Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
アプリケーション レベル ゲートウェイでの NAT の使用
アプリケーション レベル ゲートウェイでの NAT の使用
発行日;2012/02/05 | 英語版ドキュメント(2011/07/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

アプリケーション レベル ゲートウェイでの NAT の使用

機能情報の入手方法

この章の構成

アプリケーション レベル ゲートウェイでの NAT の使用のための前提条件

アプリケーション レベル ゲートウェイと NAT の同時設定について

アプリケーション レベル ゲートウェイ

アプリケーション レベル ゲートウェイと NAT を一緒に設定する方法

NAT 経由での IPsec の設定

NAT ALG 設定の利点

IP セキュリティ

Voice over IP および Multimedia over IP ネットワーク

H.323 v2 RAS の NAT サポート

H.323 v2 互換モードでの v3 および v4 の NAT サポート

NAT H.245 トンネリング サポート

制約事項

NAT による IPsec ESP の設定

ポート保持のイネーブル化

制約事項

NAT デバイスでの SPI マッチングのイネーブル化

前提条件

制約事項

エンドポイントでの SPI マッチングのイネーブル化

前提条件

制約事項

NAT のマルチ パート SDP サポートのイネーブル化

制約事項

IP 電話と Cisco CallManager 間での NAT の配備

Skinny Client Control Protocol の NAT サポート

SCCP フラグメンテーションの NAT サポート

アプリケーション レベル ゲートウェイでの NAT 使用の設定例

NAT による IPsec ESP の設定:例

保持ポートのイネーブル化:例

SPI マッチング:例

エンドポイント ルータでの SPI マッチングの設定:例

NAT のマルチ パート SDP サポートのイネーブル化:例

IP 電話と Cisco CallManager 間での NAT の配備:例

関連情報

その他の関連資料

関連資料

規格

MIB

シスコのテクニカル サポート

アプリケーション レベル ゲートウェイでの NAT の使用に関する機能情報

アプリケーション レベル ゲートウェイでの NAT の使用

Network Address Translation(NAT; ネットワーク アドレス変換)は、アプリケーション データ ストリームで送信元 IP アドレスおよび宛先 IP アドレスの両方またはいずれかが送信されない Transmission Control Protocol/User Datagram Protocol(TCP/UDP; 伝送制御プロトコル/ユーザ データグラム プロトコル)トラフィックで変換サービスを実行します。これらのプロトコルには、HTTP、Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)、Telnet、archie、finger、Network Time Protocol(NTP; ネットワーク タイム プロトコル)、Network File System(NFS; ネットワーク ファイル システム)、リモート ログイン(rlogin)、リモート シェル プロトコル(rsh)、リモート コピー プロトコル(rcp)などがあります。IP アドレス情報をペイロードに埋め込む特定のプロトコルには、Application Level Gateway(ALG; アプリケーション レベル ゲートウェイ)のサポートが必要です。

NAT と ALG の併用では、アプリケーションがポート 1720 を使用する限り、H.323 を使用しないアプリケーションからのパケットを変換します。

NAT 機能を使った IPsec ESP のサポートにより、オーバーロード モードまたは Port Address Translation(PAT; ポート アドレス変換)モードに設定されている Cisco IOS NAT デバイスから、複数の同時 IP Security(IPsec; IP セキュリティ)Encapsulating Security Payload(ESP)トンネルまたは接続に対応できます。

機能情報の入手方法

ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「アプリケーション レベル ゲートウェイでの NAT の使用に関する機能情報」 を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

アプリケーション レベル ゲートウェイでの NAT の使用のための前提条件

このモジュールの作業を実行する前に、「IP アドレス保護用 NAT 設定」モジュールで説明されている概念について十分に理解しておく必要があります。

このモジュールで説明している作業で使用するために必要なすべてのアクセス リストは、設定作業を開始する前に設定します。アクセス リストの設定方法については、次の URL の『IP Access List Sequence Numbering』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122s/122snwft/release/122s14/fsaclseq.htm

このモジュールの作業を実行する前に、Session Initiation Protocol(SIP; セッション開始プロトコル)および H.323 がディセーブルになっていないことを確認する必要があります。SIP および H.323 はデフォルトでイネーブルになっています。

アプリケーション レベル ゲートウェイと NAT の同時設定について

ALG と NAT を一緒に設定するには、次の概念を理解する必要があります。

「アプリケーション レベル ゲートウェイ」

アプリケーション レベル ゲートウェイ

アプリケーション レベル ゲートウェイは、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。

アプリケーション レベル ゲートウェイと NAT を一緒に設定する方法

ここでは、次の各手順について説明します。

「NAT 経由での IPsec の設定」

「NAT のマルチ パート SDP サポートのイネーブル化:例」

「IP 電話と Cisco CallManager 間での NAT の配備」

NAT 経由での IPsec の設定

ここでは、NAT 経由での IPsec の設定に関連する次の作業について説明します。

「NAT による IPsec ESP の設定」(必須)

「ポート保持のイネーブル化」(任意)

「NAT デバイスでの SPI マッチングのイネーブル化」(必須)

「エンドポイントでの SPI マッチングのイネーブル化」(必須)

「Configuring Multi Part SDP Support for NAT」( P.8) (任意)

NAT ALG 設定の利点

NAT による SIP サポートにより、VoIP ソリューション間で SIP に基づいて Cisco IOS NAT を展開できるようになります。

お客様は IP アドレスのスキームを制御でき、H.323 v2 ゲートキーパー設計の包括的なサポートを導入することができます。

NAT により、お客様はネットワーク内でプライベート IP アドレスを配布して、インターネットに接続するときや別の企業ネットワークと相互接続するときに、パブリック IP アドレスに変換することができます。

通常、変換テーブルの ESP エントリは、宛先からの応答が受信されるまで送信されないため、遅延が生じます。予測可能な Security Parameter Index(SPI; セキュリティ パラメータ インデックス)と SPI マッチングを使用すると、SPI エントリがマッチングされるため、この遅延を解消できます。サードパーティ製のコンセントレータの一部では、送信元ポートと受信ポートの両方でポート 500 を使用する必要があります。 ip nat service コマンドで preserve-port キーワードを使用すると、ポートを変更するのではなく、ポートを維持します。通常の NAT ではこの作業が必要です。

IP セキュリティ

IP セキュリティ(IPsec)は、オープン スタンダード フレームワークの IP プロトコル ファミリの拡張セットであり、インターネットでのプライベート通信を確実にセキュリティで保護します。Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)によって開発された標準に基づく IPsec は、パブリック ネットワークにわたるデータ通信の機密性、整合性、完全性を保証し、暗号化セキュリティ サービスを提供します。

2 台のルータなどの 2 つのピア間でセキュア トンネルが確立され、これらのトンネルの特性を指定すると、機密性が高くこれらのセキュア トンネル経由で送信される必要があると見なされるパケットと、これらの機密性の高いパケットを保護するために使用されるパラメータが決定されます。IPsec ピアが機密性の高いパケットを受信すると、そのピアは適切なセキュア トンネルをセットアップし、そのパケットをトンネルからリモート ピアに送信します。

ESP を使用する IPsec は、ルータに特別なサポートがなくても、Network Address Port Translation(NAPT)またはアドレス オーバーロードが設定されていない限り、NAT を実行しているルータを通過することができます。

複数のプライベート内部 IP アドレスを 1 つのパブリック外部 IP アドレスとして表す NAPT デバイスを通過する IPsec の Virtual Private Network(VPN; バーチャル プライベート ネットワーク)接続を試みる場合、検討が必要な要素がいくつかあります。たとえば、VPN サーバおよびクライアントの性能、NAPT デバイスの性能、NAPT デバイスにわたって複数の同時接続が行われるかどうか、などの要因です。

ルータで IPsec と NAPT を一緒に設定するには次の 2 つの方法があります。

TCP や UDP などのレイヤ 4 プロトコルに IPsec をカプセル化する。この場合、IPsec は NAT を 通過 します。NAT デバイスはカプセル化を認識しません。

IPsec 特定のサポートを NAPT に追加する。この場合、NAT を 通過 するのとは反対に、IPsec は NAT と連動します。IPSec ESP の NAT サポートのフェーズ II の機能により、NAPT を設定した Cisco IOS ルータを通じてトンネル モードでカプセル化しなくても Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および ESP をサポートできます。

NAPT デバイスを通過する IPsec セッションを実行する場合には、TCP と UDP のプロトコルを使用することを推奨しますが、すべての VPN サーバまたはクライアントで TCP または UDP がサポートされているわけではありません。

SPI マッチング

セキュリティ パラメータ インデックス(SPI)マッチングは、複数の宛先ペア間で VPN 接続を確立するために使用されます。設定されたアクセス リストに一致するエンドポイントの NAT エントリがただちに変換テーブルに配置されます。SPI マッチングは、Cisco IOS Release 12.2(15)T に導入された予測アルゴリズムに従って SPI を選択したエンドポイントにだけ利用できます。

Voice over IP および Multimedia over IP ネットワーク

SIP は、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の Multiparty Multimedia Session Control(MMUSIC)ワーキング グループによって開発されたプロトコルです。Cisco SIP 機能により、シスコ製ルータは、IP ネットワークを介した音声およびマルチメディア コールの設定を信号通知することができます。SIP は Voice over IP(VoIP)インターネットワーキング ソフトウェア内で H.323 の代替方法を提供します。

Session Description Protocol(SDP; セッション記述プロトコル)は、マルチメディア セッションを記述するプロトコルです。SDP は、2 つ以上の参加者のあるマルチメディア セッションを作成し制御するために使用されるマルチメディア セッションを記述するために、SIP メッセージ本文で使用できます。

SIP の NAT サポート機能を使用すると、NAT が設定されているルータを通過する SIP の埋め込みメッセージを変換し、パケットにエンコードし直すことができます。SIP メッセージまたは SDP メッセージを変換するには、ALG と NAT を一緒に使用します。

H.323 v2 RAS の NAT サポート

Cisco IOS NAT は、Registration, Admission, and Status(RAS)プロトコルで送信されたメッセージを含めて、すべての H.225 および H.245 のメッセージ タイプをサポートしています。RAS は、場所の登録、コール セットアップの支援要求、帯域幅の制御を行うためにソフトウェア クライアントおよび Voice over IP(VoIP)デバイスで使用される多数のメッセージを提供します。RAS メッセージは H.323 ゲートキーパーに送信されます。

RAS メッセージには、ペイロードに IP アドレッシング情報が含まれていることがあります。これは通常、ユーザをゲートキーパーと一緒に登録するため、または登録済みの別のユーザについて知るためです。これらのメッセージが NAT で認識されない場合、パブリックに公開される IP アドレスに変換できません。

これまで、NAT は H.323 v2 RAS メッセージをサポートしていませんでした。この機能拡張により、埋め込み IP アドレスについて、アドレス変換が可能かどうかを検査できます。

H.323 v2 互換モードでの v3 および v4 の NAT サポート

H.323 はパケット ネットワークにわたり音声、ビデオ、データを送信する ITU-T 仕様です。現在、H.323 プロトコルでは v1、v2、v3、v4 の 4 つのバージョンが使用されています。H.323 v2 互換モードでの v3 および v4 の NAT サポート機能を使用すると、H.323 v2 と互換性のあるフィールドがメッセージに含まれる場合でも、H.323 v3 および v4 でコーディングされたメッセージをシスコの NAT ルータで扱うことができます。この機能は、アドレス変換に必要な新しいメッセージ タイプまたは新しいフィールドなど、v3 および v4 に導入された H.323 の機能のサポートを追加しません。

NAT H.245 トンネリング サポート

NAT H.245 トンネリングにより、H.323 ALG で H.245 トンネリングが可能になります。NAT H.245 トンネリングでは、メディア チャネル設定の作成に必要な H.245 トンネル メッセージをサポートするメカニズムを提供します。

H.323 コールを行うには、TCP ポート 1720 で H.225 接続が開かれる必要があります。H.225 接続が開かれると、H.245 セッションが開始され、確立されます。この接続は H.225 とは別のチャネルで確立することも、または同じ H.225 チャネルで H.245 トンネリングを使用して確立し、H.245 メッセージを H.225 メッセージに埋め込み、以前に確立された H.225 チャネルで送信することもできます。

H.245 トンネリング対応メッセージが処理されないと、Cisco IOS NAT はメディア アドレスまたはポートは変換されないままになるため、メディア トラフィックにエラーが発生します。H.245 トンネリング対応メッセージが送信されるとすぐに H.245 Fast Connect は終了するため、Fast Connect 手順は使用できません。

制約事項

NAT は埋め込み IP バージョン 4 アドレスだけを変換します。

NAT による IPsec ESP の設定

NAT による IPsec ESP は、オーバーロード モードまたは PAT モードの Cisco IOS NAT デバイス コンフィギュレーションによって、複数の同時 IPsec ESP トンネルまたは接続をサポートする機能を提供します。

NAT から IPsec ESP を設定するには、次の手順を実行します。


) IPsec はスタティック NAT コンフィギュレーションだけでなく、任意の NAT コンフィギュレーションで設定できます。


手順の概要

1. enable

2. configure terminal

3. ip nat [ inside | outside ] source static local-ip global-ip

4. exit

5. show ip nat translations

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat [ inside | outside ] source static local-ip global-ip

 

Router(config)# ip nat inside source static 10.10.10.10 172.16.30.30

スタティック NAT をイネーブルにします。

ステップ 4

exit

 

Router(config)# exit

特権 EXEC モードに戻ります。

ステップ 5

show ip nat translations

 

Router# show ip nat translations

(任意)アクティブな NAT を表示します。

ポート保持のイネーブル化

この作業は、送信元ポートにポート 500 を使用している IPsec トラフィックに使用します。送信元ポートにポート 500 の保持をイネーブルにするには、次の手順を実行します。

制約事項

この作業は特定の VPN コンセントレータに必要です。一般的にシスコの VPN デバイスでは、この機能を使用しません。

手順の概要

1. enable

2. configure terminal

3. ip nat service list access-list-number ike preserve-port

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat service list access-list-number ike preserve-port

 

Router(config)# ip nat service list 10 ike preserve-port

ポートを保持するため、アクセス リストに一致する IPsec トラフィックを指定します。

NAT デバイスでの SPI マッチングのイネーブル化


) デフォルトでは、SPI マッチングはディセーブルになっています。


セキュリティ パラメータ インデックス(SPI)マッチングは、複数の宛先ペア間で VPN 接続を確立するために使用されます。設定されたアクセス リストに一致するエンドポイントの NAT エントリがただちに変換テーブルに配置されます。SPI マッチングは、Cisco IOS Release 12.2(15)T に導入された予測アルゴリズムに従って SPI を選択したエンドポイントにだけ利用できます。

予測可能で対称の SPI の生成はイネーブルになっています。NAT デバイス間で複数の ESP 接続が必要な場合、SPI マッチングは NAT デバイスと組み合わせて使用する必要があります。

前提条件

Cisco IOS ソフトウェアは、送信元ルータおよびリモート ゲートウェイの両方で実行して、並列処理できるようにする必要があります。

制約事項

SPI マッチングは、NAT デバイスと両方のエンドポイント デバイスで設定される必要があります。

手順の概要

1. enable

2. configure terminal

3. ip nat service list access-list-number esp spi-match

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat service list access-list-number esp spi-match

 

Router(config)# ip nat service list 10 esp spi-match

SPI マッチングをイネーブルにするために、アクセス リストを指定します。

次に、ESP トラフィック マッチング リスト 10 を NAT テーブルに入力する例を示します。この場合、両方のデバイスはシスコ製デバイスであり、一致する SPI を提供するように設定されていることを前提とします。

エンドポイントでの SPI マッチングのイネーブル化

両方のエンドポイントで SPI マッチングをイネーブルにするには、次の手順を実行します。

前提条件

Cisco IOS ソフトウェアは、送信元ルータおよびリモート ゲートウェイの両方で実行して、並列処理できるようにする必要があります。

制約事項

SPI マッチングは、NAT デバイスと両方のエンドポイント デバイスで設定される必要があります。

手順の概要

1. enable

2. configure terminal

3. crypto ipsec nat-transparency spi-matching

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto ipsec nat-transparency spi-matching

 

Router(config)# crypto ipsec nat-transparency spi-matching

両方のエンドポイントで SPI マッチングをイネーブルにします。

NAT のマルチ パート SDP サポートのイネーブル化

NAT のマルチ パート SDP サポート機能は、高度な NAT ポートフォリオを実現するために、SIP ALG でのマルチ パート SDP のサポートを提供します。デフォルトでは、NAT のマルチ パート SDP サポートはディセーブルになっています。

NAT のマルチ パート サポートをイネーブルにするには、次の手順を実行します。

制約事項

NAT は埋め込み IP バージョン 4 アドレスだけを変換します。

手順の概要

1. enable

2. configure terminal

3. ip nat service allow-multipart

4. exit

5. show ip nat translations

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat service allow-multipart

 

Router(config)# ip nat service allow-multipart

マルチ パート SDP をイネーブルにします。

ステップ 4

exit

 

Router(config)# exit

特権 EXEC モードに戻ります。

ステップ 5

show ip nat translations

 

Router# show ip nat translations

(任意)アクティブな NAT を表示します。

IP 電話と Cisco CallManager 間での NAT の配備

ここでは、シスコの IP 電話用 Skinny Client Control Protocol(SCCP)の Cisco CallManager(CCM)通信への配備について説明します。IP 電話と CCM 間で NAT を配備するには、次の手順を実行します。

Skinny Client Control Protocol の NAT サポート

Cisco IP 電話では、SCCP を使用して CCM に接続および登録を行います。

スケーラブルな環境で IP 電話と CCM 間で Cisco IOS NAT を配備できるようにするには、NAT は SCCP を検出して、メッセージで渡される情報を処理する必要があります。コールを実行することができる他の IP 電話ユーザを特定するために使用される IP アドレスとポート情報が含まれるメッセージがやり取りされます。

通常、SCCP クライアントの CCM 通信は、内側から外側に流れます。CCM が内側(NAT デバイスの背後)にある場合、CCM IP アドレス接続を解決するには、DNS を使用する必要があります。もしくは、内側の CCM に到達するように、スタティック NAT を設定する必要があります。

IP 電話が CCM への接続を試み、設定されている NAT 規則に一致すると、NAT は元の送信元 IP アドレスを変換して、設定されているプールからのアドレスに置き換えます。この新しいアドレスは CCM に反映され、他の IP 電話ユーザに表示されます。

SCCP フラグメンテーションの NAT サポート

Skinny 制御メッセージは TCP を介して交換されます。IP 電話または CCM のいずれかで、Skinny 制御メッセージ ペイロードよりも小さい TCP Maximum Segment Size(MSS; 最大セグメント サイズ)を持つように設定されている場合、Skinny 制御メッセージは複数の TCP セグメントでセグメント化されます。この機能が導入される前は、NAT Skinny ALG が Skinny 制御メッセージを再構成できなかったため、TCP セグメント化を行っても Skinny 制御メッセージの交換は失敗していました。NAT SCCP フラグメンテーション サポート機能により、NAT Skinny ALG の TCP セグメントのサポートが追加されます。IP またはポートの変換が必要な断片化されたペイロードがドロップされることはなくなります。

Skinny 制御メッセージは IP フラグメント化されることもできますが、Virtual Fragmentation Reassembly(VFR)を使用する場合にだけサポートされます。

手順の概要

1. enable

2. configure terminal

3. ip nat service skinny tcp port number

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat service skinny tcp port number

 

Router(config)# ip nat service skinny tcp port 20002

指定した TCP ポートで Skinny プロトコルを設定します。

アプリケーション レベル ゲートウェイでの NAT 使用の設定例

ここでは、次の設定例について説明します。

「NAT による IPsec ESP の設定:例」

「保持ポートのイネーブル化:例」

「SPI マッチング:例」

「エンドポイント ルータでの SPI マッチングの設定:例」

「NAT のマルチ パート SDP サポートのイネーブル化:例」

「IP 電話と Cisco CallManager 間での NAT の配備:例」

NAT による IPsec ESP の設定:例

ゴールドおよびシルバーのバーチャル プライベート ネットワーク(VPN)の共有サービスへのスタティック ルートを持つ Provider Edge(PE; プロバイダー エッジ)ルータに設定されている NAT の例を示します。NAT は内部の送信元の 1 対 1 スタティック変換として設定されています。

ip nat pool outside 192.0.2.1 192.0.2.14 netmask 255.255.255.0
ip nat outside source list 1 pool mypool
access-list 1 permit 192.0.2.3 0.0.0.255
ip nat inside source static 192.0.2.23 192.0.2.22 vrf gold
ip nat inside source static 192.0.2.21 192.0.2.2 vrf silver

保持ポートのイネーブル化:例

サードパーティ製コンセントレータの TCP ポート 500 を設定する例を示します。アクセス リスト 10 が設定されています。

ip nat service list 10 ike preserve-port
access-list 10 permit 10.1.1.1

SPI マッチング:例

SPI マッチングをイネーブルにする例を示します。アクセス リスト 10 が設定されています。

ip nat service list 10 esp spi-match
access-list 10 permit 10.1.1.1

エンドポイント ルータでの SPI マッチングの設定:例

エンドポイント ルータで SPI マッチングをイネーブルにする例を示します。

crypto ipsec nat-transparency spi-matching

NAT のマルチ パート SDP サポートのイネーブル化:例

次に、NAT のマルチ パート SDP サポートをイネーブルにする例を示します。
ip nat service allow-multipart

IP 電話と Cisco CallManager 間での NAT の配備:例

CallManager の 20002 ポートを設定する例を示します。

ip nat service skinny tcp port 20002

関連情報

ネットワーク アドレス変換の詳細と IP アドレス変換のための NAT の設定については、「IP アドレス保護用 NAT 設定」モジュールを参照してください。

モニタを確認して NAT を維持するには、「NAT のモニタリングおよびメンテナンス」モジュールを参照してください。

NAT と MPLS VPN の統合については、「MPLS VPN と NAT の統合」モジュールを参照してください。

ハイ アベイラビリティを実現するために NAT を設定するには、「ハイ アベイラビリティ用 NAT の設定」モジュールを参照してください。

その他の関連資料

アプリケーション レベル ゲートウェイでの NAT の使用に関する関連資料については、次の項を参照してください。

関連資料

関連項目
参照先

NAT コマンド:コマンド構文詳細、コマンド モード、デフォルト、使用上の注意事項、例

『Cisco IOS IP Addressing Services Command Reference』

規格

規格
タイトル

なし

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、資料やツールなど幅広いオンライン リソースが用意されており、シスコの製品およびテクノロジーに関するトラブルシューティングや技術的な問題の解決などに役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。 http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

アプリケーション レベル ゲートウェイでの NAT の使用に関する機能情報

表 1 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(1) 以降のリリースで導入または変更された機能だけを示します。

ここに記載されていないこのテクノロジーの機能の情報については、「 Configuring Network Address Translation Features Roadmap 」、またはご使用の Cisco IOS リリースに関する利用可能なその他の資料を参照してください。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 アプリケーション レベル ゲートウェイでの NAT の使用に関する機能情報

機能名
リリース
機能設定情報

IPSec ESP の NAT サポート:フェーズ II の機能

12.2(15)T

IPSec ESP の NAT サポートのフェーズ II の機能により、NAPT を設定した Cisco IOS ルータを通じてトンネル モードでカプセル化しなくても Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および ESP をサポートできます。

この機能に関する詳細については、次の各項を参照してください。

「NAT 経由での IPsec の設定」

「NAT による IPsec ESP の設定:例」

NAT による SIP サポート機能

12.2(8)T

NAT による SIP サポートにより、VoIP ソリューション間で SIP に基づいて Cisco IOS NAT を展開できるようになります。

この機能に関する詳細については、次の項を参照してください。

「NAT 経由での IPsec の設定」

H.323 v2 RAS 機能での NAT サポート

12.2(2)T

Cisco IOS NAT は、RAS プロトコルで送信されたメッセージを含めて、すべての H.225 および H.245 のメッセージ タイプをサポートしています。

この機能に関する詳細については、次の項を参照してください。

「H.323 v2 RAS の NAT サポート」

NAT を通じた IPsec ESP のサポート

12.2(13)T

NAT を通じた IPSec ESP のサポートにより、IP Security(IPSec; IP セキュリティ)を使用する複数の Encapsulating Security Payload(ESP)トンネル、あるいは、オーバーロードに設定済みまたは Port Address Translation(PAT; ポート アドレス変換)モードに設定済みの複数の Cisco IOS Network Address Translation(NAT; ネットワーク アドレス変換)デバイスを同時にサポートする機能が提供されます。

この機能に関する詳細については、次の項を参照してください。

「NAT による IPsec ESP の設定」

H.323 v2 互換モードでの v3 および v4 の NAT サポート

12.3(2)T

H.323 v2 互換モードでの v3 および v4 の NAT サポート機能を使用すると、H.323 v2 と互換性のあるフィールドがメッセージに含まれる場合でも、H.323 v3 および v4 でコーディングされたメッセージをシスコの NAT ルータで扱うことができます。この機能は、アドレス変換に必要な新しいメッセージ タイプまたは新しいフィールドなど、v3 および v4 に導入された H.323 の機能のサポートを追加しません。

この機能に関する詳細については、次の項を参照してください。

「H.323 v2 互換モードでの v3 および v4 の NAT サポート」

NAT H.245 トンネリング サポート

12.3(11)T

NAT H.245 トンネリング サポート機能により、H.323 アプリケーション レベル ゲートウェイ(ALG)での H.245 トンネリングが可能になります。

この機能に関する詳細については、次の項を参照してください。

「NAT H.245 トンネリング サポート」

NAT SCCP フラグメンテーション サポート

12.4(6)T

NAT SCCP フラグメンテーション サポート機能により、NAT Skinny ALG の TCP セグメントのサポートが追加されます。IP またはポートの変換が必要な断片化されたペイロードがドロップされることはなくなります。

この機能に関する詳細については、次の項を参照してください。

「SCCP フラグメンテーションの NAT サポート」

H.323 を使用しないアプリケーションのサポート

12.2(33)XNC

NAT と ALG の併用では、アプリケーションがポート 1720 を使用する限り、H.323 を使用しないアプリケーションからのパケットを変換します

NAT のマルチ パート SDP サポート

15.0(1)M

NAT のマルチ パート SDP サポート機能は、高度な NAT ポートフォリオを実現するために、SIP ALG でのマルチ パート SDP のサポートを提供します。この機能は、デフォルトでディセーブルになっています。

この機能に関する詳細については、次の項を参照してください。

「NAT のマルチ パート SDP サポートのイネーブル化」

この機能で debug ip nat , ip nat service のコマンドは変更されています。