Cisco IOS IP モビリティ コンフィギュレーション ガ イド
Mobile IP:RFC 3519 NAT トラバーサルの サポート
Mobile IP:RFC 3519 NAT トラバーサルのサポート
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Mobile IP:RFC 3519 NAT トラバーサルのサポート

目次

Mobile IP:RFC 3519 NAT トラバーサルの制約事項

Mobile IP:RFC 3519 NAT トラバーサルのサポートに関する情報

Mobile IP:RFC 3519 NAT トラバーサルのサポートの機能設計

ネットワーク アドレス変換デバイス

UDP トンネリング

キープアライブ管理

新規のメッセージ拡張

UDP トンネル フラグ

Mobile IP:RFC 3519 NAT トラバーサルのサポートの設定方法

ホーム エージェントの NAT トラバーサル サポートの設定

外部エージェントの NAT トラバーサル サポートの設定

NAT トラバーサル サポートの確認

Mobile IP:RFC 3519 NAT トラバーサルのサポートの設定例

ホーム エージェントの設定:例

外部エージェントの設定:例

ファイアウォールの設定:例

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

用語集

Mobile IP:RFC 3519 NAT トラバーサルのサポート

Mobile IP:RFC 3519 NAT トラバーサルのサポート機能により、Mobile IP データ トラフィックをトンネリングするための代替方法が導入されました。User Datagram Protocol(UDP; ユーザ データグラム プロトコル)トンネリングを確立するために、Mobile IP 登録の要求および応答メッセージに新たな拡張部分が追加されました。

この機能により、プライベート IP アドレス(RFC 1918)を使用する連結型モードのモバイル デバイスまたは Care-of Address(CoA; 気付アドレス)にプライベート IP アドレスを使用する Foreign Agent(FA; 外部エージェント)は、トンネルを確立し、Home Agent(HA; ホーム エージェント)からの Mobile Node(MN; モバイル ノード)データ トラフィックに NAT 対応ルータをトラバースさせることができるようになりました。

Mobile IP:RFC 3519 NAT トラバーサルのサポートの機能履歴

リリース
変更内容

12.3(8)T

この機能が追加されました。

プラットフォームおよび Cisco IOS ソフトウェア イメージのサポート情報の検索

プラットフォーム サポートと Cisco IOS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスするには、Cisco.com のアカウントが必要です。アカウントをお持ちでない場合や、ユーザ名やパスワードを忘れた場合は、ログイン ダイアログボックスで [Cancel] をクリックし、表示される説明に従ってください。

Mobile IP:RFC 3519 NAT トラバーサルの制約事項

MN で選択した UDP ポートと HA UDP ポート 434 間の通信がネットワークで許可されていないと、Mobile IP 登録およびデータ トンネリングは機能しません。

IP と UDP 間のカプセル化方法だけがサポートされます。

Mobile IP:RFC 3519 NAT トラバーサルのサポートに関する情報

Mobile IP:RFC 3519 NAT トラバーサルのサポート機能を設定するには、次の概念について理解しておく必要があります。

「Mobile IP:RFC 3519 NAT トラバーサルのサポートの機能設計」

「ネットワーク アドレス変換デバイス」

「UDP トンネリング」

Mobile IP:RFC 3519 NAT トラバーサルのサポートの機能設計

グローバルにルーティング可能なアドレスの枯渇に対応するため、サービス プロバイダーや企業では現在、プライベートアドレスおよびパブリックアドレスのレルムのアドレスを使用し、それらのアドレス レルム間で透過的なルーティングを行うために NAT ベースのソリューションを使用しています。プライベート IP アドレス(RFC 1918)の利用により、各企業は同一のアドレスを使用することができます。ただし、それらのアドレスは、企業やサービス プロバイダーのネットワーク以外ではインターネットで表示できません。

Network Address Translation(NAT; ネットワーク アドレス変換)を使用すると、プライベート IP アドレスをパブリック IP アドレスに変換できます。NAT は、2 番目のヘッダーにあるポート番号を使用して変換を整理し、戻りパケットを表示するときにどの変換(存在する場合)を使用するかを判断します。

Mobile IP:RFC 3519 NAT トラバーサルのサポート機能では、登録パケットに新規のメッセージ拡張を使用して、UDP トンネリングを確立します。MN 登録パケットが NAT 対応ルータをトラバースすると、HA は送信元 IP アドレスと CoA を比較してトラバーサルを検出し、UDP トンネリングが可能であることを MN が示している場合には UDP トンネリングを確立します。MN は、登録要求に UDP トンネリング拡張を組み込むことによって、UDP トンネリングが可能であることを示します。

NAT 対応ルータは、UDP 登録パケットの通過を許可します。UDP トンネリングは、HA からのデータ パケットが、登録パケットごとに設定された NAT 変換を使用することを可能にします。これは、UDP トンネル ヘッダーに元の登録パケットと同じ UDP 送信元および宛先ポートが使用されており、NAT 対応ルータをトラバースする登録パケット用に個別に作成された NAT 変換を使用できるようになっているためです。この機能により、MN では、通常どおりデフォルトの IP-in-IP トンネリングが使用されていない場合に HA からのデータ パケットを受信できます。

図 1 に、Mobile IP のコンポーネントとその関係を示します。

図 1 Mobile IP のコンポーネントと関係

 


) UDP トンネリングは、Mobile IP で NAT トラバーサルをサポートする唯一の方法です。


ネットワーク アドレス変換デバイス

Network Address Translation(NAT; ネットワーク アドレス変換)デバイスは、NAT ネットワークの背後にあるピアにデータを逆多重化するために、IP、TCP、および UDP 層からの IP アドレスとポート番号に依存します。プライベートアドレスのホストからパブリックアドレスのホストにメッセージが発信されると、NAT はパケット内の送信元 IP アドレスをグローバルにルート可能な送信元アドレスに変更し、送信元ポート番号も、メッセージを開始したピアの識別に使用できる固有の送信元ポート番号に変更します。次に、NAT は、プライベート アドレス、ポートとパブリック アドレス、およびポート マッピングをその変換テーブルに保存し、NAT 変換エントリを使用してリターン トラフィックをルーティングします。

Mobile IP:RFC 3519 NAT トラバーサルのサポート機能は、データ パケットに対する UDP トンネリングを可能にすることで、NAT デバイスが IP アドレスを変換し、HA から MN にデータ パケットを転送できるようにします。

UDP トンネリング

UDP トンネリングには、転送と反転の 2 方向があります。転送トンネリングは、MN にパケットを転送する HA によって実行され、反転トンネリングは MN の気付アドレスから始まり、HA で終了します。

MN によって送信された UDP トンネリング パケットには、登録要求メッセージと同じポートが使用されます。特に、送信元ポートは新規の登録要求間では異なりますが、すべてのトンネリングされたデータと再登録については同一となります。宛先ポートは常に 434 です。HA によって送信された UDP トンネリング パケットには同じポートが使用されますが、送信元と宛先が逆になります。


) UDP トンネリングは、Mobile IP データ トラフィック専用です。登録要求および応答には、UDP トンネリングは使用されません。


UDP トンネリング要求に force ビットを設定することによって、MN は、HA による NAT 検出結果に関係なく、Mobile IP UDP トンネリングの確立を要求できます。MN が UDP トンネリングを受信するかどうかは、最終的に、HA がそのような要求を受け入れるように設定されているかどうかによって決定します。

キープアライブ管理

キープアライブ メッセージの目的は、NAT 対応ルータで NAT 変換のアクティブ タイマーを更新することにあります。これによって、MN がサイレント状態にある場合でも、HA が使用する NAT 変換を維持できます。そのため、NAT 変換をアクティブに保つためのパケットが MN から HA に送信されていない場合でも、HA からのデータ パケットは、登録パケットごとに作成された NAT 変換を使用して NAT 対応ルータをトラバースし、MN に到達することができます。

キープアライブ タイマー インターバルは、HA と FA の両方で設定できますが、登録応答で送信される HA のキープアライブ インターバル値によって制御されます。HA から登録応答でキープアライブ値が送信されてきた場合、MN または FA ではその値をキープアライブ タイマー インターバルとして使用する必要があります。

FA に設定されているキープアライブ インターバルは、HA が登録応答でキープアライブ インターバル値としてゼロを返してきた場合のみ使用されます。


) キープアライブ インターバル値としてゼロを FA または MN に送信するように、HA を設定することはできません。


新規のメッセージ拡張

拡張部分は、登録パケットの最後に追加され、Type, Length, Value(TLV; タイプ、長さ、値)メッセージであることを示します。RFC 3519 には、UDP トンネル要求および応答の拡張と、ポート 434 にトンネリングされているトラフィックを区別する役割を果たす Mobile IP トンネル データ メッセージが定義されています。

Mobile IP:RFC 3519 NAT トラバーサルのサポート機能によって、次に示す UDP トンネル メッセージ拡張が新たに追加されます。

要求:このメッセージ拡張は、送信者が UDP トンネリングを処理できることを示します。一部のカプセル化フォーマットは任意です。

応答:このメッセージ拡張は、HA が UDP トンネリングを使用するかどうかを示します。また、HA は応答メッセージでキープアライブ インターバルを送信します。

Mobile IP トンネル データ:このメッセージ拡張は、ポート 434 にトンネリングされた UDP データ トラフィックと、登録要求などの UDP ヘッダーを使用する他の Mobile IP メッセージを区別するために使用されます。

UDP トンネル フラグ

Mobile IP:RFC 3519 NAT トラバーサルのサポート機能によって、FA が NAT トラバーサルをサポートすることを示す新規の UDP トンネル フラグがエージェント アドバタイズメントに追加されます。フラグとは、アドバタイズメントに設定されるビットです。

Mobile IP:RFC 3519 NAT トラバーサルのサポートの設定方法

ここでは、次の作業について説明します。

「ホーム エージェントの NAT トラバーサル サポートの設定」(必須)

「外部エージェントの NAT トラバーサル サポートの設定」(必須)

「NAT トラバーサル サポートの確認」(任意)

ホーム エージェントの NAT トラバーサル サポートの設定

この作業では、HA に NAT トラバーサル サポートを設定する方法を示します。

手順の概要

1. enable

2. configure terminal

3. ip mobile home-agent nat traversal [ keepalive keepalive-time] [forced {accept | reject}]

4. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip mobile home-agent nat traversal [ keepalive keepalive-time] [forced {accept | reject}]

 

Router(config)# ip mobile home-agent nat traversal keepalive 45 forced accept

HA に対して UDP トンネリングをイネーブルにします。キーワードと引数は次のとおりです。

keepalive keepalive-time:(任意)NAT 変換タイマーを更新するために、キープアライブ メッセージを UDP エンドポイント間に送信する時間間隔(秒単位)。指定できる範囲は 0 ~ 65535 です。デフォルト値は 110 です。

(注) キープアライブ タイマー値としてゼロを FA または MN に送信するように、HA を設定することはできません。

forced :(任意)NAT 検出結果に関係なく、MN からの強制 UDP トンネリングを HA で許可または拒否できるようにします。

accept :UDP トンネリングを許可します。

reject :UDP トンネリングを拒否します。これがデフォルトです。

キーワードを指定しないと、デフォルトで UDP トンネリングを拒否するように設定されます。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

外部エージェントの NAT トラバーサル サポートの設定

この作業では、FA に NAT トラバーサル サポートを設定する方法を示します。

手順の概要

1. enable

2. configure terminal

3. ip mobile foreign-agent nat traversal [keepalive keepalive-time] [force]

4. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip mobile foreign-agent nat traversal [ keepalive keepalive - time ] [ force ]

 

Router(config)# ip mobile foreign-agent nat traversal keepalive 45 force

FA に対して UDP トンネリングをイネーブルにします。キーワードと引数は次のとおりです。

keepalive keepalive - time :(任意)HA のキープアライブの時間が設定されていない場合に、キープアライブ メッセージに設定されている時間(秒単位)を FA で使用できるようにします。指定できる範囲は 0 ~ 65535 です。デフォルト値は 110 です。

キーワードを設定する必要はありません。

force :(任意)メッセージ拡張に「強制」ビットを設定します。デフォルトでは、UDP トンネリングは強制されません。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

NAT トラバーサル サポートの確認

RFC 3519 NAT トラバーサルのサポートがイネーブルであり、正常に機能していることを確認するには、次の手順を実行します。

手順の概要

1. show ip mobile globals

2. show ip mobile binding

3. show ip mobile visitor

4. show ip mobile tunnel

5. debug ip mobile

手順の詳細


ステップ 1 show ip mobile globals

このコマンドを使用して、FA と HA の設定を確認します。次に例を示します。

Router# show ip mobile globals
 
IP Mobility global information:
 
Home agent
 
Registration lifetime: 10:00:00 (36000 secs)
Broadcast disabled
Replay protection time: 7 secs
Reverse tunnel enabled
ICMP Unreachable enabled
Strip realm disabled
NAT Traversal disabled
HA Accounting disabled
NAT UDP Tunneling support enabled
UDP Tunnel Keepalive 60
Forced UDP Tunneling enabled
Virtual networks
10.99.101.0/24
 
Foreign agent is not enabled, no care-of address
 
0 interfaces providing service
Encapsulations supported: IPIP and GRE
Tunnel fast switching enabled, cef switching enabled
Tunnel path MTU discovery aged out after 10 min
 

この例では、NAT UDP トンネリングのサポートは HA でイネーブルであり、キープアライブ タイマーは 60 秒に設定され、強制 UDP トンネリングがイネーブルになっています。

ステップ 2 show ip mobile binding

このコマンドを使用して、NAT を検出するように HA が設定されていることを確認します。次に例を示します。

Router# show ip mobile binding nai mn@cisco.com
 
Mobility Binding List:
 
mn@cisco.com (Bindings 1):
Home Addr 10.99.101.1
Care-of Addr 192.168.1.202, Src Addr 209.165.157
Lifetime granted 00:03:00 (180), remaining 00:02:20
Flags sbDmg-T-, Identification BCF5F7FF.92C1006F
Tunnel0 src 209.165.202.1 dest 209.165.157 reverse-allowed
Routing Options - (D)Direct-to-MN (T)Reverse-tunnel
Service Options:
NAT detect
 

ステップ 3 show ip mobile visitor

このコマンドを使用して、MN が(FA で)HA に登録されていることを確認します。次に例を示します。

Router# show ip mobile visitor
 
Mobile Visitor List:
Total 1
10.99.100.2:
Interface FastEthernet3/0, MAC addr 00ff.ff80.002b
IP src 10.99.100.2, dest 30.5.3.5, UDP src port 434
HA addr 200.1.1.1, Identification BCE7E391.A09E8720
Lifetime 01:00:00 (3600) Remaining 00:30:09
Tunnel1 src 200.1.1.5, dest 200.1.1.1, reverse-allowed
Routing Options - (T)Reverse Tunneling
 

ステップ 4 show ip mobile tunnel

このコマンドを使用して、UDP トンネリングが確立されていることを確認します。次に例を示します。

Router# show ip mobile tunnel
 
Mobile Tunnels:
Total mobile ip tunnels 1
Tunnel0:
src 10.30.30.1, dest 10.10.10.100
src port 434, dest port 434
encap MIPUDP/IP, mode reverse-allowed, tunnel-users 1
IP MTU 1480 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface Ethernet2/3
FA created, fast switching disabled, ICMP unreachable enabled
5 packets input, 600 bytes, 0 drops
7 packets output, 780 bytes
 

次の出力例は、モバイル ノードとホーム エージェント間のトンネルがまだ IP-in-IP であるが、外部エージェントとホーム エージェント間のトンネルが UDP であることを示しています。

Router# show ip mobile tunnel
 
Mobile Tunnels:
Total mobile ip tunnels 2
Tunnel0:
src 200.1.1.1, dest 10.99.100.2
encap IP/IP, mode reverse-allowed, tunnel-users 1
IP MTU 1460 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface Tunnel1
HA created, fast switching enabled, ICMP unreachable enabled
11 packets input, 1002 bytes, 0 drops
5 packets output, 600 bytes
 
Tunnel1:
src 200.1.1.1, dest 200.1.1.5
src port 434, dest port 434
encap MIPUDP/IP, mode reverse-allowed, tunnel-users 1
IP MTU 1480 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface GigabitEthernet0/2
HA created, fast switching disabled, ICMP unreachable enabled
11 packets input, 1222 bytes, 0 drops
7 packets output, 916 bytes
 

次の例では、MN に HA との UDP トンネリングが確立されています。

Router# show ip mobile tunnel
 
Total mobile ip tunnels 1
Tunnel0:
src 10.10.10.100, dest 10.10.10.50
src port 434, dest port 434
encap MIPUDP/IP, mode reverse-allowed, tunnel-users 1
IP MTU 1480 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface Ethernet2/1
HA created, fast switching disabled, ICMP unreachable enabled
5 packets input, 600 bytes, 0 drops
5 packets output, 600 bytes
 

ステップ 5 debug ip mobile

このコマンドを使用して、MN と FA の UDP トンネリングの登録、認証、および確立を確認します。次に例を示します(重要な行は太字になっています)。

Dec 31 12:34:25.707: UDP: rcvd src=10.10.10.10(434),dst=10.30.30.1(434), length=54
Dec 31 12:34:25.707: MobileIP: ParseRegExt type MHAE(32) addr 2000FEEC end 2000FF02
Dec 31 12:34:25.707: MobileIP: ParseRegExt skipping 20 to next
Dec 31 12:34:25.707: MobileIP: FA rcv registration for MN 10.10.10.10 on Ethernet2/2 using COA 10.30.30.1 HA 10.10.10.100 lifetime 65535 options sbdmg-T-identification C1BC0D4FB01AC0D8
Dec 31 12:34:25.707: MobileIP: Ethernet2/2 glean 10.10.10.10 accepted
Dec 31 12:34:25.707: MobileIP: Registration request byte count = 74
Dec 31 12:34:25.707: MobileIP: FA queued MN 10.10.10.10 in register table
Dec 31 12:34:25.707: MobileIP: Visitor registration timer started for MN 10.10.10.10, lifetime 120
Dec 31 12:34:25.707: MobileIP: Adding UDP Tunnel req extension
Dec 31 12:34:25.707: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:25.707: MobileIP: MN 10.10.10.10 FHAE added to HA 10.10.10.100 using SPI 1000
Dec 31 12:34:25.707: MobileIP: FA forwarded registration for MN 10.10.10.10 to HA 10.10.10.100
Dec 31 12:34:25.715: UDP: rcvd src=10.10.10.100(434), dst=10.30.30.1(434), length=94
Dec 31 12:34:25.715: MobileIP: ParseRegExt type NVSE(134) addr 20010B28 end 20010B6A
Dec 31 12:34:25.715: MobileIP: ParseRegExt type MN-config NVSE(14) subtype 1 (MN prefix length) prefix length (24)
Dec 31 12:34:25.715: MobileIP: ParseRegExt skipping 12 to next
Dec 31 12:34:25.715: MobileIP: ParseRegExt type MHAE(32) addr 20010B36 end 20010B6A
Dec 31 12:34:25.715: MobileIP: ParseRegExt skipping 20 to next
Dec 31 12:34:25.715: MobileIP: ParseRegExt type UDPTUNREPE(44) addr 20010B4C end 20010B6A
Dec 31 12:34:25.715: Parsing UDP Tunnel Reply Extension - length 6
Dec 31 12:34:25.715: MobileIP: ParseRegExt skipping 6 to next
Dec 31 12:34:25.715: MobileIP: ParseRegExt type FHAE(34) addr 20010B54 end 20010B6A
Dec 31 12:34:25.715: MobileIP: ParseRegExt skipping 20 to next
Dec 31 12:34:25.715: MobileIP: FA rcv accept (0) reply for MN 10.10.10.10 on Ethernet2/3 using HA 10.10.10.100 lifetime 65535
Dec 31 12:34:25.719: MobileIP: Authenticating HA 10.10.10.100 using SPI 1000
Dec 31 12:34:25.719: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:25.719: MobileIP: Authenticated HA 10.10.10.100 using SPI 1000 and 16 byte key
Dec 31 12:34:25.719: MobileIP: HA accepts UDP Tunneling
Dec 31 12:34:25.719: MobileIP: Update visitor table for MN 10.10.10.10
Dec 31 12:34:25.719: MobileIP: Enabling UDP Tunneling
Dec 31 12:34:25.719: MobileIP: Tunnel0 (MIPUDP/IP) created with src 10.30.30.1 dst 10.10.10.100
Dec 31 12:34:25.719: MobileIP: Setting up UDP Keep-Alive Timer for tunnel 10.30.30.1:0 - 10.10.10.100:0 with keep-alive 30
Dec 31 12:34:25.719: MobileIP: Starting the tunnel keep-alive timer
Dec 31 12:34:25.719: MobileIP: ARP entry for MN 10.10.10.10 using 10.10.10.10 inserted on Ethernet2/2
Dec 31 12:34:25.719: MobileIP: FA route add 10.10.10.10 successful. Code = 0
Dec 31 12:34:25.719: MobileIP: MN 10.10.10.10 added to ReverseTunnelTable of Ethernet2/2 (Entries 1)
Dec 31 12:34:25.719: MobileIP: FA dequeued MN 10.10.10.10 from register table
Dec 31 12:34:25.719: MobileIP: MN 10.10.10.10 using 10.10.10.10 visiting on Ethernet2/2 Dec 31 12:34:25.719: MobileIP: Reply in for MN 10.10.10.10 using 10.10.10.10, accepted
Dec 31 12:34:25.719: MobileIP: registration reply byte count = 84
Dec 31 12:34:25.719: MobileIP: FA forwarding reply to MN 10.10.10.10 (10.10.10.10 mac 0060.70ca.f021)
Dec 31 12:34:26.095: MobileIP: agent advertisement byte count = 48
Dec 31 12:34:26.095: MobileIP: Agent advertisement sent out Ethernet2/2: type=16, len=10, seq=55, lifetime=65535, flags=0x1580(rbhFmG-TU),
Dec 31 12:34:26.095: Care-of address: 10.30.30.1
Dec 31 12:34:26.719: MobileIP: swif coming up Tunnel0
!
Dec 31 12:34:35.719: UDP: sent src=10.30.30.1(434), dst=10.10.10.100(434)
Dec 31 12:34:35.719: UDP: rcvd src=10.10.10.100(434), dst=10.30.30.1(434), length=32d0
 

次の例では、MN と HA の UDP トンネリングの登録、認証、および確立が表示されています。

Dec 31 12:34:26.167: MobileIP: ParseRegExt skipping 20 to next
Dec 31 12:34:26.167: MobileIP: ParseRegExt type UDPTUNREQE(144) addr 2001E762 end 2001E780
Dec 31 12:34:26.167: MobileIP: Parsing UDP Tunnel Request Extension - length 6
Dec 31 12:34:26.167: MobileIP: ParseRegExt skipping 6 to next
Dec 31 12:34:26.167: MobileIP: ParseRegExt type FHAE(34) addr 2001E76A end 2001E780
Dec 31 12:34:26.167: MobileIP: ParseRegExt skipping 20 to next
Dec 31 12:34:26.167: MobileIP: HA 167 rcv registration for MN 10.10.10.10 on Ethernet2/1 using HomeAddr 10.10.10.10 COA 10.30.30.1 HA 10.10.10.100 lifetime 65535 options sbdmg-T-identification C1BC0D4FB01AC0D8
Dec 31 12:34:26.167: MobileIP: NAT detected SRC:10.10.10.50 COA: 10.30.30.1
Dec 31 12:34:26.167: MobileIP: UDP Tunnel Request accepted 10.10.10.50:434
Dec 31 12:34:26.167: MobileIP: Authenticating FA 10.30.30.1 using SPI 1000
Dec 31 12:34:26.167: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.167: MobileIP: Authentication algorithm MD5 and truncated key
Dec 31 12:34:26.167: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.167: MobileIP: Authenticated FA 10.30.30.1 using SPI 1000 and 16 byte key
Dec 31 12:34:26.167: MobileIP: Authenticating MN 10.10.10.10 using SPI 1000
Dec 31 12:34:26.167: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.167: MobileIP: Authentication algorithm MD5 and truncated key
Dec 31 12:34:26.167: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.167: MobileIP: Authenticated MN 10.10.10.10 using SPI 1000 and 16 byte key
Dec 31 12:34:26.167: MobileIP: Mobility binding for MN 10.10.10.10 created
Dec 31 12:34:26.167: MobileIP: NAT detected for MN 10.10.10.10. Terminating tunnel on 10.10.10.50
Dec 31 12:34:26.167: MobileIP: Tunnel0 (MIPUDP/IP) created with src 10.10.10.100 dst 10.10.10.50
Dec 31 12:34:26.167: MobileIP: Setting up UDP Keep-Alive Timer for tunnel 10.10.10.100:0 - 10.10.10.50:0 with keep-alive 30
Dec 31 12:34:26.167: MobileIP: Starting the tunnel keep-alive timer
Dec 31 12:34:26.167: MobileIP: MN 10.10.10.10 Insert route for 10.10.10.10/255.255.255.255 via gateway 10.10.10.50 on Tunnel0
Dec 31 12:34:26.167: MobileIP: MN 10.10.10.10 is now roaming
Dec 31 12:34:26.171: MobileIP: Gratuitous ARPs sent for MN 10.10.10.10 MAC 0002.fca5.bc39
Dec 31 12:34:26.171: MobileIP: Mask for address is 24
Dec 31 12:34:26.171: MobileIP: HA accepts registration from MN 10.10.10.10
Dec 31 12:34:26.171: MobileIP: Dynamic and Static Network Extension Length 0 - 0
Dec 31 12:34:26.171: MobileIP: Composed mobile network extension length:0
Dec 31 12:34:26.171: MobileIP: Added prefix length vse in reply
Dec 31 12:34:26.171: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.171: MobileIP: MN 10.10.10.10 MHAE added to MN 10.10.10.10 using SPI 1000
Dec 31 12:34:26.171: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.171: MobileIP: MN 10.10.10.10 FHAE added to FA 10.10.10.50 using SPI 1000
Dec 31 12:34:26.171: MobileIP: MN 10.10.10.10 - HA sent reply to 10.10.10.50
Dec 31 12:34:26.171: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.171: MobileIP: MN 10.10.10.10 HHAE added to HA 10.10.10.3 using SPI 1000
Dec 31 12:34:26.175: MobileIP: ParseRegExt type CVSE(38) addr 2000128C end 200012AE
Dec 31 12:34:26.175: MobileIP: ParseRegExt type HA red. version CVSE(6)
Dec 31 12:34:26.175: MobileIP: ParseRegExt skipping 8 to next
Dec 31 12:34:26.175: MobileIP: ParseRegExt type HHAE(35) addr 20001298 end 200012AE
Dec 31 12:34:26.175: MobileIP: ParseRegExt skipping 20 to next
Dec 31 12:34:26.175: MobileIP: Authenticating HA 10.10.10.3 using SPI 1000
Dec 31 12:34:26.175: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.175: MobileIP: Authentication algorithm MD5 and truncated key
Dec 31 12:34:26.175: MobileIP: Authentication algorithm MD5 and 16 byte key
Dec 31 12:34:26.175: MobileIP: Authenticated HA 10.10.10.3 using SPI 1000 and 16 byte key
Dec 31 12:34:27.167: MobileIP: swif coming up Tunnel0d0
 

次の例では、HA の設定に force オプションがないため、UDP トンネリング要求が拒否されます。

Router# debug ip mobile
 
*Jun 6 20:49:28.147: MobileIP: ParseRegExt type NVSE(134) addr C368C6C
end C368
C9C
*Jun 6 20:49:28.147: MobileIP: ParseRegExt type dynamic mobile-network
NVSE(9)
*Jun 6 20:49:28.147: MobileIP: ParseRegExt skipping 16 to next
*Jun 6 20:49:28.147: MobileIP: ParseRegExt type MHAE(32) addr C368C7E
end C368C9C
*Jun 6 20:49:28.147: MobileIP: ParseRegExt skipping 20 to next
*Jun 6 20:49:28.147: MobileIP: ParseRegExt type UDPTUNREQE(144) addr
C368C94 end C368C9C
*Jun 6 20:49:28.147: MobileIP: Parsing UDP Tunnel Request Extension -
length 6
*Jun 6 20:49:28.147: MobileIP: ParseRegExt skipping 6 to next
*Jun 6 20:49:28.147: MobileIP: HA 143 rcv registration for MN
10.99.100.2 on Gi
gabitEthernet0/2 using HomeAddr 10.99.100.2 COA 200.1.1.5 HA 200.1.1.1
lifetime
3600 options sbdmg-T- identification BCE7E253A7CAF30C
*Jun 6 20:49:28.147: MobileIP: NAT not detected SRC:200.1.1.5 COA:
200.1.1.5
*Jun 6 20:49:28.147: MobileIP: Forced UDP Tunneling requested
*Jun 6 20:49:28.147: MobileIP: UDP Tunnel Request rejected
*Jun 6 20:49:28.147: MobileIP: HA rejects registration for MN
10.99.100.2 - registration id mismatch (133)


 

Mobile IP:RFC 3519 NAT トラバーサルのサポートの設定例

ここでは、次の設定例について説明します。

「ホーム エージェントの設定:例」

「外部エージェントの設定:例」

「ファイアウォールの設定:例」

ホーム エージェントの設定:例

次に、アクティブな HA の設定例を示します。

ip mobile home-agent nat traversal keepalive 56 forced accept
ip mobile home-agent redundancy Phy1 virtual-network
ip mobile virtual-network 10.60.60.0 255.255.255.0 address 10.60.60.200
 

次に、スタンバイ HA の設定例を示します。

ip mobile home-agent nat traversal keepalive 56 forced accept
ip mobile home-agent redundancy Phy1 virtual-network
ip mobile virtual-network 10.60.60.0 255.255.255.0 address 10.60.60.200

外部エージェントの設定:例

次に、イーサネット インターフェイス 2/2 に対する FA の設定例を示します。HA が登録応答でキープアライブ インターバル値としてゼロを返さない限り、FA では 45 秒のキープアライブ インターバルは使用されません。

ip mobile foreign-agent care-of Ethernet2/2
ip mobile foreign-agent nat traversal keepalive 45 force

ファイアウォールの設定:例

次に、FA と HA の間にファイアウォールが配置されている場合の設定例を示します。ファイアウォールは IP-in-IP パケットおよび GRE パケットをブロックしますが、UDP パケットは許可します。HA および FA は、UDP カプセル化の使用を HA に強制するように設定されています。

HA の設定

interface Loopback1
ip address 200.1.1.1 255.255.255.255
!
router mobile
!
! The following command set UDP keepalive interval to 60 second and enables the HA to accept forced UDP tunneling registration requests.
!
ip mobile home-agent nat traversal keepalive 60 forced accept
ip mobile home-agent
ip mobile virtual-network 10.99.100.0 255.255.255.0
ip mobile host 10.99.100.1 10.99.100.100 virtual-network 10.99.100.0 255.255.255.0
ip mobile mobile-networks 10.99.100.2
description MAR-3200
register
ip mobile secure host 10.99.100.1 10.99.100.100 spi 100 key hex
12345678123456781234567812345678 algorithm md5 mode prefix-suffix

外部エージェントの設定

interface Loopback1
ip address 10.1.1.5 255.255.255.255
!
interface FastEthernet3/0
ip address 10.5.3.5 255.255.255.0
ip irdp
ip irdp maxadvertinterval 9
ip irdp minadvertinterval 3
ip irdp holdtime 27
ip mobile foreign-service reverse-tunnel
!
ip mobile foreign-agent care-of Loopback1
!
! The following command forces the FA to request the HA to use UDP tunneling for MN. Without this command, the HA is configured to accept UDP tunneling. The HA will not use UDP tunneling if it is not NAT detected.
 
ip mobile foreign-agent nat traversal force

モバイル ルータの設定

interface Loopback1
!Description MR's home address.
ip address 10.99.100.2 255.255.255.255
!
interface FastEthernet0/0
description “802.11 Wi-Fi Link”
ip address 10.5.3.32 255.255.255.0
ip mobile router-service roam priority 120
!
ip mobile router
address 10.99.100.2 255.255.255.0
collocated single-tunnel
home-agent 10.1.1.1 priority 110
mobile-network Vlan210
reverse-tunnel

Cisco IOS ファイアウォール

次の例では、IP アクセスリストを使用して、IP-in-IP パケットと GRE パケットのブロッキングをシミュレートします。

!Input interface for the traffic coming from MR.
 
interface FastEthernet0/1
ip address 10.1.35.3 255.255.255.0
ip access-group Block-IPinIP-GRE-Packets in
!
ip access-list extended Block-IPinIP-GRE-Packets
deny ipinip any any
deny gre any any
permit ip any any

参考資料

ここでは、Mobile IP:RFC 3519 NAT トラバーサルのサポート機能に関する参考資料を紹介します。

関連資料

関連項目
参照先

総称ルーティング カプセル化

『Generic Routing Encapsulation』RFC 1701

IP カプセル化

『IP Encapsulation in IP』RFC 2003

Mobile IP の概要と設定

Cisco IOS IP Configuration Guide , Release 12.3』の「 Configuring Mobile IP 」の章

NAT デバイスの Mobile IP トラバーサル

『Mobile IP Traversal of Network Address Translation (NAT) Devices』RFC 3519

Mobile IP コマンドの説明と構文

Cisco IOS IP Command Reference, Volume 4 of 4: IP Mobility , Release 12.3 T』

NAT および Network Address Port Translation(NAPT)の概要と設定

Cisco IOS IP Configuration Guide , Release 12.3』の「 Configuring IP Addressing 」の章

Cisco IOS IP Command Reference, Volume 1 of 4: IP Addressing and Services , Release 12.3 T』

『IP NAT Terminology and Considerations』RFC 2663

『Network Address Translation - Protocol Translation』RFC 2766

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。

--

MIB

MIB
MIB リンク

この機能がサポートする新しい MIB または変更された MIB はありません。また、この機能で変更された既存の MIB のサポートはありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能による新規または変更された RFC のサポートはありません。また、この機能による既存の RFC サポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

TAC のホームページには、3 万ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/public/support/tac/home.shtml

コマンド リファレンス

このモジュールに記載されている 1 つ以上の機能で、次のコマンドが追加または変更されています。これらのコマンドについては、 http://www.cisco.com/en/US/docs/ios/ipmobility/command/reference/imo_book.html の『 Cisco IOS IP Mobility Command Reference 』を参照してください。すべての Cisco IOS コマンドについては、 http://tools.cisco.com/Support/CLILookup にアクセスしてコマンド検索ツールを使用するか、『 Cisco IOS Master Commands List 』を参照してください。

debug ip mobile

ip mobile foreign-agent nat traversal

ip mobile home-agent nat traversal

show ip mobile binding

show ip mobile globals

show ip mobile tunnel

show ip mobile visitor

用語集

FA :Foreign Agent(FA; 外部エージェント)。外部ネットワーク上のルータであり、MN から HA への現在の気付アドレスの通知を支援します。FA は、HA によってトンネリングされたパケットのトンネリングを解除して、MN に送信します。また、MN が外部ネットワークに接続している間に生成したパケットのデフォルト ルータとして機能します。

HA :Home Agent(HA; ホーム エージェント)。MN のホーム ネットワーク上のルータ。MN のホーム IP アドレスと、外部ネットワークまたはアクセス先のネットワークでの MN の現在位置である 気付アドレス のアソシエーションを維持します。HA は、MN がホームから離れているときに、パケットをトンネリングして MN にリダイレクトします。

MN :Mobile Node(MN; モバイル ノード)。MN は、PDA、ラップトップ コンピュータ、データレディ携帯電話などのノードであり、あるネットワークまたはサブネットから別のネットワークまたはサブネットに接続ポイントを変更できます。このノードでは、ホーム IP アドレスだけを使用して、通信を続けることができます。

NAT :Network Address Translation(NAT; ネットワーク アドレス変換)。NAT は、グローバルに固有な IP アドレスの必要性を軽減するためのメカニズムです。NAT の利用により、アドレスをグローバルにルーティング可能なアドレス空間に変換することによって、組織はグローバルに固有でないアドレスを使用してインターネットに接続できます。ネットワーク アドレス トランスレータとも呼ばれています。基本的な NAT では、外部ドメインにセッションを発信するときにプライベート ドメインでホストのアドレスを変換するために、外部アドレスの集まりが用意されています。プライベート ネットワークから発信されるパケットについては、送信元 IP アドレスと、IP、TCP、UDP、および ICMP ヘッダー チェックサムなどの関連フィールドが変換されます。着信パケットについては、宛先 IP アドレスと上記のようなチェックサムが変換されます。

NAPT :Network Address Port Translation。NAPT は、トランスポート識別子(TCP および UDP ポート番号、ICMP クエリー識別子など)を変換します。これによって、多数のプライベート ホストのトランスポート識別子を、1 つの外部アドレスのトランスポート識別子に多重送信することができます。NAPT は、1 組のホストが 1 つの外部アドレスを共有できるようにします。NAPT を基本的な NAT と組み合わせることで、ポート変換とともに外部アドレスのプールを使用できます。

気付アドレス :気付アドレスには、FA 気付アドレスと連結型気付アドレスの 2 つのタイプがあります。FA 気付アドレスは、MN が FA エージェント アドバタイズメントから取得する、一時的に貸し出される IP アドレスです。このアドレスが、HA から FA へのトンネルの出口となります。連結型気付アドレスは、DHCP または手動設定によって MN インターフェイスに一時的に割り当てられるアドレスです。

転送トンネル :モバイル ノードへパケットを転送するトンネル。このトンネルは、ホーム エージェントから始まり、MN の気付アドレスで終了します。

反転トンネル :MN の気付アドレスから始まり、HA で終了するトンネル。


) この用語集に記載されていない用語については、『Internetworking Terms and Acronyms』を参照してください。