Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
IP アドレス保護用 NAT の設定
IP アドレス保護用 NAT の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/07/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

IP アドレス保護用 NAT の設定

機能情報の入手方法

この章の構成

IP アドレス保護用 NAT 設定の前提条件

IP アドレス保護の NAT 設定の制約事項

IP アドレス保護用 NAT 設定について

IP アドレス保護用 NAT の設定の利点

NAT の目的

NAT の機能

NAT の使用

NAT 内部および外部アドレス

NAT のタイプ

IP アドレス保護用 NAT 設定の方法

内部送信元アドレスの設定

内部送信元アドレス変換

内部送信元アドレスのスタティック変換の設定

内部送信元アドレスのダイナミック変換の設定

NAT を使用するインターネットへの内部ユーザ アクセスの許可

内部グローバル アドレス オーバーロード

アドレス変換タイムアウトの設定

変換タイムアウト デフォルトの変更

オーバーロード設定時のデフォルト タイムアウトの変更

重複ネットワークでの NAT を使用した通信の有効化

重複ネットワークのアドレス変換

重複ネットワークのスタティック変換の設定

この次の手順

重複ネットワークのダイナミック変換の設定

NAT 仮想インターフェイスの設定

NAT 仮想インターフェイスの設計

NAT 仮想インターフェイスの利点

NAT 仮想インターフェイスの制約事項

ダイナミック NAT 仮想インターフェイスのイネーブル化

スタティック NAT 仮想インターフェイスのイネーブル化

TCP ロード バランシングを使用したサーバ オーバーロードの回避

NAT の TCP 負荷分散

アドレス変換決定のルート マップの使用

ルート マップの概要

アドレス変換にルート マップを使用することの利点

前提条件

NAT ルート マップの外部から内部へのサポートのイネーブル化

ルート マップの外部から内部へのサポートの設計

制約事項

外部 IP アドレスだけの NAT の設定

外部 IP アドレスだけの NAT を設定する利点

デフォルト内部サーバに対する NAT の設定

制約事項

NBAR を使用した NAT RTSP サポートの設定

スタティック IP アドレスのあるユーザに対するサポートの設定

公衆無線 LAN

RADIUS

前提条件

スタティック IP サポートの設定

スタティック IP サポートの確認

公衆無線 LAN での ARP PING のサポートの設定

同時 NAT 動作数の制限

同時 NAT 動作数を制限する利点

サービス拒絶攻撃

NAT をターゲットとするウィルスやワーム

前提条件

IP アドレス保護用 NAT 設定の設定例

内部送信元アドレスのスタティック変換の設定:例

内部送信元アドレスのダイナミック変換の設定:例

内部グローバルアドレスのオーバーロード:例

重複アドレスの変換:例

NAT 仮想インターフェイスのイネーブル化:例

ロード バランシングを使用したサーバのオーバーロード回避:例

NAT ルート マッピングのイネーブル化:例

NAT ルート マップの外部から内部へのサポートのイネーブル化:例

外部 IP アドレスだけの NAT 変換の設定:例

NAT スタティック IP サポートの設定例

NAT スタティック IP サポートの設定:例

NAT スタティック IP サポートの RADIUS プロファイルの作成:例

レート制限 NAT 変換の設定例

グローバル NAT レート制限の設定:例

特定の VRF インスタンスの NAT レート制限の設定:例

すべての VRF インスタンスに対する NAT レート制限の設定:例

アクセス コントロール リストの NAT レート制限の設定:例

IP アドレスの NAT レート制限の設定:例

関連情報

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

IP アドレス保護用 NAT 設定に関する機能情報

IP アドレス保護用 NAT の設定

NAT により、インターネットに接続するための非登録 IP アドレスを使用するプライベート IP インターネットワークがイネーブルになります。NAT は、通常 2 つのネットワークを互いに接続するルータ上で動作し、パケットが別のネットワークに転送される前に内部ネットワーク内の(グローバルに一意ではない)プライベート アドレスを正規アドレスに変換します。NAT により、ネットワーク全体に対して 1 アドレスだけをネットワーク外にアドバタイズできます。この機能により、セキュリティが強化され、内部ネットワーク全体をその 1 アドレスの背後に効率的に隠すことができます。

NAT は、エンタープライズ エッジでも使用され、インターネットへの内部ユーザ アクセスと、メール サーバなどの内部デバイスへのインターネット アクセスが可能になります。

機能情報の入手方法

ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IP アドレス保護用 NAT 設定に関する機能情報」 を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

IP アドレス保護用 NAT 設定の前提条件

アクセス リスト

このモジュールで説明している作業で使用するために必要なすべてのアクセス リストは、設定作業を開始する前に設定します。アクセスリストの設定方法については、次の URL の『 IP Access List Sequence Numbering 』ドキュメントを参照してください。

http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_ip_entry_numbrng.html


) NAT コマンドで使用するアクセス リストを指定する場合、NAT は、アクセス リストで通常使用されている permit ip any any コマンドをサポートしていません。


NAT 要件、目標、およびインターフェイスの定義

ネットワークで NAT を設定する前に、どのようなインターフェイス NAT が設定されどのような目的であるのかを理解することは重要です。次の質問を使用して、NAT の使用方法と NAT の必要性について判断してください。

1. 次の質問に答えて、NAT の内部および外部インターフェイスを定義します。

ユーザが複数のインターフェイスに存在していますか。

複数のインターフェイスがインターネットと接続されていますか。

2. 次の質問に答えて、NAT で実行しようとすることを定義します。

NAT で、内部ユーザによるインターネットへのアクセスを許可しますか。

NAT で、メール サーバなどの内部デバイスへのインターネットによるアクセスを許可しますか。

NAT が TCP トラフィックを別の TCP ポートやアドレスにリダイレクトしますか。

ネットワーク遷移中に NAT を使用しますか。

NAT で、重複しているネットワークによる通信を許可しますか。

NAT で、異なるアドレス スキームを持つネットワークによる通信を許可しますか。

NAT で、アプリケーション レベル ゲートウェイの使用を許可しますか。

IP アドレス保護の NAT 設定の制約事項

スタブ ドメイン内にある数多くのホストがドメイン外と通信する場合、NAT は現実的ではありません。

一部のアプリケーションでは、NAT デバイスによる IP アドレスの変換が実用的でなくなるように、埋め込み IP アドレスを使用しています。これらのアプリケーションは、透過的に動作しないか、NAT デバイスを通じてまったく動作しない可能性があります。

NAT は、ホストの ID を隠すため、希望する結果によっては有利な場合と不利な場合があります。

NAT で設定されたルータは、ローカル ネットワークをネットワーク外にアドバタイズしてはいけません。ただし、外部から NAT が受信するルーティング情報は、通常どおりスタブ ドメインにアドバタイズできます。

NAT コマンドで使用するアクセス リストを指定する場合、NAT は、アクセス リストで通常使用されている permit ip any any コマンドをサポートしていません。

IP アドレス保護用 NAT 設定について

IP アドレス保護用 NAT を設定するには、次の概念を理解しておく必要があります。

「IP アドレス保護用 NAT の設定の利点」

「NAT の目的」

「NAT の機能」

「NAT の使用」

「NAT 内部および外部アドレス」

「NAT のタイプ」

IP アドレス保護用 NAT の設定の利点

NAT により、組織は、既存のネットワークがあり、インターネットにアクセスする際に IP アドレスの枯渇の問題を解決できます。まだ NIC 登録 IP アドレスを所有していないサイトはこれを取得する必要があり、254 を超えるクライアントが存在するか計画されている場合、クラス B アドレスの不足が深刻な問題になります。Cisco IOS NAT は、何千もの隠れた内部アドレスを取得しやすいクラス C アドレスにマッピングすることによって、この問題に対処します。

内部ネットワーク上のクライアントに対してすでに登録された IP アドレスを持つサイトは、ハッカーが直接クライアントを攻撃しないように、インターネットからこれらのアドレスを隠そうと考えます。クライアント アドレスを隠すことで、セキュリティがある程度確保されます。Cisco IOS NAT では、LAN 管理者はまったく自由にクラス A アドレス指定を拡張できます。これは、インターネット割り当て番号局(RFC 1597)の予約プールから受け取ります。この拡張は、LAN/インターネット インターフェイスでのアドレス指定の変更を意識することなく組織内部で行われます。

Cisco IOS は、選択的またはダイナミックに NAT を実行できます。この柔軟性により、ネットワーク管理者は RFC 1597 および RFC 1918 アドレスまたは登録アドレスを混合して使用できます。NAT は、IP アドレスの簡素化および保存のために、さまざまなルータで使用されるように設計されています。さらに、Cisco IOS NAT により、NAT に対して使用可能な内部ホストを選択できます。

NAT の大きな利点は、NAT が設定されるいくつかのルータを除き、ホストやルータの変更をせずに設定できることです。

NAT の目的

インターネットが直面している大きな 2 つの問題は、IP アドレス レンジの枯渇とルーティングのスケーリングです。NAT には、組織の IP ネットワークが実際に使用しているものとは別の IP アドレス レンジを使用しているように外部から見えるようにする機能があります。したがって、グローバルにルーティングできないアドレスを使用する組織では、NAT を使用して、グローバルにルーティングできるアドレス レンジに変換することによりインターネットに接続できます。また NAT により、サービス プロバイダーを変更しようとしている組織や Classless Interdomain Routing(CIDR; クラスレス ドメイン間ルーティング)ブロックへ自発的な再番号付けを行っている組織で、よりグレースフルな再番号付け方針を使用できます。NAT は、RFC 1631 で説明されています。

Cisco IOS Release 12.1(5)T より、NAT は、H.323 バージョン 2 の一部としての FastConnect および Alerting を含む、すべての H.225 および H.245 メッセージ タイプをサポートしています。これらのメッセージ タイプを使用する製品は、スタティック設定なしで Cisco IOS NAT 設定をパススルーできます。NetMeeting Directory(インターネット ロケータ サービス)のフル サポートも Cisco IOS NAT を通じて提供されます。

NAT の機能

NAT が設定されたルータは、内部ネットワークへのインターフェイスと外部ネットワークへのインターフェイスが少なくとも 1 つずつあります。典型的な環境では、NAT は、スタブ ドメインとバックボーンの間の出口ルータで設定されます。パケットがドメインを離れると、NAT がローカルで重要な送信元アドレスをグローバルに一意のアドレスに変換します。パケットがドメインに入ると、NAT はグローバルに一意の宛先アドレスをローカル アドレスに変換します。複数の出口ポイントが存在する場合、各 NAT には同じ変換テーブルが必要です。アドレスがなくなったためにソフトウェアがアドレスを割り当てることができない場合、パケットがドロップされて、ICMP ホスト到達不能パケットを送信します。

NAT の使用

NAT は、次のアプリケーションで使用できます。

インターネットに接続するものの、すべてのホストにグローバルに一意の IP アドレスがない場合。NAT により、インターネットに接続するための非登録 IP アドレスを使用するプライベート IP インターネットワークがイネーブルになります。NAT は、( 内部ネットワーク と見なされる)スタブ ドメインと( 外部ネットワーク として見なされる)インターネットなどのパブリック ネットワークの境界にあるルータに設定されます。NAT は、外部ネットワークにパケットを送信する前に、内部ローカル アドレスをグローバルに一意の IP アドレスに変換します。

内部アドレスを変更する必要がある場合。かなりの作業が必要になると思われる、これらの変更を行う代わりに、NAT を使用してこれらを変換できます。

TCP トラフィックの基本ロード シェアリングを実行する場合。TCP 負荷分散機能を使用して、単一のグローバル IP アドレスを多くのローカル IP アドレスにマッピングすることができます。

接続の問題に対する解決策として、スタブ ドメイン内で比較的少ないホストがドメインの外部と同時に通信する場合だけ NAT は実際に役に立ちます。このような場合、外部通信が必要なときに、グローバルに一意の IP アドレスに変換しなければならないのはドメイン内の小さな IP アドレスのサブセットだけで、これらのアドレスは使用されなくなった際に再利用できます。

NAT 内部および外部アドレス

NAT に関連して、 内部 とは組織が所有し、変換する必要のあるネットワークのことを指します。このドメインの内部では、各ホストのアドレスはあるアドレス レンジ内のアドレスです。一方外部では、NAT が設定されている場合、別のアドレス レンジ内のアドレスを持つように見えます。最初のアドレス レンジは ローカル アドレス レンジと呼ばれ、2 番目のアドレスは グローバル アドレス レンジと呼ばれます。

同様に、 外部 は、スタブ ネットワークが接続するネットワークで、一般的に組織の管理外にあるネットワークを指します。外部ネットワーク内のホストも変換対象となるため、ローカル アドレスとグローバル アドレスを持つことができます。

NAT では、次の定義が使用されます。

内部ローカル アドレス:内部ネットワークにあるホストに割り当てられた IP アドレス。アドレスは、Network Information Center(NIC)またはサービス プロバイダーによって割り当てられた正規の IP アドレスではないと考えられます。

内部グローバル アドレス:外部に対して 1 つ以上の内部ローカル IP アドレスを表す(NIC またはサービス プロバイダーによって割り当てられた)正規の IP アドレス。

外部ローカル アドレス:内部ネットワークに表示される外部ホストの IP アドレス。内部でルーティング可能なアドレス レンジから割り当てられているため、正規アドレスであるとは限りません。

外部グローバル アドレス:ホストの所有者によって外部ネットワークのホストに割り当てられた IP アドレス。アドレスは、グローバルにルーティング可能なアドレスまたはネットワーク レンジから割り当てられました。

NAT のタイプ

NAT は、一般的に 2 つのネットワークだけを接続するルータ上で動作し、パケットが別のネットワークに転送される前に、内部ネットワーク内のプライベート(内部ローカル)アドレスを、パブリック(外部ローカル)アドレスに変換します。この機能により、ユーザは、ネットワーク全体の単一アドレスだけを外部にアドバタイズするように NAT を設定することもできるようになります。このようにすることで、内部ネットワークを効果的に外部から隠すことでき、セキュリティを強化できます。

NAT のタイプには、次のものがあります。

スタティック アドレス変換(スタティック NAT):ローカル アドレスとグローバル アドレスの 1 対 1 マッピングが可能です。

ダイナミック アドレス変換(ダイナミック NAT):未登録の IP アドレスを登録 IP アドレスのプール外にある登録 IP アドレスにマッピングします。

オーバーロード:ダイナミック NAT の形式で、複数の未登録 IP アドレスを別のポートを使用する単一の登録 IP アドレス(多対一)にマッピングします。この方式は、Port Address Translation(PAT; ポート アドレス変換)とも呼ばれます。PAT(NAT オーバーロード)を使用することで、数千ものユーザがたった 1 つの実グローバル IP アドレスを使用してインターネットに接続できます。

IP アドレス保護用 NAT 設定の方法

この項で説明されている作業は、IP アドレス保護用 NAT を設定するものです。この項のいずれの作業も不要ですが、この作業の内の少なくとも 1 つが実行される必要があります。複数の作業が必要になることもあります。ここでは、次の各手順について説明します。

「内部送信元アドレスの設定」(必須)

「NAT を使用するインターネットへの内部ユーザ アクセスの許可」(任意)

「アドレス変換タイムアウトの設定」(必須)

「重複ネットワークでの NAT を使用した通信の有効化」(任意)

「NAT 仮想インターフェイスの設定」(必須)

「TCP ロード バランシングを使用したサーバ オーバーロードの回避」(必須)

「アドレス変換決定のルート マップの使用」(必須)

「NAT ルート マップの外部から内部へのサポートのイネーブル化」(必須)

「外部 IP アドレスだけの NAT の設定」(必須)

「デフォルト内部サーバに対する NAT の設定」(必須)

「NBAR を使用した NAT RTSP サポートの設定」(必須)

「スタティック IP アドレスのあるユーザに対するサポートの設定」(必須)

「同時 NAT 動作数の制限」(任意)

内部送信元アドレスの設定

内部送信元アドレスは、スタティックまたはダイナミック変換用に設定できます。要件に応じて次の作業のいずれかを実行します。

「内部送信元アドレスのスタティック変換の設定」(必須)

「内部送信元アドレスのダイナミック変換の設定」(必須)

内部送信元アドレス変換

ネットワーク外部と通信する際に、独自の IP アドレスをグローバルに一意の IP アドレスに変換できます。次のようにスタティックまたはダイナミック内部送信元変換を設定できます。

スタティック変換 は、内部ローカル アドレスと内部グローバル アドレスの 1 対 1 マッピングを確立します。外部から固定アドレスによって内部のホストにアクセス可能にする必要がある場合、スタティック変換は便利です。

ダイナミック変換 は、内部ローカル アドレスとグローバル アドレス プールのマッピングを確立します。

図 1 に、ネットワーク内部の送信元アドレスをネットワーク外部の送信元アドレスに変換しているルータを示します。

図 1 NAT 内部送信元変換

 

次のプロセスは、図 1で示している、内部送信元アドレス変換を説明しています。

1. ホスト 1.1.1.1 のユーザがホスト B との接続を開始します。

2. ルータがホスト 1.1.1.1 から受信する最初のパケットによって、ルータが NAT テーブルをチェックします。

スタティック変換エントリが設定されていた場合、ルータは手順 3 に進みます。

変換エントリが存在しない場合、Source Address(SA; 送信元アドレス)1.1.1.1 がダイナミックに変換されることをルータが決定し、ダイナミック アドレス プールから正規のグローバル アドレスを選択し、変換エントリを作成します。このタイプのエントリは、 シンプル エントリ と呼ばれます。

3. ルータがホスト 1.1.1.1 の内部ローカル送信元アドレスを変換エントリのグローバル アドレスに置き換えて、パケットを転送します。

4. ホスト B がパケットを受信して、内部グローバル IP Destination Address(DA; 宛先アドレス)2.2.2.2 を使用して、ホスト 1.1.1.1 に応答します。

5. ルータが内部グローバル IP アドレスを持つパケットを受信する際に、キーとして内部グローバル アドレスを使用して NAT テーブル ルックアップを実行します。次に、アドレスをホスト 1.1.1.1 の内部ローカル アドレスに変換して、パケットをホスト 1.1.1.1 に転送します。

ホスト 1.1.1.1 がパケットを受信して、対話を継続します。ルータは、パケットに対して手順 2 ~ 5 を実行します。

内部送信元アドレスのスタティック変換の設定

内部ローカル アドレスと内部グローバル アドレスとの間の 1 対 1 マッピングを許可する場合に、内部送信元アドレスのスタティック変換を設定します。外部から固定アドレスによって内部のホストにアクセス可能にする必要がある場合、スタティック変換は便利です。

手順の概要

1. enable

2. configure terminal

3. ip nat inside source static local-ip global-ip

4. interface type number

5. ip address ip-address mask [ secondary ]

6. ip nat inside

7. exit

8. interface type number

9. ip address ip-address mask

10. ip nat outside

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat inside source static local-ip global-ip

 

Router(config)# ip nat inside source static 10.10.10.1 172.16.131.1

内部ローカル アドレスと内部グローバル アドレスとの間のスタティック変換を確立します。

ステップ 4

interface type number

 

Router(config)# interface ethernet 1

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

ip address ip-address mask [ secondary ]

 

Router(config-if)# ip address 10.114.11.39 255.255.255.0

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 6

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 7

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、コンフィギュレーション モードに戻ります。

ステップ 8

interface type number

 

Router(config)# interface ethernet 0

別のインターフェイスを指定して、インターフェイス コンフィギュレーション モードに戻ります。

ステップ 9

ip address ip-address mask

 

Router(config-if)# ip address 172.31.232.182 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 10

ip nat outside

 

Router(config-if)# ip nat outside

外部への接続としてインターフェイスをマークします。

内部送信元アドレスのダイナミック変換の設定

ダイナミック変換は、内部ローカル アドレスとグローバル アドレス プールのマッピングを確立します。ダイナミック変換は、プライベート ネットワーク上にある複数のユーザがインターネットにアクセスする必要がある場合に便利です。ダイナミックに設定されたプール IP アドレスは、必要に応じて使用でき、インターネットへのアクセスが不要になると、他ユーザによってリリースされます。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start-ip end-ip { netmask netmask | prefix - length prefix-length }

4. access-list access-list-number permit source [ source-wildcard ]

5. ip nat inside source list access-list - number pool name

6. interface type number

7. ip address ip-address mask

8. ip nat inside

9. exit

10. interface type number

11. ip address ip-address mask

12. ip nat outside

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name start-ip end-ip { netmask netmask | prefix-length prefix-length }

 

Router(config)# ip nat pool net-208 171.69.233.208 171.69.233.223 prefix-length 28

必要に応じて割り当てるグローバル アドレス プールを定義します。

ステップ 4

access-list access-list-number permit source [ source-wildcard ]

 

Router(config)# access-list 1 permit 192.5.34.0 0.0.0.255

変換されるこれらのアドレスを許可する標準アクセス リストを定義します。

ステップ 5

ip nat inside source list access-list - number pool name

 

Router(config)# ip nat inside source list 1 pool net-208

ダイナミック送信元変換を確立して、前の手順で定義したアクセス リストを指定します。

ステップ 6

interface type number

 

Router(config)# interface ethernet 1

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip address ip-address mask

 

Router(config-if)# ip address 10.114.11.39 255.255.255.0

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 8

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 9

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、コンフィギュレーション モードに戻ります。

ステップ 10

interface type number

 

Router(config-if)# interface ethernet 0

別のインターフェイスを指定して、インターフェイス コンフィギュレーション モードに戻ります。

ステップ 11

ip address ip-address mask

 

Router(config)# ip address 172.69.232.182 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 12

ip nat outside

 

Router(config-if)# ip nat outside

外部への接続としてインターフェイスをマークします。

NAT を使用するインターネットへの内部ユーザ アクセスの許可

この作業を実行して、インターネットへの内部ユーザ アクセスを可能にし、グローバル アドレスのオーバーロードを使用して内部アドレス プールのアドレスを節約します。

内部グローバル アドレス オーバーロード

ルータで 1 つのグローバル アドレスを複数のローカル アドレスに使用できるようにすることで、内部グローバル アドレス プール内のアドレスを節約できます。このオーバーロードが設定されている場合、ルータは上位レベルのプロトコルからの十分な情報(たとえば TCP や UDP ポート番号)を保持して、グローバル アドレスを正しいローカル アドレスに変換し戻します。複数のローカル アドレスが 1 つのグローバル アドレスにマッピングされると、各内部ホストの TCP または UDP ポート番号でローカル アドレスが識別されます。

図 2 は、1 つのグローバル アドレスが複数の内部ローカル アドレスを表す NAT 動作を示したものです。TCP ポート番号は識別要因として機能します。

図 2 内部グローバルアドレスの NAT オーバーロード

 

ルータは、図 2で示しているような内部グローバル アドレスのオーバーロードで次のプロセスを実行します。ホスト B とホスト C はアドレス 2.2.2.2 の単一ホストと通信していると認識しています。実際には、異なるホストと通信しており、ポート番号で識別しています。実際に、多くの内部ホストは多くのポート番号を使用することによって、内部グローバル IP アドレスを共有できます。

1. ホスト 1.1.1.1 のユーザがホスト B との接続を開始します。

2. ルータがホスト 1.1.1.1 から受信する最初のパケットによって、ルータが NAT テーブルをチェックします。

変換エントリが存在しない場合、ルータはアドレス 1.1.1.1 が変換される必要があると認識して、内部ローカル アドレス 1.1.1.1 の正規グローバル アドレスへの変換を設定します。

オーバーロードがイネーブルで別の変換がアクティブな場合、ルータはその変換からグローバル アドレスを再利用して、変換し戻すための十分な情報を保存します。このエントリのタイプは 拡張エントリ と呼ばれます。

3. ルータは、ローカル発信元アドレス 1.1.1.1 を選択されたグローバル アドレスに変換して、パケットを転送します。

4. ホスト B がパケットを受信して、内部グローバル IP アドレス 2.2.2.2 を使用して、ホスト 1.1.1.1 に応答します。

5. ルータが内部グローバル アドレスを持つパケットを受信すると、プロトコル、内部グローバル アドレスとポート、および外部アドレスとポートをキーとして使用して、NAT テーブル ルックアップを実行し、アドレスを内部ローカル アドレス 1.1.1.1 に変換して、パケットをホスト 1.1.1.1 に転送します。

ホスト 1.1.1.1 がパケットを受信して、対話を継続します。ルータが各パケットに対して手順 2 ~ 5 を実行します。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start-ip end-ip { netmask netmask | prefix - length prefix-length }

4. access-list access-list-number permit source [ source-wildcard ]

5. ip nat inside source list access-list - number pool name overload

6. interface type number

7. ip address ip-address mask

8. ip nat inside

9. exit

10. interface type number

11. ip address ip-address mask

12. ip nat outside

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name s tart-ip end-ip { netmask netmask | prefix-length prefix-length }

 

Router(config)# ip nat pool net-208 209.165.202.129 209.165.202.158 netmask 255.255.255.240

必要に応じて割り当てるグローバル アドレス プールを定義します。

ステップ 4

access-list access-list-number permit source [ source-wildcard ]

 

Router(config)# access-list 1 permit 209.165.201.30 0.0.0.255

変換されるこれらのアドレスを許可する標準アクセス リストを定義します。

アクセス リストは、変換されるアドレスに対してだけ許可される必要があります(各アクセス リストの終わりには暗黙的に「すべての拒否」があることを覚えておいてください)。厳格ではないアクセス リストは予想外の結果を招く可能性があります。

ステップ 5

ip nat inside source list access-list - number pool name overload

 

Router(config)# ip nat inside source list 1 pool net-208 overload

オーバーロードでダイナミック送信元変換を確立して、前の手順で定義したアクセス リストを指定します。

ステップ 6

interface type number

 

Router(config)# interface ethernet 1

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip address ip-address mask

 

Router(config-if)# ip address 209.165.201.1 255.255.255.0

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 8

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 9

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、コンフィギュレーション モードに戻ります。

ステップ 10

interface type number

 

Router(config)# interface ethernet 0

別のインターフェイスを指定して、インターフェイス コンフィギュレーション モードに戻ります。

ステップ 11

ip address ip-address mask

 

Router(config-if)# ip address 209.165.201.29 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 12

ip nat outside

 

Router(config-if)# ip nat outside

外部への接続としてインターフェイスをマークします。

アドレス変換タイムアウトの設定

類似の目的に対処するため、この項には複数の作業がありますが、NAT の特定の設定に適用可能な作業を 1 つ選択する必要があります。

次のいずれかの作業を実行します。

「変換タイムアウト デフォルトの変更」

「オーバーロード設定時のデフォルト タイムアウトの変更」

変換タイムアウト デフォルトの変更

デフォルトで、ダイナミック アドレス変換は、一定の未使用期間が経過するとタイムアウトします。必要に応じて、タイムアウトのデフォルト値を変更できます。オーバーロードが設定されていない場合、単純な変換エントリは 24 時間後にタイムアウトになります。

手順の概要

1. enable

2. configure terminal

3. ip nat translation timeout seconds

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat translation timeout seconds

 

Router(config)# ip nat translation timeout 500

オーバーロードを使用しないダイナミック アドレス変換のタイムアウト値を変更します。

オーバーロード設定時のデフォルト タイムアウトの変更

オーバーロードを設定している場合、各変換エントリにはそのエントリを使用するトラフィックに関するコンテキストが数多くあるため、そのエントリのタイムアウトの管理を強化できます。拡張エントリでタイムアウトを変更するには、必要に応じて次のコマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. ip nat translation udp-timeout seconds

4. ip nat translation dns-timeout seconds

5. ip nat translation tcp-timeout seconds

6. ip nat translation finrst-timeout seconds

7. ip nat translation icmp-timeout seconds

8. ip nat translation syn-timeout seconds

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat translation udp-timeout seconds

 

Router(config)# ip nat translation udp-timeout 300

(任意)UDP タイムアウト値を 5 分から別の値に変更します。

ステップ 4

ip nat translation dns-timeout seconds

 

Router(config)# ip nat translation dns-timeout 45

(任意)DNS タイムアウト値を 1 分から別の値に変更します。

ステップ 5

ip nat translation tcp-timeout seconds

 

Router(config)# i p nat translation tcp-timeout 2500

(任意)TCP タイムアウト値を 24 時間から別の値に変更します。

ステップ 6

ip nat translation finrst-timeout seconds

 

Router(config)# ip nat translation finrst-timeout 45

(任意)終了およびリセット タイムアウト値を 1 分から別の値に変更します。

ステップ 7

ip nat translation icmp-timeout seconds

 

Router(config)# ip nat translation icmp-timeout 45

(任意)ICMP タイムアウト値を 24 時間から別の値に変更します。

ステップ 8

ip nat translation syn-timeout seconds

 

Router(config)# ip nat translation syn-timeout 45

(任意)同期(SYN)タイムアウト値を 1 分から別の値に変更します。

重複ネットワークでの NAT を使用した通信の有効化

この項の作業は、同じアクションを実行するため、グループ化できます。しかし、実装される変換タイプ(スタティックかダイナミック)に応じて異なった形で実行されます。

実装される変換タイプに適用される作業を実行します。

「重複ネットワークのスタティック変換の設定」

「重複ネットワークのダイナミック変換の設定」

重複ネットワークのアドレス変換

NAT は、IP アドレスを変換するために使用されますが、これは、IP アドレスが正規に割り当てられた IP アドレスではないために行われる場合があります。おそらく公式には別のネットワークに属している IP アドレスを選択した結果でしょう。正規と非正規の両方に使用されているアドレスの問題は、 インデックス重複 と呼ばれます。NAT を使用して、外部アドレスと重複している内部アドレスを変換します。

図 3 に、NAT による重複ネットワークの変換方法を示します。

図 3 NAT での重複アドレスの変換

 

重複アドレスの変換時に、ルータは次のプロセスを実行します。

1. ホスト 1.1.1.1 のユーザが、名前によるホスト C との通信を開始し、DNS サーバから名前対アドレスのルックアップを要求します。

2. ルータが DNS 応答を代行受信し、重複がある場合(つまり正規アドレスが内部ネットワークに非公式に存在する場合)返されたアドレスを変換します。返されたアドレスを変換するために、ルータが、シンプルな変換エントリを作成し、重複アドレス 1.1.1.3 を、個別に設定された外部ローカル アドレス プールからのアドレスにマッピングするシンプルな変換エントリを作成します。

ルータは、あらゆるところからのすべての DNS 応答を確認して、IP アドレスがスタブ ネットワーク内にないことを確認します。存在する場合は、ルータがアドレスを変換します。

3. ホスト 1.1.1.1 で 3.3.3.3 への通信を開始します。

4. ルータは、内部ローカルおよびグローバル アドレスの相互変換マッピングと、外部グローバルおよびローカル アドレスの相互変換マッピングを設定します。

5. ルータは、SA を内部グローバル アドレスに置換し、DA を外部グローバル アドレスに置換します。

6. ホスト C がパケットを受信して、対話を継続します。

7. ルータがルックアップを実行し、DA を内部ローカル アドレスに置換し、SA を外部ローカル アドレスに置換します。

8. ホスト 1.1.1.1 がパケットを受信し、対話が継続され、この変換プロセスを使用します。

重複ネットワークのスタティック変換の設定

スタブ ネットワーク内の IP アドレスが別のネットワークに属する正規の IP アドレスで、スタティック変換を使用してこれらのホストやルータと通信する場合、重複ネットワークのスタティック変換を設定します。

手順の概要

1. enable

2. configure terminal

3. ip nat inside source static local-ip global-ip

4. interface type number

5. ip address ip-address mask

6. ip nat inside

7. exit

8. interface type number

9. ip address ip-address mask

10. ip nat outside

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat inside source static local-ip global-ip

 

Router(config)# ip nat inside source static 192.168.121.33 2.2.2.1

内部ローカル アドレスと内部グローバル アドレスとの間のスタティック変換を確立します。

ステップ 4

interface type number

 

Router(config)# interface ethernet 1

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

ip address ip-address mask

 

Router(config-if)# ip address 10.114.11.39 255.255.255.0

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 6

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 7

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、コンフィギュレーション モードに戻ります。

ステップ 8

interface type number

 

Router(config)# interface ethernet 0

別のインターフェイスを指定して、インターフェイス コンフィギュレーション モードに戻ります。

ステップ 9

ip address ip-address mask

 

Router(config-if)# ip address 172.69.232.182 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 10

ip nat outside

 

Router(config-if)# ip nat outside

外部への接続としてインターフェイスをマークします。

この次の手順

すべての必要な設定を完了したら、「NAT のモニタリングおよびメンテナンス」モジュールに進みます。

重複ネットワークのダイナミック変換の設定

スタブ ネットワーク内の IP アドレスが別のネットワークに属する正規の IP アドレスで、ダイナミック変換を使用してこれらのホストやルータと通信する場合、重複ネットワークのダイナミック変換を設定します。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start-ip end-ip { netmask netmask | prefix - length prefix-length }

4. access-list access-list-number permit source [ source-wildcard ]

5. ip nat outside source list access-list - number pool name

6. interface type number

7. ip address ip-address mask

8. ip nat inside

9. exit

10. interface type number

11. ip address ip-address mask

12. ip nat outside

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name s tart-ip end-ip { netmask netmask | prefix-length prefix-length }

 

Router(config)# ip nat pool net-10 10.0.1.0 10.0.1.255 prefix-length 24

必要に応じて割り当てるグローバル アドレス プールを定義します。

ステップ 4

access-list access-list-number permit source [ source-wildcard ]

 

Router(config)# access-list 1 permit 9.114.11.0 0.0.0.255

変換されるこれらのアドレスを許可する標準アクセス リストを定義します。

アクセス リストは、変換されるアドレスに対してだけ許可される必要があります(各アクセス リストの終わりには暗黙的に「すべての拒否」があることを覚えておいてください)。厳格ではないアクセス リストは予想外の結果を招く可能性があります。

ステップ 5

ip nat outside source list access-list - number pool name

 

Router(config)# ip nat outside source list 1 pool net-10

ダイナミック外部送信元変換を確立して、前の手順で定義したアクセス リストを指定します。

ステップ 6

interface type number

 

Router(config)# interface ethernet 1

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip address ip-address mask

 

Router(config-if)# ip address 10.114.11.39 255.255.255.0

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 8

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 9

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、コンフィギュレーション モードに戻ります。

ステップ 10

interface type number

 

Router(config)# interface ethernet 0

別のインターフェイスを指定して、インターフェイス コンフィギュレーション モードに戻ります。

ステップ 11

ip address ip-address mask

 

Router(config-if)# ip address 172.69.232.182 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 12

ip nat outside

 

Router(config-if)# ip nat outside

外部への接続としてインターフェイスをマークします。

NAT 仮想インターフェイスの設定

NAT Virtual Interface(NVI; NAT 仮想インターフェイス)機能を使用すると、インターフェイスをネットワーク アドレス変換(NAT)内部または NAT 外部として設定する必要性がなくなります。インターフェイスは、NAT を使用するようにも、使用しないようにも設定できます。

ここでは、次の各手順について説明します。

「NAT 仮想インターフェイスの制約事項」

「スタティック NAT 仮想インターフェイスのイネーブル化」

NAT 仮想インターフェイス機能を設定する前に、次の概念を理解しておきます。

「NAT 仮想インターフェイスの設計」

「NAT 仮想インターフェイスの利点」

NAT 仮想インターフェイスの設計

NAT 仮想インターフェイス機能により、仮想インターフェイス上のすべての NAT トラフィック フローで、内部および外部ドメインを指定する必要がなくなります。ドメインが指定されると、トラフィック フローが内部から外部なのか、あるいは外部から内部なのかに応じて、ルート決定の前後のいずれかで変換ルールが適用されます。変換ルールは、NVI のルート決定後だけに適用されます。

NAT ルータへ接続されている複数のネットワークからのパケットの変換用に NAT プールが共有される場合、NVI が作成されて、NAT プールへアドレス指定されたすべてのパケットが NVI に転送されるようにスタティック ルートが設定されます。さまざまなネットワークに接続された標準インターフェイスは、インターフェイスから発信または受信されるトラフィックを変換する必要があることを識別するように設定されます。

図 4 に、典型的な NAT 仮想インターフェイス コンフィギュレーションを示します。

図 4 NAT 仮想インターフェイスの典型的な設定

 

NAT 仮想インターフェイスの利点

NAT テーブルは、パフォーマンスとスケーラビリティをよくするためにインターフェイスごとに維持されます。

ドメイン固有 NAT 設定は行う必要がなくなりました。

NAT 仮想インターフェイスの制約事項

ルートマップはサポートされていません。

ダイナミック NAT 仮想インターフェイスのイネーブル化

この作業を実行して、ダイナミック NAT 仮想インターフェイスをイネーブルにします。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip nat enable

5. exit

6. ip nat pool name start - ip end - ip netmask netmask add-route

7. ip nat source list access-list-number pool name vrf name

8. ip nat source list access - list - number pool name vrf name overload

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface FastEthernet l

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip nat enable

 

Router(config-if)# ip nat enable

NAT 用に VPN とインターネットに接続するインターフェイスを設定します。

ステップ 5

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

ip nat pool name start - ip end - ip netmask netmask add - route

 

Router(config)# ip nat pool pool1 209.165.200.225 209.165.200.254 netmask 255.255.255.0 add-route

NAT プールと関連マッピングを設定します。

ステップ 7

ip nat source list access-list-number pool number vrf name

 

Router(config)# ip nat source list 1 pool 1 vrf shop

特定の顧客に対して内部または外部仕様のない NAT 仮想インターフェイスを設定します。

ステップ 8

ip nat source list access-list-number pool number vrf name overload

 

Router(config)# ip nat source list 1 pool 1 vrf bank overload

特定の顧客に対して内部または外部仕様のない NAT 仮想インターフェイスを設定します。

スタティック NAT 仮想インターフェイスのイネーブル化

この作業を実行して、スタティック NAT 仮想インターフェイスをイネーブルにします。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip nat enable

5. exit

6. ip nat source static local-ip global-ip vrf name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface FastEthernet l

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip nat enable

 

Router(config-if)# ip nat enable

NAT 用に VPN とインターネットに接続するインターフェイスを設定します。

ステップ 5

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

ip nat source static local - ip global - ip vrf name

 

Router(config)# ip nat source static 192.168.123.1 192.168.125.10 vrf bank

スタティック NVI を設定します。

TCP ロード バランシングを使用したサーバ オーバーロードの回避

この作業を実行して、宛先アドレス ロータリー変換によるサーバ TCP ロード バランシングを設定します。これらのコマンドにより、1 つの仮想ホストを多くの実ホストにマッピングすることができるようになります。仮想ホストで開いた各新規 TCP セッションは、別の実ホストのセッションに変換されます。

NAT の TCP 負荷分散

別の NAT の使用方法として、インターネット アドレスへの関連付けをしないというものがあります。組織に使用頻度の高いホストと通信する必要のある複数のホストがある場合があります。NAT を使用して、実ホスト間の負荷分散を調整する内部ネットワーク上で仮想ホストを隔離できます。アクセス リストと一致する DA がロータリー プールからのアドレスに置き換えられます。外側から内側に対して新規接続が開いた場合だけ、割り当てがラウンドロビン方式で実行されます。(他の変換が有効になっていない限り)非 TCP トラフィックは変換されないまま通過します。図 5 に、この機能を示します。

図 5 NAT TCP 負荷分散

 

ロータリー アドレスの変換時に、ルータは次のプロセスを実行します。

1. ホスト B(9.6.7.3)のユーザが 1.1.1.127 にある仮想ホストの接続を開きます。

2. ルータが接続要求を受信して新規変換を作成し、内部ローカル IP アドレスに対して次の実ホスト(1.1.1.1)を割り当てます。

3. ルータは宛先アドレスを選択された実ホストのアドレスに置換して、パケットを転送します。

4. ホスト 1.1.1.1 がパケットを受信して、応答します。

5. ルータがパケットを受信して、内部ローカル アドレスとポート番号、および外部アドレスとポート番号をキーとして使用して NAT テーブル ルックアップを実行します。次に、ルータが送信元アドレスを仮想ホストのアドレスに変換して、パケットを転送します。

次の接続要求で、ルータが内部ローカル アドレスに対して 1.1.1.2 を割り当てます。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start-ip end-ip { netmask netmask | prefix-length prefix-length } type rotary

4. access-list access-list-number permit source [ source-wildcard ]

5. ip nat inside destination-list access-list-number pool name

6. interface type number

7. ip address ip-address mask

8. ip nat inside

9. exit

10. interface type number

11. ip address ip-address mask

12. ip nat outside

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name start -ip end-ip { netmask netmask | prefix-length prefix-length } type rotary

 

Router(config)# ip nat pool real-hosts 209.165.201.2 209.165.201.5 prefix-length 28 type rotary

実ホストのアドレスを含むアドレス プールを定義します。

ステップ 4

access-list access-list-number permit source [ source-wildcard ]

 

Router(config)# access-list 1 permit 209.165.201.30 0.0.0.255

仮想ホストのアドレスを許可するアクセス リストを定義します。

ステップ 5

ip nat inside destination-list access-list-number pool name

 

Router(config)# ip nat inside destination-list 2 pool real-hosts

ダイナミック内部宛先変換を確立して、前のステップで定義したアクセス リストを指定します。

ステップ 6

interface type number

 
Router(config)# interface ethernet 0

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip address ip-address mask

 

Router(config-if)# ip address 209.165.201.1 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 8

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 9

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、コンフィギュレーション モードに戻ります。

ステップ 10

interface type number

 

Router(config)# interface serial 0

別のインターフェイスを指定して、インターフェイス コンフィギュレーション モードに戻ります。

ステップ 11

ip address ip-address mask

 

Router(config-if)# ip address 192.168.15.129 255.255.255.240

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 12

ip nat outside

 

Router(config-if)# ip nat outside

外部への接続としてインターフェイスをマークします。

アドレス変換決定のルート マップの使用

この作業を実行して、アドレス変換決定のルート マップを使用します。

ルート マップの概要

NAT の場合、アクセス リストではなくルート マップが処理される必要があります。ルート マップにより、使用するプールを決定するためにアクセス リスト、ネクスト ホップ IP アドレス、および出力インターフェイスの任意の組み合わせを照合できます。スタティック変換でルート マップを使用する機能があることで、スタティック アドレス変換による NAT マルチホーミングが可能になります。マルチホーミングされた内部ネットワークは、別の外部ネットワークからアクセスされる、インターネットや Domain Name System(DNS; ドメイン ネーム システム)などの共通サービスをホスティングできます。NAT は、辞書的な順序でルート マップベースのマッピングを処理します。スタティック NAT およびダイナミック NAT が同一名を共有するルート マップで設定されている場合、スタティック NAT がダイナミック NAT よりも優先されます。スタティック NAT がダイナミック NAT よりも優先されることを確認するために、同一名を共有するスタティック NAT とダイナミック NAT に関連付けられたルート マップを設定するか、ダイナミック NAT ルート マップ名よりも辞書的な順序が前に来るようにスタティック NAT ルート マップ名を設定します。

アドレス変換にルート マップを使用することの利点

ルート マップ ステートメントを設定する機能で、NAT とともに IP Security(IPsec)を使用するオプションがあります。

変換決定は、スタティック変換エントリが使用される際に宛先 IP アドレスに基づいて行うことができます。

前提条件

この作業で使用する場合に必要なすべてのルート マップは、設定作業の前に設定しておきます。

手順の概要

1. enable

2. configure terminal

3. ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static local-ip global-ip route-map map-name }

4. exit

5. show ip nat translations [ verbose ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static local-ip global-ip route-map map-name }

 
Router(config)# ip nat inside source static 209.165.201.6 209.165.201.21 route-map isp2

NAT 内部インターフェイスで設定されているスタティック NAT によるルート マッピングをイネーブルにします。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 5

show ip nat translations [ verbose ]

 

Router# show ip nat translations

(任意)アクティブ NAT を表示します。

NAT ルート マップの外部から内部へのサポートのイネーブル化

NAT ルート マップの外部から内部へのサポート機能は、外部から内部に IP セッションを開始できるようにする NAT ルートマップ設定の展開をイネーブルにします。この作業を実行して、NAT ルート マップの外部から内部へのサポートをイネーブルにします。

ルート マップの外部から内部へのサポートの設計

NAT をトリガーするためには、内部から外部への初期セッションが必要です。これで、外部から内部の、初期変換がトリガーされた内部ホストに対する、新規変換セッションの開始が可能になります。

グローバル アドレスを割り当てるためにルート マップが使用される場合、グローバル アドレスでリターン トラフィックを許可でき、リターン トラフィックが反対方向で定義されたルート マップと一致する場合だけリターン トラフィックが許可されます。 reversible キーワードが ip nat inside source コマンドとともに使用されない限り、ルート マップベースのダイナミック エントリに対するリターン トラフィックを許可するために、追加のエントリを作成しないことによって、現在の機能は変更されないままになります。

制約事項

ルート マップ設定の一部である IP ホストだけが、外部セッションを許可します。

外部から内部へのサポートは、Port Address Translation(PAT; ポート アドレス変換)で利用できません。

外部セッションは、アクセス リストを使用する必要があります。

内部から外部へのトラフィックを照合するために、リバーシブル ルート マップのあるアクセス リストを設定する必要があります。

一致インターフェイスまたは一致ネクストホップは、リバーシブル ルートマップではサポートされていません。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start - ip end - ip netmask netmask

4. ip nat pool name start - ip end - ip netmask netmask

5. ip nat inside source route-map name pool name [ reversible ]

6. ip nat inside source route-map name pool name [ reversible ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name start - ip end - ip netmask netmask

 

Router# ip nat pool POOL-A 209.165.201.4 209.165.201.6 netmask 255.255.255.128

NAT のネットワーク アドレス プールを定義します。

ステップ 4

ip nat pool name start - ip end - ip netmask netmask

 

Router# ip nat pool POOL-B 209.165.201.7 209.165.201.9 netmask 255.255.255.128

NAT のネットワーク アドレス プールを定義します。

ステップ 5

ip nat inside source route-map name pool name reversible

 

Router# ip nat inside source route-map MAP-A pool POOL-A reversible

外部から内部への開始セッションをイネーブルにして、宛先ベース NAT でルート マップを使用できるようにします。

ステップ 6

ip nat inside source route-map name pool name reversible

 

Router# ip nat inside source route-map MAP-B pool POOL-B reversible

外部から内部への開始セッションをイネーブルにして、宛先ベース NAT でルート マップを使用できるようにします。

外部 IP アドレスだけの NAT の設定

外部 IP アドレスだけの NAT を設定する場合、任意のアプリケーションおよびトラフィック タイプに対してすべての組み込み IP アドレスを無視するように NAT を設定できます。ホストと外部との間のトラフィックは、内部ネットワークを流れます。NAT 用に設定されたルータは、パケットを内部ネットワークでルーティングできるようなアドレスに変換します。想定される宛先が外部の場合、パケットは外部アドレスに変換し戻されて、送信されます。

外部 IP アドレスだけの NAT を設定する利点

特定のルート更新なしでパブリックおよびプライベート ネットワーク アーキテクチャをサポートします。

開始時点でエンド クライアントに対して利用可能な IP アドレスを提供します。このアドレスは、IP セキュリティ接続およびトラフィックに使用されるアドレスです。

ヘッダー変換だけが必要なネットワーク アーキテクチャを使用できます。

エンタープライズは、エンタープライズ バックボーン ネットワークとしてインターネットを使用できます。

手順の概要

1. enable

2. configure terminal

3. ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static network local-ip global-ip no-payload }

4. ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static { tcp | upd } local-port global-port no-payload }

5. ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static [ network ] local-network-mask global-network-mask no-payload }

6. ip nat outside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static local-ip global-ip no-payload }

7. ip nat outside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static { tcp | upd } local-port global-port no-payload }

8. ip nat outside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static [ network ] local-network-mask global-network-mask no-payload }

9. exit

10. show ip nat translations [ verbose ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static [ network ] local-ip global-ip no-payload }

 
Router(config)# ip nat inside source static network 10.1.1.1 192.168.251.0/24 no-payload

内部ホスト ルータでのネットワーク パケット変換をディセーブルにします。

ステップ 4

ip nat inside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static { tcp | upd } local-port global-port no-payload }

 
Router(config)# ip nat inside source static tcp 10.1.1.1 2000 192.1.1.1 2000 no-payload

内部ホスト ルータでのポート パケット変換をディセーブルにします。

ステップ 5

ip nat inside source { list { access-list-number | access-list-name} pool pool-name [ overload ] | static [ network ] local-network-mask global-network-mask no-payload }

 
Router(config)# p nat inside source static 10.1.1.1 192.1.1.1 no-payload

内部ホスト ルータでのパケット変換をディセーブルにします。

ステップ 6

ip nat outside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static local-ip global-ip no-payload }

 

Router(config)# ip nat outside source static 10.1.1.1 192.1.1.1 no-payload

外部ホスト ルータでのパケット変換をディセーブルにします。

ステップ 7

ip nat outside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static { tcp | upd } local-port global-port no-payload }

 

Router(config)# ip nat outside source static tcp 10.1.1.1 20000 192.1.1.1 20000 no-payload

外部ホスト ルータでのポート パケット変換をディセーブルにします。

ステップ 8

ip nat outside source { list { access-list-number | access-list-name } pool pool-name [ overload ] | static [ network ] local-network-mask global-network-mask no-payload }

 

Router(config)# ip nat outside source static network 10.1.1.1 192.168.251.0/24 no-payload

外部ホスト ルータでのネットワーク パケット変換をディセーブルにします。

ステップ 9

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 10

show ip nat translations [ verbose ]

 

Router# show ip nat translations

アクティブ NAT を表示します。

デフォルト内部サーバに対する NAT の設定

NAT デフォルト内部サーバ機能は、外部から指定の内部ローカル アドレスにパケットを転送する必要がある場合に使用できます。既存ダイナミック変換またはスタティック ポート変換と一致しないトラフィックがリダイレクトされ、パケットはドロップされません。オンライン ゲームの場合、外部トラフィックが別の User Datagram Port(UDP; ユーザ データグラム ポート)に到着します。

PC トラフィックおよびゲーム機器に対してダイナミック マッピングおよびインターフェイス オーバーロードが設定されます。パケットが外部から 806 インターフェイスに宛先指定されていて、完全拡張エントリの NAT テーブルで一致がないか、スタティック ポート エントリで一致がない場合、新規 Command-Line Interface(CLI; コマンドライン インターフェイス)の結果として作成された簡素なスタティック エントリを使用して、パケットがゲーム機器に転送されます。

制約事項

この機能は、PC とは別の IP アドレスを持つゲーム機器を設定するために使用されます。望ましくないトラフィックや攻撃を避けるために、アクセス リストが使用されます。

PC から外部へ行くトラフィックに対して、拡張エントリが作成されるようにルート マップを作成する必要があります。

手順の概要

1. enable

2. configure terminal

3. ip nat inside source static local-ip interface type number

4. ip nat inside source static tcp local-ip local-port interface global-port

5. exit

6. show ip nat translations [ verbose ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat inside source static local-ip interface type number

 

Router(config)# ip nat inside source static 10.1.1.1 interface Ethernet1/1

インターフェイスでスタティック NAT をイネーブルにします。

ステップ 4

ip nat inside source static tcp local-ip local-port interface global-port

 

Router(config)# ip nat inside source static tcp 10.1.1.1 23 interface 23

(任意)外部からのルータに対する Telnet の使用をイネーブルにします。

ステップ 5

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 6

show ip nat translations [ verbose ]

 

Router# show ip nat translations

(任意)アクティブ NAT を表示します。

NBAR を使用した NAT RTSP サポートの設定

Real Time Streaming Protocol(RTSP)は、マルチメディア アプリケーションの配信をサポートするクライアント サーバ型マルチメディア プレゼンテーション制御プロトコルです。RTSP を使用するアプリケーションには、Microsoft の Windows Media Services(WMS)、Apple Computer の QuickTime、RealNetworks の RealSystem G2 などがあります。

RTSP プロトコルが NAT ルータをパススルーする場合、接続に成功するために組み込みアドレスおよびポートが変換されます。NAT が Network Based Application Recognition(NBAR)アーキテクチャを使用して、ペイロードを解析し、組み込み情報を RTSP ペイロードに変換します。

RTSP はデフォルトでイネーブルになっています。次のコマンドを使用して、この設定がディセーブルになった場合に NAT ルータの RTSP を再度イネーブルにします。

手順の概要

1. enable

2. configure terminal

3. ip nat service rtsp port port - number

4. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat service rtsp port port-number

 

Router(config)# ip nat service rtsp port 554

NAT によって RTSP パケットをイネーブルにします。

ステップ 4

end

 

Router(config)# end

設定を保存して、グローバル コンフィギュレーション モードを終了します。

スタティック IP アドレスのあるユーザに対するサポートの設定

スタティック IP アドレスのあるユーザに対するサポートの設定により、公衆無線 LAN 環境でこれらのユーザが IP セッションを確立できるようになります。

NAT スタティック IP サポート機能は、公衆無線 LAN プロバイダーの機能を拡張して、スタティック IP アドレスを設定するユーザをサポートします。スタティック IP アドレスのあるユーザをサポートするためにルータを設定することにより、公衆無線 LAN プロバイダーはサービスをより多くの潜在ユーザに拡張します。これにより、ユーザ満足度向上と収益の増加が見込まれます。

スタティック IP アドレスのあるユーザは、IP アドレスを変更することなく公衆無線 LAN プロバイダーのサービスを使用できます。NAT エントリは、スタティック IP クライアントに対して作成され、ルーティング可能アドレスが提供されます。

ここでは、次の各手順について説明します。

「スタティック IP サポートの設定」(必須)

「スタティック IP サポートの確認」(任意)

公衆無線 LAN

公衆無線 LAN は、モバイル コンピューティング デバイスのユーザに対して、インターネットなどのパブリック ネットワークへのワイヤレス接続を提供します。

RADIUS

Remote Authentication Dial-In User Service(RADIUS)は、無許可のアクセスに対してネットワークを保護する分散クライアント/サーバ システムです。Network Access Server(NAS; ネットワーク アクセス サーバ)と RADIUS サーバとの間の通信は User Datagram Protocol(UDP; ユーザ データグラム プロトコル)に基づいています。一般的に、RADIUS プロトコルはコネクションレス型サービスと見られています。サーバ能力、再送信、およびタイムアウトに関する問題は、送信プロトコルではなく RADIUS 対応デバイスによって処理されます。

RADIUS は、クライアント/サーバ プロトコルです。RADIUS クライアントは一般的に NAS で、通常 RADIUS サーバは、UNIX または Windows NT マシン上で動作するデーモン プロセスです。クライアントは、ユーザ情報を指定 RADIUS サーバに渡して、返される応答を処理します。RADIUS サーバがユーザ接続要求を受信し、ユーザを認証して、ユーザにサービスを提供するためにクライアントで必要な設定情報を戻します。RADIUS サーバは、他の RADIUS サーバに対するプロキシ クライアントやその他の認証サーバとして機能できます。

前提条件

NAT のスタティック IP アドレスを持つユーザのサポートを設定する前に、まずルータで NAT をイネーブルにして、RADIUS サーバ ホストを設定する必要があります。NAT および RADIUS 設定の詳細については、「関連資料」を参照してください。

スタティック IP サポートの設定

この作業を実行して、NAT スタティック IP サポート機能を設定します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip nat inside

5. exit

6. ip nat allow - static - host

7. ip nat pool name start - ip end - ip netmask netmask accounting list - name

8. ip nat inside source list access - list - number pool name

9. access - list access - list - number deny ip source

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface ethernet 1

設定するインターフェイスを指定して、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip nat inside

 

Router(config-if)# ip nat inside

内部への接続としてインターフェイスをマークします。

ステップ 5

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 6

ip nat allow-static-host

 

Router(config)# ip nat allow-static-host

スタティック IP アドレス サポートをイネーブルにします。

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)学習はこのインターフェイスでディセーブルとなり、NAT がスタティック IP ホストの ARP エントリの作成と削除を制御します。

ステップ 7

ip nat pool name start-ip end-ip netmask netmask accounting list-name

 

Router(config)# ip nat pool xyz 172.16.0.0 172.16.0.0 netmask 255.255.255.0 accounting WLAN-ACCT

スタティック IP ホストの認証に使用するために既存の RADUIS プロファイル名を指定します。

ステップ 8

ip nat inside source list access-list-number pool name

 

Router(config)# ip nat inside source list 1 pool net-208

スタティック IP サポートに使用されるアクセス リストとプールを指定します。

指定されたアクセス リストは、すべてのトラフィックを許可する必要があります。

ステップ 9

access-list access-list-number deny ip source

 

Router(config)# access-list 1 deny ip 192.168.196.51

ルータ独自のトラフィックを NAT から削除します。

source 引数は、NAT スタティック IP サポート機能をサポートするルータの IP アドレスです。

スタティック IP サポートの確認

NAT スタティック IP サポート機能を確認するために、次のコマンドを使用します。

手順の概要

1. show ip nat translations verbose

手順の詳細


ステップ 1 show ip nat translations verbose

このコマンドを使用して、たとえば次のように、スタティック IP アドレスをサポートするように NAT が設定されていることを確認します。

Router# show ip nat translations verbose
 
--- 172.16.0.0 10.1.1.1 --- ---
create 00:05:59, use 00:03:39, left 23:56:20, Map-Id(In): 1, flags: none wlan-flags: Secure ARP added, Accounting Start sent Mac-Address:0010.7bc2.9ff6 Input-IDB:Ethernet1/2, use_count: 0, entry-id:7, lc_entries: 0

公衆無線 LAN での ARP PING のサポートの設定

スタティック IP クライアントの NAT エントリがタイムアウトすると、クライアントに対して NAT エントリとセキュアな ARP エントリの関係が削除されます。WLAN サービスを再確立するためにクライアントで Service Selection Gateway(SSG)による再認証が必要です。ARP Ping 機能は、認証後に IP アドレスが変更されないネットワークにスタティック IP クライアントが存在するときに、NAT エントリおよびセキュアな ARP エントリが削除されないようにします。

ARP PING は、スタティック IP クライアントの存在を判断し、NAT エントリ タイマーを再起動するために必要です。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start - ip end - ip prefix - length [ accounting ] method - list - name [ arp - ping ]

4. ip nat translation arp-ping-timeout [ timeout-value ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name start - ip end - ip prefix-length [ accounting ] method - list - name [ arp-ping ]

 

Router(config)# ip nat pool net-208 171.69.233.208 171.69.233.223 prefix-length 28 accounting radius1 arp-ping

NAT の IP アドレス プールを定義します。

ステップ 4

ip nat translation arp - ping - timeout [ timeout - value ]

 

Router(config)# ip nat translation arp-ping-timeout 600

各ネットワーク アドレス変換後の時間を変更します。

同時 NAT 動作数の制限

レート制限 NAT 変換機能を使用して同時 NAT 動作数を制限すると、NAT アドレスの使用方法についてユーザによる管理が強化されます。レート制限 NAT 変換機能は、ウィルス、ワーム、サービス拒絶攻撃の影響を制限するために使用できます。

同時 NAT 動作数を制限する利点

NAT は CPU 中心のプロセスであるため、NAT をターゲットとするサービス拒絶攻撃、ウィルス、ワームが、ルータのパフォーマンスに悪影響を及ぼす可能性があります。レート制限 NAT 変換機能により、ルータ上での同時 NAT 要求の最大数を制限できます。

サービス拒絶攻撃

Denial of Service(DoS; サービス拒絶)攻撃には、一般的に標準プロトコルの悪用や、ルータや Web サーバなどのターゲットをオーバーロードやディセーブルにしようとする接続プロセスが関与します。DoS 攻撃は、悪意のあるユーザや、ウィルスやワームに感染したコンピュータが発信源になる可能性があります。多くのコンピュータがウィルスやワームに感染したような場合など、攻撃が多くの異なる発信源から来る場合、これを Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃と呼びます。このような DDoS 攻撃は、急速に拡大し数千ものシステムが影響を受ける可能性があります。

NAT をターゲットとするウィルスやワーム

ウィルスやワームは、コンピュータやネットワーキング機器を攻撃するために設計された悪意のあるプログラムです。ウィルスは一般的に個別のアプリケーションに埋め込まれていて、実行時だけに動作するのに対して、ワームは自己伝播アプリケーションで、自ら急速に拡散することができます。特定のウィルスやワームは明確に NAT をターゲットとしていない可能性があるものの、自らを伝播するために NAT リソースを使用している可能性があります。レート制限 NAT 変換機能は、特定のホスト、アクセス コントロール リスト、VPN Routing and Forwarding(VRF; VPN ルーティング/転送)インスタンスから発信されるウィルスやワームの影響を制限するために使用できます。

前提条件

現在の NAT 使用状況を分類し、NAT の要求の送信元を決定します。特定のホスト、アクセス コントロール リスト、または VRF インスタンスが予期しない数多くの NAT 要求を生成している場合、これは悪意のあるウィルスまたはワーム攻撃の送信元である可能性があります。

過剰な NAT 要求の送信元が識別されると、特定のホスト、アクセス コントロール リスト、または VRF インスタンスを含む NAT レート制限を設定したり、送信元に関係なく許可される最大 NAT 要求数の一般的な制限を設定したりすることができます。

手順の概要

1. enable

2. show ip nat translations

3. configure terminal

4. ip nat translation max-entries { number | all-vrf number | host ip-address number | list listname number | vrf name number }

5. end

6. show ip nat statistics

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip nat translations

 

Router# show ip nat translations

(任意)アクティブ NAT を表示します。

特定のホスト、アクセス コントロール リスト、または VRF インスタンスが予期しない数多くの NAT 要求を生成している場合、これは悪意のあるウィルスまたはワーム攻撃の送信元である可能性があります。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

ip nat translation max-entries { number | all-vrf number | host ip-address number | list listname number | vrf name number }

 

Router(config)# ip nat translation max-entries 300

指定された送信元から許可された NAT エントリの最大数を設定します。

許可された NAT エントリの最大数は 2147483647 で、一般的な NAT レート制限の範囲は 100 ~ 300 エントリです。

すべての VRF インスタンスの NAT レート制限を設定する際、各 VRF インスタンスは指定した NAT エントリの最大数に制限されます。

特定の VRF インスタンスの NAT レート制限を設定する際に、すべての VRF インスタンスに対して許可された NAT エントリの最大数よりも多いまたは少ない最大数を、指定 VRF インスタンスに指定できます。

ステップ 5

end

 

Router(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 6

show ip nat statistics

 

Router# show ip nat statistics

(任意)NAT レート制限設定を含む、現在の NAT 使用状況情報を表示します。

NAT レート制限の設定後、 show ip nat statistics コマンドを使用して、現在の NAT レート制限設定を確認します。

IP アドレス保護用 NAT 設定の設定例

ここでは、次の設定例について説明します。

「内部送信元アドレスのスタティック変換の設定:例」

「内部送信元アドレスのダイナミック変換の設定:例」

「内部グローバルアドレスのオーバーロード:例」

「重複アドレスの変換:例」

「NAT 仮想インターフェイスのイネーブル化:例」

「ロード バランシングを使用したサーバのオーバーロード回避:例」

「NAT ルート マッピングのイネーブル化:例」

「NAT ルート マップの外部から内部へのサポートのイネーブル化:例」

「外部 IP アドレスだけの NAT 変換の設定:例」

「NAT スタティック IP サポートの設定例」

「レート制限 NAT 変換の設定例」

内部送信元アドレスのスタティック変換の設定:例

次に、9.114.11.0 ネットワークからグローバルに一意の 172.69.233.208/28 ネットワークへアドレス指定された内部ホスト間で変換を行う例を示します。10.114.11.0 ネットワーク(実際の 10.114.11.0 ネットワーク)からアドレス指定された外部ホストからの後続パケットは、10.0.1.0/24 ネットワークからのものと認識されるように変換されます。

ip nat pool net-208 172.69.233.208 172.69.233.223 prefix-length 28
ip nat pool net-10 10.0.1.0 10.0.1.255 prefix-length 24
ip nat inside source list 1 pool net-208
ip nat outside source list 1 pool net-10
!
interface ethernet 0
ip address 172.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 10.114.11.39 255.255.255.0
ip nat inside
!
access-list 1 permit 10.114.11.0 0.0.0.255
 

次に、ゴールドおよびシルバー Virtual Private Network(VPN; バーチャル プライベート ネットワーク)の共有サービスへのスタティック ルートのある Provider Edge(PE; プロバイダー エッジ)ルータで設定された NAT の例を示します。NAT は、内部送信元スタティック 1 対 1 変換として設定されます。

ip nat pool outside 10.4.4.1 4.4.4.254 netmask 255.255.255.0
ip nat outside source list 1 pool mypool
access-list 1 permit 172.16.18.0 0.0.0.255
ip nat inside source static 192.168.121.33 10.2.2.1 vrf gold
ip nat inside source static 192.169.121.33.10.2.2.2 vrf silver

内部送信元アドレスのダイナミック変換の設定:例

次に、192.168.1.0 または 192.168.2.0 ネットワークからグローバルに一意の 172.69.233.208/28 ネットワークへアドレス指定された内部ホスト間で変換を行う例を示します。

ip nat pool net-208 172.69.233.208 172.69.233.223 prefix-length 28
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 172.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
 

次に、ローカルから NAT が動作しているプロバイダー エッジ デバイス(NAT-PE)へのトラフィックだけが変換される例を示します。

ip nat inside source list 1 interface e 0 vrf shop overload
ip nat inside source list 1 interface e 0 vrf bank overload
!
ip route vrf shop 0.0.0.0 0.0.0.0 192.1.1.1
ip route vrf bank 0.0.0.0 0.0.0.0 192.1.1.1
!
access-list 1 permit 10.1.1.1.0 0.0.0.255
!
ip nat inside source list 1 interface e 1 vrf shop overload
ip nat inside source list 1 interface e 1 vrf bank overload
!
ip route vrf shop 0.0.0.0 0.0.0.0 172.1.1.1 global
ip route vrf bank 0.0.0.0 0.0.0.0 172.1.1.1 global
access-list 1 permit 10.1.1.0 0.0.0.255

内部グローバルアドレスのオーバーロード:例

次に、net-208 という名前のアドレス プールを作成する例を示します。プールには、171.69.233.208 ~ 171.69.233.233 のアドレスが含まれています。アクセス リスト 1 により、パケットは 192.168.1.0 ~ 192.168.1.255 までの SA を持つことができます。変換が存在しない場合、アクセス リスト 1 と一致するパケットがプールからのアドレスに変換されます。ルータにより、複数のローカル アドレス(192.168.1.0 ~ 192.168.1.255)が同じグローバル アドレスを使用できます。ルータは、ポート番号を保持して、接続を区別しています。

ip nat pool net-208 171.69.233.208 171.69.233.233 netmask 255.255.255.240
ip nat inside source list 1 pool net-208 overload
!
interface serial0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet0
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255

重複アドレスの変換:例

次に、ローカル ネットワーク内のアドレスがインターネット上の誰かによって正規に使用されている例を示します。その外部ネットワークにアクセスするためには、追加の変換が必要です。プール net-10 はローカル IP アドレス外のプールです。 ip nat outside source list 1 pool net-10 文は、外部の重複ネットワークからのホストのアドレスをそのプールのアドレスへ変換します。

ip nat pool net-208 172.31.233.208 172.31.233.223 prefix-length 28
ip nat pool net-10 10.0.1.0 10.0.1.255 prefix-length 24
ip nat inside source list 1 pool net-208
ip nat outside source list 1 pool net-10
!
interface serial 0
ip address 172.31.232.192 255.255.255.240
ip nat outside
!
interface ethernet0
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255

NAT 仮想インターフェイスのイネーブル化:例

次に、内部または外部送信元アドレスを使用せずに NAT 仮想インターフェイスを設定する例を示します。

interface Ethernet0/0
ip vrf forwarding bank
ip address 192.168.122.1 255.255.255.0
ip nat enable
!
interface Ethernet1/0
ip vrf forwarding park
ip address 192.168.122.1 255.255.255.0
ip nat enable
!
interface Serial2/0
ip vrf forwarding services
ip address 192.168.123.2 255.255.255.0
ip nat enable
!
ip nat pool NAT 192.168.25.20 192.168.25.30 netmask 255.255.255.0 add-route
ip nat source list 1 pool NAT vrf bank overload
ip nat source list 1 pool NAT vrf park overload
ip nat source static 192.168.123.1 192.168.125.10 vrf services
!
access-list 1 permit 192.168.122.20
access-list 1 permit 192.168.122.0 0.0.0.255
!

ロード バランシングを使用したサーバのオーバーロード回避:例

次の例では、ゴールは仮想アドレス、実際のホストのセット間で分散する接続を定義することです。プールは実際のホストのアドレスを定義します。アクセス リストは仮想アドレスを定義します。変換がすでに存在していない場合、宛先がアクセス リストと一致するシリアル インターフェイス 0(外部インターフェイス)からの TCP パケットがプールからのアドレスに変換されます。

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

NAT ルート マッピングのイネーブル化:例

次に、スタティック NAT とのルート マッピングを使用する例を示します。

interface Ethernet3
ip address 172.68.1.100 255.255.255.0
ip nat outside
media-type 10BaseT
!
interface Ethernet4
ip address 192.68.1.100 255.255.255.0
ip nat outside
media-type 10BaseT
!
interface Ethernet5
ip address 110.1.1.100 255.255.255.0
ip nat inside
ip policy route-map isp1
media-type 10BaseT
!
router rip
network 172.68.0.0
network 192.68.1.0
!
ip nat inside source static 10.1.1.2 192.68.1.21 route-map isp2
ip nat inside source static 10.1.1.2 172.68.1.21 route-map isp1
ip nat inside source static 10.1.1.1 192.68.1.11 route-map isp2
ip nat inside source static 10.1.1.1 172.68.1.11 route-map isp1
 
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.0.0.0 0.255.255.255
access-list 102 permit ip 10.1.1.0 0.0.0.255 192.0.0.0 0.255.255.255
!
route-map isp2 permit 10
match ip address 102
set ip next-hop 192.68.1.1
!
route-map isp1 permit 10
match ip address 101
set ip next-hop 172.68.1.1

NAT ルート マップの外部から内部へのサポートのイネーブル化:例

次に、ルート マップ A とルート マップ B で宛先ベース NAT の外部から内部への変換を可能にするように設定する例を示します。

ip nat pool POOL-A 10.1.10.1 10.1.10.126 netmask 255.255.255.128
ip nat pool POOL-B 10.1.20.1 10.1.20.126 netmask 255.255.255.128
ip nat inside source route-map MAP-A pool POOL-A reversible
ip nat inside source route-map MAP-B pool POOL-B reversible
!
ip access-list extended ACL-A
permit ip any 10.1.10.128 0.0.0.127
ip access-list extended ACL-B
permit ip any 10.1.20.128 0.0.0.127
!
route-map MAP-A permit 10
match ip address ACL-A
!
route-map MAP-B permit 10
match ip address ACL-B
 

次に、ルート マップ R1 でスタティック NAT の外部から内部への変換が可能になるように設定する例を示します。

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 10.1.10.128 0.0.0.127
 
route-map R1 permit 10
match ip address ACL-A

外部 IP アドレスだけの NAT 変換の設定:例

次に、内部ネットワーク内でルーティングできるアドレスにパケットを変換する例を示します。

interface ethernet 3
ip address 10.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
media-type 10BaseT
!
interface Ethernet4
ip address 192.168.15.1 255.255.255.0
ip nat inside
no ip mroute-cache
media-type 10BaseT
!
router rip
network 10.0.0.0
Network 192.168.15.0
!
ip nat outside source static network 10.1.1.0 192.168.251.0/24 no-payload
!
ip route 10.1.1.0 255.255.255.0 Ethernet4
ip route 10.1.1.0 255.255.255.0 Ethernet3

NAT スタティック IP サポートの設定例

ここでは、次の設定例について説明します。

「NAT スタティック IP サポートの設定:例」

「NAT スタティック IP サポートの RADIUS プロファイルの作成:例」

NAT スタティック IP サポートの設定:例

次に、192.168.196.51 にあるルータに対するスタティック IP アドレス サポートをイネーブルにする例を示します。

interface ethernet 1
ip nat inside
ip nat allow-static-host
ip nat pool xyz 172.1.1.1 172.1.1.10 netmask 255.255.255.0 accounting WLAN-ACCT
ip nat inside source list 1 pool net-208
access-list 1 deny ip 192.168.196.51
 

NAT スタティック IP サポートの RADIUS プロファイルの作成:例

次に、NAT スタティック IP サポート機能で使用するための RADIUS プロファイルの作成例を示します。

aaa new-model

!

aaa group server radius WLAN-RADIUS

server 168.58.88.1 auth-port 1645 acct-port 1645

server 168.58.88.1 auth-port 1645 acct-port 1646

!

aaa accounting network WLAN-ACCT start-stop group WLAN-RADIUS

aaa session-id common

ip radius source-interface Ethernet3/0

radius-server host 172.58.88.1 auth-port 1645 acct-port 1646

radius-server key cisco

グローバル NAT レート制限の設定:例

次に、許可された NAT エントリの最大数を 300 に制限する例を示します。

ip nat translation max-entries 300

特定の VRF インスタンスの NAT レート制限の設定:例

次に、「vrf1」という名前の VRF インスタンスを 150 NAT エントリに制限する例を示します。

ip nat translation max-entries vrf vrf1 150

すべての VRF インスタンスに対する NAT レート制限の設定:例

次に、各 VRF インスタンスを 200 NAT エントリに制限する例を示します。

ip nat translation max-entries all-vrf 200
 

次に、「vrf2」という名前の VRF インスタンスを 225 NAT エントリに制限し、その他の VRF インスタンスを 100 NAT エントリに制限する例を示します。

ip nat translation max-entries all-vrf 100
ip nat translation max-entries vrf vrf2 225

アクセス コントロール リストの NAT レート制限の設定:例

次に、「vrf3」というアクセス コントロール リストを 100 NAT エントリに制限する例を示します。

ip nat translation max-entries list vrf3 100

IP アドレスの NAT レート制限の設定:例

次に、IP アドレス 10.0.0.1 のホストを 300 NAT エントリに制限する例を示します。

ip nat translation max-entries host 127.0.0.1 300

関連情報

アプリケーション レベル ゲートウェイで使用するように NAT を設定するには、「アプリケーション レベル ゲートウェイでの NAT の使用」モジュールを参照してください。

NAT の確認、監視、および維持については、「NAT のモニタリングおよびメンテナンス」モジュールを参照してください。

NAT と MPLS VPN の統合については、「MPLS VPN と NAT の統合」モジュールを参照してください。

ハイ アベイラビリティを実現するために NAT を設定するには、「ハイ アベイラビリティ用 NAT の設定」モジュールを参照してください。

その他の関連資料

ここでは、IP アドレス保護用 NAT 設定に関連する参考資料を示します。

関連資料

関連項目
参照先

NAT と MPLS VPN の使用

Integrating NAT with MPLS VPNs 」モジュール

ハイ アベイラビリティの HSRP および SNAT の使用

Configuring NAT for High Availability 」モジュール

NAT のメンテナンス

Monitoring and Maintaining NAT 」モジュール

NAT コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

『Cisco IOS IP Addressing Services Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 1597

Internet Assigned Numbers Authority

RFC 1631

The IP Network Address Translation (NAT)

RFC 1918

Address Allocation for Private Internets

RFC 2663

IP Network Address Translation (NAT) Terminology and Considerations

RFC 3022

Traditional IP Network Address Translation (Traditional NAT)

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、資料やツールなど幅広いオンライン リソースが用意されており、シスコの製品およびテクノロジーに関するトラブルシューティングや技術的な問題の解決などに役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

IP アドレス保護用 NAT 設定に関する機能情報

表 1 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。Cisco IOS Release 12.2(4)T、12.2(4)2T、12.3(13)T 以降で導入または変更された機能だけが表に掲載されています。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのサポートの導入時期に関する詳細については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 IP アドレス保護用 NAT 設定に関する機能情報

機能名
リリース
機能設定情報

スタティック変換でルート マップを使用する NAT の機能

12.2.(4)T

この機能は、アクセス リストの代わりに処理されるルート マップを指定できるダイナミック変換コマンドを提供します。ルート マップにより、使用するプールを決定するためにアクセス リスト、ネクスト ホップ IP アドレス、および出力インターフェイスの任意の組み合わせを一致させることができます。スタティック変換でルート マップを使用する機能があることで、スタティック アドレス変換による NAT マルチホーミングが可能になります。

この機能に関する詳細については、次の項を参照してください。

「アドレス変換決定のルート マップの使用」

NAT デフォルト内部サーバ

12.3(13)T

NAT デフォルト内部サーバ機能は、外部から指定の内部ローカル アドレスにパケットを転送する必要がある場合に使用できます。

この機能に関する詳細については、次の項を参照してください。

「デフォルト内部サーバに対する NAT の設定」

NAT ルート マップの外部から内部へのサポート

12.3(14)T

NAT ルート マップの外部から内部へのサポート機能は、外部から内部に IP セッションを開始できるようにする NAT ルートマップ設定の展開をイネーブルにします。

この機能に関する詳細については、次の各項を参照してください。

「NAT ルート マップの外部から内部へのサポートのイネーブル化」

「NAT ルート マップの外部から内部へのサポートのイネーブル化:例」

NBAR を使用した NAT RTSP サポート

12.3(7)T

Real Time Streaming Protocol(RTSP)は、マルチメディア アプリケーションの配信をサポートするクライアント サーバ型マルチメディア プレゼンテーション制御プロトコルです。RTSP を使用するアプリケーションには、Microsoft の Windows Media Services(WMS)、Apple Computer の QuickTime、RealNetworks の RealSystem G2 などがあります。

この機能に関する詳細については、次の項を参照してください。

「NBAR を使用した NAT RTSP サポートの設定」

NAT スタティック IP サポート

12.3(7)T

NAT スタティック IP サポート機能は、スタティック IP アドレスを持つユーザのサポートを提供するもので、これらのユーザが公衆無線 LAN 環境で IP セッションを確立することができるようになります。

この機能に関する詳細については、次の各項を参照してください。

「スタティック IP アドレスのあるユーザに対するサポートの設定」

「NAT スタティック IP サポートの設定例」

外部 IP アドレスだけの NAT 変換

12.2(4)T
12.2(4)T2

外部 IP アドレスだけの NAT 変換機能を使用して、どのアプリケーションおよびトラフィック タイプに対してもすべての組み込み IP アドレスを無視するように NAT を設定できます。

この機能に関する詳細については、次の各項を参照してください。

「外部 IP アドレスだけの NAT の設定」

「外部 IP アドレスだけの NAT の設定」

NAT 仮想インターフェイス(NVI)

12.3(14)T

NAT Virtual Interface(NVI; NAT 仮想インターフェイス)機能を使用すると、インターフェイスをネットワーク アドレス変換(NAT)内部または NAT 外部として設定する必要性がなくなります。インターフェイスは、NAT を使用するようにも、使用しないようにも設定できます。

この機能に関する詳細については、次の各項を参照してください。

「NAT 仮想インターフェイスの設定」

「NAT 仮想インターフェイスのイネーブル化:例」

レート制限 NAT 変換

12.3(4)T

レート制限 NAT 変換機能は、ルータ上で同時に実行するネットワーク アドレス変換(NAT)操作の最大数を制限する機能を提供します。レート制限 NAT 変換機能は、ユーザによる NAT アドレスの使用状態の制御強化だけでなく、ウィルス、ワーム、サービス拒絶攻撃の影響を制限するのにも使用できます。

この機能に関する詳細については、次の各項を参照してください。

「同時 NAT 動作数の制限」

「レート制限 NAT 変換の設定例」

公衆無線 LAN での ARP PING のサポートの設定

12.4(6)T

ARP Ping 機能は、認証後に IP アドレスが変更されないネットワークにスタティック IP クライアントが存在するときに、NAT エントリおよびセキュアな ARP エントリが削除されないようにします。

この機能に関する詳細については、次の項を参照してください。

「公衆無線 LAN での ARP PING のサポートの設定」

NAT スタティックおよびダイナミック ルートマップ名共有

15.0(1)M

NAT スタティックおよびダイナミック ルートマップ名共有機能では、強制的にスタティック NAT をダイナミック NAT よりも優先させながら、同一ルートマップ名を共有するためにスタティックおよびダイナミック NAT を設定できます。

この機能に関する詳細については、次の項を参照してください。

「アドレス変換決定のルート マップの使用」