでは、スポークツースポーク トンネリングを構築できる場所は、NAT デバイスの背後に配置されていないスポークに制限されます。1 つまたは両方のスポークが NAT デバイスの背後に配置されている場合、スポークツースポーク トンネルを NAT デバイスに対して、または NAT デバイスから構築できません。これは、スポークツースポーク トンネル トラフィックに障害が発生したり、トラフィックが長時間失われる(「ブラックホール化」される)可能性があるためです。

図 1 および次の項では、スポークツースポークトンネリングが NAT デバイスの背後に配置されていないスポークに限定されている場合、DMVPN がどのように機能するか示します。

図 1 NAT デバイスの背後に配置されていないスポークに限定される DMVPN スポークツースポーク トンネリングの実装

 

NHRP 登録

NHRP 登録を受信するとハブは、NHRP パケットのカプセル化 GRE/IP ヘッダーの送信元 IP アドレスと、NHRP 登録パケットに含まれている送信元 NBMA IP アドレスを照合します。これらの IP アドレスが異なる場合、NHRP は、NAT によって外部 IP ヘッダー送信元アドレスが変更されていると認識します。ハブは、登録されたスポークの NAT 前のアドレスと NAT 後のアドレスの両方を保持します。


) 暗号化を使用する場合は、IPsec トランスポート モードを使用して NHRP をイネーブルにする必要があります。


次の show ip nhrp コマンド出力例に、図 1 スポーク B の NHRP パケットの送信元 IP アドレスおよびトンネル情報を示します。


) スポーク B の NBMA(NAT 後の)アドレスは、172.18.2.1 です(要求された NBMA(NAT 前の)送信元アドレスは 172.16.2.1 です)。


Router# show ip nhrp
 
10.0.0.11/32 via 10.0.0.11, Tunnel0 created 00:00:21, expire 00:05:38
Type: dynamic, Flags: authoritative unique registered used
NBMA address: 172.18.2.1
(Claimed NBMA address: 172.16.2.1)

NHRP 解決

次に、図 1 に示すスポーク A と スポーク B 間の NHRP 解決プロセスを説明します。ここでは、スポーク B は NAT デバイスの背後に配置されており、この NAT デバイスの NAT 前のアドレスは 172.16.2.1、NAT 後のアドレスは 172.18.2.1 です。

ハブ上のスポーク B の NHRP テーブル エントリには、NAT 後のアドレスと NAT 前のアドレスが含まれています。ハブは、スポーク B の VPN アドレス(トンネル アドレス)に対する NHRP 解決要求を受け取ると、スポーク B の NBMA アドレスの代わりに、ハブ自身の NBMA アドレスで応答します。

ハブは、スポーク B から送信された他のスポークに対する NHRP 解決要求受け取ると、ハブ自身の NBMA アドレスで応答します。これにより、スポーク B とのスポークツースポーク トンネルを構築しようと試みた場合、データ パケットがスポークツースポーク トンネルではなく、ハブを介して確実に送信されるようになります。

例:

送信元 IP アドレス 192.168.1.1(スポーク A の背後)から宛先 IP アドレス 192.168.2.1(スポーク B の背後)へのデータ トラフィックにより、スポーク A がトリガーされて、スポーク B(10.0.0.12)に対する解決要求をネクスト ホップ ルータ(ハブ)に送信されます。

ハブは解決要求を受信し、スポーク B(10.0.0.12)のマッピング エントリを検索します。スポーク B は、NAT デバイスの背後に配置されているため、プロキシとして機能し、自身の NBMA アドレス(172.17.0.1)で応答します。

ハブは、スポーク A(10.0.0.11)に対する解決要求もスポーク B から受信します。スポーク B は、NAT デバイスの背後に配置されているため、プロキシとして機能し、自身の NBMA アドレス(172.17.0.1)で応答します。これにより、スポーク間にトンネルを確立せずに、ハブ ルータを通過するスポーク B に出入りするすべてのスポークツースポーク トラフィックが制限されます。

NAT デバイスとの NHRP スポークツースポーク トンネル

NAT を使用する NHRP スポークツースポーク トンネルでは、NHRP プロトコルに NAT 拡張部が導入され、これは自動的にイネーブルになります。NHRP NAT 拡張部は、プロトコルおよび NAT 後の NBMA アドレスに関する情報が含まれる Client Information Entry(CIE; クライアント情報エントリ)エントリです。1 つのスポークまたは両方のスポークが NAT デバイスの背後に配置されている場合、この追加情報により、トラフィックの喪失(ブラックホール化)の問題が長期間発生することなく、スポーク間でスポークツースポーク トンネルをサポートできます。


) スポークツースポーク トンネルがアップ状態にならないことがありますが、これは検出されるので、データ トラフィックは、失われずに(ブラックホール化されずに)ハブを通過します。


図 2 に、NHRP スポークツースポーク トンネルがどのように NAT と連動するかを示します。

図 2 スポークツースポーク トンネル間の NHRP

NHRP 登録プロセス

次のステップでは、NHRP 登録プロセスについて説明します。

1. スポークが、スポーク上の設定に従って、登録要求とともに NAT-Capability=1 パラメータおよびハブの NBMA アドレスの NAT NHRP 拡張部を送信します。

2. ハブは、NHRP(NAT)拡張部をその設定済みの NBMA アドレスと比較し、スポークが NAT デバイスの背後にあるかどうか判別します。またハブは、着信 GRE/IP 送信元アドレスを NHRP パケット内のスポークの NBMA アドレスと比較して、スポークが NAT デバイスの背後に配置されているかどうか記録します。

3. ハブが、スポークが NAT デバイスの背後にあると検出した場合、ハブからスポークへの登録応答には、NAT NHRP 拡張部とスポークの NAT 後のアドレスが含まれています。

4. スポークが NHRP 登録応答の NAT NHRP 拡張部を取得すると、スポークは、その NAT 後の IP アドレスを後で使用できるように記録します。

NHRP 解決および消去プロセス

次のステップでは、NHRP 解決および消去プロセスについて説明します。

1. スポークが NAT デバイスの背後に配置されている場合に NHRP 解決要求を送信するとき、スポークには NAT NHRP 拡張部が含まれています。

2. ハブが解決要求を受信します。スポークが NAT デバイスの背後に配置されていて、かつ NAT 拡張部がない場合、ハブは、NAT 拡張部を追加してから、この拡張部をパスに沿って次のノード(スポークまたはネクスト ホップ サーバ)に転送します。ただし、ハブが要求を非 NAT 拡張部対応ノードに転送する場合、ハブはその NAT 前の IP アドレスではなく、パケット内部の送信元 NBMA を書き換えて要求元スポークの NAT 後の IP アドレスとします。

3. 受信側(スポーク)は、NAT NHRP 拡張部レコード(NAT 対応)または送信元 NBMA アドレス(NAT 非対応情報)を使用して、トンネルを構築します。このスポークが NAT デバイスの背後に配置されている場合、このスポークの応答には、自身の NAT 拡張部が含まれています。


) ハブは、スポークにかわって NHRP 解決要求に応答しません。ハブは常に NHRP 解決要求を、要求されたトンネル IP アドレスを持つエンド スポークか、またはホストの IP アドレスから要求されたデータを処理するエンド スポークに転送します。


次に、図 2に示すスポーク A と スポーク B 間の NHRP 解決プロセスを説明します。ここでは、スポーク B は NAT デバイスの背後に配置されており、この NAT デバイスの NAT 前のアドレスは 172.16.2.1、NAT 後のアドレスは 172.18.2.1 です。

スポーク A の背後にあるホストから 192.168.2.0/24 ネットワークへのデータ トラフィックにより、スポーク B のトンネル IP アドレス(10.0.0.12)の NHRP 解決要求がトリガーされ、ハブを介して送信されます。ハブは解決要求を受信し、スポーク B に転送します。スポーク B は、NHRP 解決要求からのスポーク A の送信元 NBMA IP アドレスを使用してダイナミック スポークツースポーク トンネルを作成し、スポーク A に NHRP 解決応答を直接送信します。この応答には、NAT NHRP 拡張ヘッダー内に NAT 後のアドレスが含まれています。

また、スポーク B 上の NAT デバイスの背後に配置されているホストから 192.168.1.0/24 ネットワークへのトラフィックにより、スポーク A のトンネル IP アドレス(10.0.0.11)に対する NHRP 解決要求がトリガーされます。スポーク B は、自身の NAT 後の IP アドレスを解決要求の NHRP NAT 拡張部に追加します。ハブは解決要求を受信し、スポーク A に転送します。スポーク A は NHRP NAT 拡張部を解析し、スポーク B の NAT 後のアドレスを使用してトンネルを構築し、スポーク B に直接応答します。

その他の参考資料

ここでは、DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル機能に関する関連資料について説明します。

関連資料

内容
参照先

NHRP コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

『Cisco IOS IP Addressing Services Command Reference Release 12.4(15)T』

Dynamic multipoint VPN

Dynamic Multipoint VPN(DMVPN)

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

このリリースによってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 1 DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネルの機能情報

機能名
リリース
機能情報

DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル

12.4(15)T

1 つまたは複数のスポークが NAT デバイスの背後に配置されていても、DMVPN:NAT デバイスの背後に配置されたスポーク間のダイナミック トンネル 機能により、DMVPN ネットワークに NHRP スポークツースポーク トンネルを構築できます。