Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
MPLS VPN と NAT の統合
MPLS VPN と NAT の統合
発行日;2012/02/05 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

MPLS VPN と NAT の統合

この章の構成

MPLS VPN と NAT 統合の前提条件

MPLS VPN と NAT 統合の制約事項

MPLS VPN と NAT の統合について

NAT と MPLS VPN との統合の利点

NAT と MPLS VPN との統合に関する実装オプション

PE ルータ上での NAT 統合のシナリオ

NAT と MPLS VPN との統合方法

MPLS VPN を使用した内部ダイナミック NAT の設定

MPLS VPN を使用した内部スタティック NAT の設定

MPLS VPN との外部ダイナミック NAT 設定

MPLS VPN との外部スタティック NAT 設定

MPLS VPN と NAT 統合の設定例

MPLS VPN との内部ダイナミック NAT の設定:例

MPLS VPN との内部スタティック NAT の設定:例

MPLS VPN との外部ダイナミック NAT の設定:例

MPLS VPN との外部スタティック NAT の設定:例

関連情報

その他の関連資料

関連資料

規格

MIB

RFC

MPLS VPN と NAT の統合に関する機能情報

シスコのテクニカル サポート

MPLS VPN と NAT の統合

MPLS VPN との Network Address Translation(NAT; ネットワーク アドレス変換)統合機能により、複数の Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を単一デバイスに設定して、連動するようにできます。MPLS VPN がすべて同じ IP アドレッシング スキームを使用していたとしても、NAT は、どの MPLS VPN から IP トラフィックを受信するのかを区別できます。この拡張により、複数の MPLS VPN の顧客がサービスを共有しながら、各 MPLS VPN が互いに完全に分離していることが保証されます。

変更履歴

このマニュアルの初版の発行は 2005/05/02 で、最終更新日は 2009/11/24 です。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースでは、一部の機能がサポートされていない場合があります。機能のサポートおよび設定に関する詳細については、 「MPLS VPN と NAT の統合に関する機能情報」 を参照してください。

MPLS VPN と NAT 統合の前提条件

このモジュールの作業を実行する前に、「 IP アドレス保護用 NAT 設定 」モジュールで説明されている概念について十分に理解しておく必要があります。

このモジュールで説明している作業で使用するために必要なすべてのアクセス リストは、設定作業を開始する前に設定します。アクセス リストの設定方法については、次の URL の『 IP Access List Sequence Numbering 』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122s/122snwft/release/122s14/fsaclseq.htm


) NAT コマンドで使用するアクセス リストを指定する場合、NAT は、アクセス リストで通常使用されている permit ip any any コマンドをサポートしていません。


MPLS VPN と NAT 統合の制約事項

内部 VPN 間と NAT との統合はサポートされていません。

MPLS VPN と NAT の統合について

NAT と MPLS VPN を統合するには、次の概念を理解しておく必要があります。

「NAT と MPLS VPN との統合の利点」

「NAT と MPLS VPN との統合に関する実装オプション」

「PE ルータ上での NAT 統合のシナリオ」

NAT と MPLS VPN との統合の利点

MPLS サービス プロバイダーは、インターネット接続、Domain Name Server(DNS; ドメイン ネーム サーバ)、および Voice over IP(VoIP)サービスなどの付加価値サービスを顧客に提供します。プロバイダーでは、顧客がサービスに到達する際に顧客同士の IP アドレスが異なっていることを求めます。MPLS VPN によって顧客はネットワーク内で重複した IP アドレスを使用できるようになるため、NAT を実装してそのサービスを使用できるようにしておく必要があります。

NAT と MPLS VPN との統合に関する実装オプション

MPLS VPN ネットワークでの NAT 統合には 2 種類の手法があります。NAT は、すでに NAT でサポートされている Customer Edge(CE; カスタマー エッジ)ルータに実装するか、Provider Edge(PE; プロバイダー エッジ)ルータに実装できます。MPLS VPN との NAT 統合機能により、MPLS クラウドにある PE ルータで NAT 統合を行うことができるようになります。

PE ルータ上での NAT 統合のシナリオ

次のシナリオで、PE ルータ上で NAT を統合できます。

サービス ポイント:共有アクセスは、汎用インターフェイスまたは VPN インターフェイスから可能です。

NAT ポイント:NAT は、共有アクセス ゲートウェイに直接接続された PE ルータ、または共有アクセス ゲートウェイに直接接続されていない PE ルータに設定できます。

NAT インターフェイス:共有アクセス ゲートウェイ インターフェイスは、NAT の外部インターフェイスとして設定されることも多くあります。NAT の内部インターフェイスには、VPN の PE-CE インターフェイス、MPLS バックボーンへのインターフェイス、またはその両方のいずれかです。共有アクセス ゲートウェイ インターフェイスは、内部インターフェイスとして設定することもできます。

ルーティング タイプ:コモン サービスは、インターネット接続またはコモン サーバとすることができます。インターネット接続に対して、デフォルト ルートがサービスを使用するすべての VPN カスタマーに伝播されます。共通サーバ アクセスに対して、スタティックまたはダイナミックに学習されるルートが VPN カスタマーに伝播されます。

NAT 設定:NAT は異なる設定(スタティック、ダイナミック、プール/インターフェイス オーバーロード、ルート マップ)を持つことができます。

図 1 に、MPLS VPN との典型的な NAT 統合を示します。インターネットおよび集中型メール サービスに接続された PE ルータが、アドレス変換を実行するために使用されます。

図 1 MPLS VPN との典型的な NAT 統合

 

NAT と MPLS VPN との統合方法

ネットワークを設定する変換のタイプに応じて次の 1 つ以上の作業を実行します。

「MPLS VPN を使用した内部ダイナミック NAT の設定」(任意)

「MPLS VPN を使用した内部スタティック NAT の設定」(任意)

「MPLS VPN との外部ダイナミック NAT 設定」(任意)

「MPLS VPN との外部スタティック NAT 設定」(任意)

MPLS VPN を使用した内部ダイナミック NAT の設定

この作業を実行して、MPLS VPN と統合するためのダイナミック変換を行う NAT PE ルータを設定します。

手順の概要

1. enable

2. configure terminal

3. ip nat pool name start-ip end-ip netmask netmask

4. ip nat [ inside | outside ] source [ list { access-list-number | access-list-name } | route-map name ] [ interface type number | pool pool-name ] vrf vrf-name [ overload ]

5. 設定するすべての VPN に対してステップ 4 を繰り返します。

6. ip route vrf vrf-name prefix mask interface-type interface-number next-hop-address

7. 設定するすべての VPN に対してステップ 6 を繰り返します。

8. exit

9. show ip nat translations vrf vrf-name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool name start-ip end-ip netmask netmask

 

Router(config)# ip nat pool inside 2.2.2.10 2.2.2.10 netmask 255.255.255.0

NAT の IP アドレス プールを定義します。

ステップ 4

ip nat [ inside | outside ] source [ list { access-list-number | access-list-name } | route-map name ] [ interface type number | pool pool-name ] vrf vrf-name [ overload ]

 

Router(config)# ip nat inside source list 1 pool mypool vrf shop overload

特定の VPN に NAT を設定できるようにします。

ステップ 5

設定する各 VPN に対してステップ 4 を繰り返します。

特定の VPN に NAT を設定できるようにします。

ステップ 6

ip route vrf vrf-name prefix mask interface-type interface-number next-hop-address

 

Router(config)# ip route vrf shop 0.0.0.0 0.0.0.0 ethernet 0 168.58.88.2

特定の VPN に NAT を設定できるようにします。

ステップ 7

設定する各 VPN に対してステップ 6 を繰り返します。

特定の VPN に NAT を設定できるようにします。

ステップ 8

exit

 

Router> exit

特権 EXEC モードに戻ります。

ステップ 9

show ip nat translations vrf vrf-name

 

Router# show ip nat translations vrf shop

(任意)Virtual Routing Forwarding(VRF; 仮想ルーティング/転送)テーブル変換で使用される設定を表示します。

MPLS VPN を使用した内部スタティック NAT の設定

この作業を実行して、MPLS VPN と統合するためにスタティック変換を行う NAT PE ルータを設定します。

手順の概要

1. enable

2. configure terminal

3. ip nat inside source { static { esp local-ip interface type number | local-ip global-ip }} [ extendable | mapping-id map-id | no-alias | no-payload | redundancy group-name | route-map | vrf name ]

4. 設定する各 VPN に対してステップ 3 を繰り返します。

5. ip route vrf vrf-name prefix prefix mask next-hop-address global

6. 設定する各 VPN に対してステップ 5 を繰り返します。

7. exit

8. show ip nat translations vrf vrf-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat inside source { static { esp local-ip interface type number | local-ip global-ip }} [ extendable | mapping-id map-id | no-alias | no-payload | redundancy group-name | route-map | vrf name ]

 

Router(config)# ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop

VRF で内部スタティック変換をイネーブルにします。

ステップ 4

設定する各 VPN に対してステップ 3 を繰り返します。

VRF で内部スタティック変換をイネーブルにします。

ステップ 5

ip route vrf vrf-name prefix prefix mask next-hop-address global

 

Router(config)# ip route vrf shop 0.0.0.0 0.0.0.0 168.58.88.2 global

複数のカスタマーでルートを共有できるようになります。

ステップ 6

設定する各 VPN に対してステップ 5 を繰り返します。

複数のカスタマーでルートを共有できるようになります。

ステップ 7

exit

 

Router> exit

特権 EXEC モードに戻ります。

ステップ 8

show ip nat translations vrf vrf-name

 

Router# show ip nat translations vrf shop

(任意)VRF 変換に使用される設定を表示します。

MPLS VPN との外部ダイナミック NAT 設定

この手順を実行して、MPLS VPN と統合するためのダイナミック外部変換を行う NAT PE ルータを設定します。

手順の概要

1. enable

2. configure terminal

3. ip nat pool outside global-ip local-ip netmask netmask

4. ip nat inside source static local-ip global-ip vrf vrf-name

5. 設定する各 VRF に対してステップ 4 を繰り返します。

6. ip nat outside source static global-ip local-ip vrf vrf-name

7. exit

8. show ip nat translations vrf vrf-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool outside global-ip local-ip netmask netmask

 

Router(config)# ip nat pool outside 4.4.4.1 4.4.4.254 netmask 255.255.255.00

設定済みの VRF を NAT 変換ルールと関連付けることができるようにします。

ステップ 4

ip nat inside source static local-ip global-ip vrf vrf-name

 

Router(config)# ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop

複数のカスタマーでルートを共有できるようになります。

ステップ 5

設定する各 VRF に対してステップ 4 を繰り返します。

複数のカスタマーでルートを共有できるようになります。

ステップ 6

ip nat outside source static global-ip local-ip vrf vrf-name

 

Router(config)# ip nat outside source static 168.58.88.2 4.4.4.1 vrf shop

外部送信元アドレスの NAT 変換をイネーブルにします。

ステップ 7

exit

 

Router> exit

特権 EXEC モードに戻ります。

ステップ 8

show ip nat translations vrf vrf-name

 

Router# show ip nat translations vrf shop

(任意)VRF 変換に使用される設定を表示します。

MPLS VPN との外部スタティック NAT 設定

この作業を実行して、MPLS VPN と統合するためにスタティック外部変換を行う NAT PE ルータを設定します。

手順の概要

1. enable

2. configure terminal

3. ip nat pool inside global-ip local-ip netmask netmask

4. 設定するプールごとにステップ 3 を繰り返します。

5. ip nat inside source list access-list-number pool pool-name vrf vrf-name

6. 設定するプールごとにステップ 5 を繰り返します。

7. ip nat outside source static global-ip local-ip vrf vrf-name

8. 設定するすべての VPN に対してステップ 7 を繰り返します。

9. exit

10. show ip nat translations vrf vrf-name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure { terminal | memory | network }

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat pool inside global-ip local-ip netmask netmask

 

Router(config)# ip nat pool inside1 2.2.1.1 2.2.1.254 netmask 255.255.255.0

設定済みの VRF を NAT 変換ルールと関連付けることができるようにします。

ステップ 4

設定するプールごとにステップ 3 を繰り返します。

設定済みの VRF を NAT 変換ルールと関連付けることができるようにします。

ステップ 5

ip nat inside source list access-list-number pool pool-name vrf vrf-name

 

Router(config)# ip nat inside source list 1 pool inside2 vrf shop

複数のカスタマーでルートを共有できるようになります。

ステップ 6

設定するプールごとにステップ 5 を繰り返します。

アクセス リストを定義します。

ステップ 7

ip nat outside source static global-ip local-ip vrf vrf-name

 

Router(config)# ip nat outside source static 168.58.88.2 4.4.4.1 vrf shop

複数のカスタマーでルートを共有できるようになります。

ステップ 8

設定するすべての VPN に対してステップ 7 を繰り返します。

複数のカスタマーでルートを共有できるようになります。

ステップ 9

exit

 

Router> exit

特権 EXEC モードに戻ります。

ステップ 10

show ip nat translations vrf vrf-name

 

Router# show ip nat translations vrf shop

(任意)VRF 変換に使用される設定を表示します。

MPLS VPN と NAT 統合の設定例

ここでは、次の設定例について説明します。

「MPLS VPN との内部ダイナミック NAT の設定:例」

「MPLS VPN との外部ダイナミック NAT の設定:例」

「MPLS VPN との内部スタティック NAT の設定:例」

「MPLS VPN との外部スタティック NAT の設定:例」

MPLS VPN との内部ダイナミック NAT の設定:例

次に、MPLS VPN との内部ダイナミック NAT の設定例を示します。

!
ip nat pool inside 2.2.2.10 2.2.2.10 netmask 255.255.255.0
ip nat inside source list 1 pool inside vrf bank overload
ip nat inside source list 1 pool inside vrf park overload
ip nat inside source list 1 pool inside vrf shop overload
!
ip route vrf shop 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2
ip route vrf bank 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2
ip route vrf park 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2
!
access-list 1 permit 192.168.0.0 0.0.255.255

MPLS VPN との内部スタティック NAT の設定:例

次に、MPLS VPN との内部スタティック NAT の設定例を示します。

!
ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop
ip nat inside source static 192.168.122.49 2.2.2.2 vrf shop
ip nat inside source static 192.168.121.113 2.2.2.3 vrf bank
ip nat inside source static 192.168.22.49 2.2.2.4 vrf bank
ip nat inside source static 192.168.121.113 2.2.2.5 vrf park
ip nat inside source static 192.168.22.49 2.2.2.6 vrf park
ip nat inside source static 192.168.11.1 2.2.2.11 vrf shop
ip nat inside source static 192.168.11.3 2.2.2.12 vrf shop
ip nat inside source static 140.48.5.20 2.2.2.13 vrf shop
!
ip route 2.2.2.1 255.255.255.255 Ethernet1/0 192.168.121.113
ip route 2.2.2.2 255.255.255.255 Ethernet1/0 192.168.121.113
ip route 2.2.2.3 255.255.255.255 Serial2/1.1 192.168.121.113
ip route 2.2.2.4 255.255.255.255 Serial2/1.1 192.168.121.113
ip route 2.2.2.5 255.255.255.255 FastEthernet0/0 192.168.121.113
ip route 2.2.2.6 255.255.255.255 FastEthernet0/0 192.168.121.113
ip route 2.2.2.11 255.255.255.255 Ethernet1/0 192.168.121.113
ip route 2.2.2.12 255.255.255.255 Ethernet1/0 192.168.121.113
ip route 2.2.2.13 255.255.255.255 Ethernet1/0 192.168.121.113

MPLS VPN との外部ダイナミック NAT の設定:例

次に、MPLS VPN との外部ダイナミック NAT の設定例を示します。

!
ip nat pool outside 4.4.4.1 4.4.4.254 netmask 255.255.255.0
ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop
ip nat inside source static 192.168.122.49 2.2.2.2 vrf shop
ip nat inside source static 192.168.121.113 2.2.2.3 vrf bank
ip nat inside source static 192.168.22.49 2.2.2.4 vrf bank
ip nat inside source static 192.168.121.113 2.2.2.5 vrf park
ip nat inside source static 192.168.22.49 2.2.2.6 vrf park
ip nat outside source list 1 pool outside
!

MPLS VPN との外部スタティック NAT の設定:例

次に、MPLS VPN との外部スタティック NAT の設定例を示します。

!
ip default-gateway 10.1.15.1
ip nat pool inside1 2.2.1.1 2.2.1.254 netmask 255.255.255.0
ip nat pool inside2 2.2.2.1 2.2.2.254 netmask 255.255.255.0
ip nat pool inside3 2.2.3.1 2.2.3.254 netmask 255.255.255.0
ip nat inside source list 1 pool inside2 vrf bank
ip nat inside source list 1 pool inside3 vrf park
ip nat inside source list 1 pool inside1 vrf shop
ip nat outside source static 168.58.88.2 4.4.4.1 vrf bank
ip nat outside source static 18.68.58.1 4.4.4.2 vrf park
ip nat outside source static 168.58.88.1 4.4.4.3 vrf shop
ip classless
ip route 192.170.10.0 255.255.255.0 Ethernet1/0 192.168.121.113
ip route 192.170.11.0 255.255.255.0 Serial2/1.1 192.168.121.113
ip route 192.170.12.0 255.255.255.0 FastEthernet0/0 192.168.121.113
ip route vrf shop 0.0.0.0 0.0.0.0 168.58.88.2 global
ip route vrf bank 0.0.0.0 0.0.0.0 168.58.88.2 global
ip route vrf park 0.0.0.0 0.0.0.0 168.58.88.2 global
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.255.255

関連情報

ネットワーク アドレス変換の詳細と IP アドレス変換のための NAT の設定については、「IP アドレス保護用 NAT 設定」モジュールを参照してください。

NAT の確認、監視、および維持については、「NAT のモニタリングおよびメンテナンス」モジュールを参照してください。

NAT とアプリケーション レベル ゲートウェイを使用するには、「アプリケーション レベル ゲートウェイでの NAT の使用」モジュールを参照してください。

ハイ アベイラビリティを実現するために NAT を設定するには、「ハイ アベイラビリティ用 NAT の設定」モジュールを参照してください。

その他の関連資料

ここでは、NAT に関する関連資料について説明します。

関連資料

関連項目
参照先

NAT コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

『Cisco IOS IP Addressing Services Command Reference』

NAT ハイ アベイラビリティ

Configuring NAT for High Availability 」モジュール

アプリケーション レベル ゲートウェイ

Using Application Level Gateways with NAT

NAT の維持と監視

Monitoring and Maintaining NAT 」モジュール

IP アドレス保護

Configuring NAT for IP Address Conservation 」モジュール

規格

規格
タイトル

なし

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC1
タイトル

RFC 2547

「BGP/MPLS VPNs」

1.サポートされている RFC がすべて記載されているわけではありません。

MPLS VPN と NAT の統合に関する機能情報

表 1 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.1(13) T 以降のリリースで導入または変更された機能だけを示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのサポートの導入時期に関する詳細については、コマンド リファレンス マニュアルを参照してください。

ここに記載されていないこのテクノロジーの機能情報については、「ネットワーク アドレス変換機能の設定ロードマップ」を参照してください。

Cisco IOS ソフトウェア イメージは、Cisco IOS ソフトウェア リリース、機能セット、プラットフォームそれぞれに固有です。Cisco Feature Navigator を使用すると、プラットフォームおよび Cisco IOS ソフトウェア イメージの各サポート情報を検索できます。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスには、Cisco.com のアカウントが必要です。アカウントを持っていないか、ユーザ名またはパスワードが不明な場合は、ログイン ダイアログボックスの [Cancel] をクリックし、表示される指示に従ってください。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 MPLS VPN と NAT の統合に関する機能情報

機能名
リリース
機能設定情報

ネットワーク アドレス変換(NAT)と MPLS VPN の統合機能

12.1(13)T

この機能を使用すると、複数の Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)の Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を単一のデバイス上に設定して一緒に動作させることができます。

この機能に関する詳細については、次の各項を参照してください。

「MPLS VPN と NAT の統合について」

「NAT と MPLS VPN との統合方法」

シスコのテクニカル サポート

説明
リンク

シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、テクニカル ティップス、ツールへのリンクなど、技術的なコンテンツを検索可能な形で大量に提供しています。Cisco.com 登録ユーザの場合は、次のページからログインしてさらに多くのコンテンツにアクセスできます。

http://www.cisco.com/techsupport