Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
ネットワーク アドレス変換
ネットワーク アドレス変換
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ネットワーク アドレス変換

ネットワーク アドレス変換ウィザード

基本 NAT ウィザード:ようこそ

基本 NAT ウィザード:接続

要約

拡張 NAT ウィザード:ようこそ

拡張 NAT ウィザード:接続

IP アドレスの追加

拡張 NAT ウィザード:ネットワーク

ネットワークの追加

拡張 NAT ウィザード:サーバ パブリック IP アドレス

アドレス変換ルールの追加/編集

拡張 NAT ウィザード:ACL の競合

詳細

ネットワーク アドレス変換ルール

NAT インターフェイスの指定

変換タイムアウト設定

ルート マップの編集

ルート マップ エントリの編集

アドレス プール

アドレス プールの追加/編集

スタティック アドレス変換ルールの追加/編集:内部から外部へ

スタティック アドレス変換ルールの追加/編集:外部から内部へ

ダイナミック アドレス変換ルールの追加/編集:内部から外部へ

ダイナミック アドレス変換ルールの追加/編集:外部から内部へ

その他の手順

外部から内部へのアドレス変換を設定する方法

1 つの LAN と複数の WAN を持つ NAT を設定する方法

ネットワーク アドレス変換

ネットワーク アドレス変換( NAT)は、スタティックなアドレス変換とダイナミックなアドレス変換の両方を実現することでアドレス指定機能を拡張する堅牢なアドレス変換方式です。NAT を使用すると、正式な IP アドレスを持たないホストがインターネットを介して別のホストと通信できます。そのようなホストは、プライベートアドレスを使用していることもあれば、別の組織に割り当てられたアドレスを使用していることもあります。いずれの場合も、NAT を使用すると、こうした本来インターネット上では使用できないアドレスをそのまま使用して、インターネット上のホストと通信できます。

ネットワーク アドレス変換ウィザード

このウィザードを使用すると、ネットワーク アドレス変換( NAT)ルールを作成できます。次のいずれかのウィザードを選択します。

基本 NAT

ネットワークをインターネット(つまり外部)に接続する場合、またネットワークにホストが接続されているがサーバは接続されていない場合は、基本 NAT ウィザードを選択します。[基本 NAT]を選択したときに、右側に表示されるサンプル図を確認してください。ネットワークがインターネットへのアクセスを必要とする PC のみで構成されている場合は、[基本 NAT]を選択し、[起動]ボタンをクリックします。

拡張 NAT

ネットワークをインターネット(つまり外部)に接続する場合、またネットワークにホストとサーバが接続されており、サーバは外部のホスト(インターネット上のホスト)にアクセスできなければならない場合は、拡張 NAT ウィザードを選択します。[拡張 NAT]を選択したときに、右側に表示されるサンプル図を確認してください。ネットワークに電子メール サーバ、WEB サーバなど他のサーバが接続されており、それらにインターネットからの接続を許可するようにする場合は、[拡張 NAT]を選択し、[起動]ボタンをクリックします。


) サーバでインターネットからの接続が許可されないようにする場合は、基本 NAT ウィザードを使用できます。


基本 NAT ウィザード:ようこそ

基本 NAT のようこそ画面には、ウィザードに従って 1 つ以上の LAN(サーバは除く)をインターネットに接続するように NAT を設定する方法が表示されます。

基本 NAT ウィザード:接続

インターフェイスの選択

ドロップダウン メニューから、インターネットに接続するインターフェイスを選択します。これは、ルータの WAN 側インターフェイスです。

ネットワークの選択

利用可能なネットワークのリストには、ルータに接続されているネットワークが表示されます。この NAT 設定で WAN インターフェイスを共有するネットワークを選択します。ネットワークを選択するには、利用可能なネットワークのリストでチェック ボックスを選択します。


) この NAT 設定で設定する WAN インターフェイスに接続されているネットワークは選択しないでください。チェック ボックスを選択解除して、NAT 設定からネットワークを削除してください。


リストには、ネットワークごとに次の情報が表示されます。

ネットワークに割り当てられている IP アドレス範囲

ネットワーク LAN インターフェイス

ネットワークについて入力されたコメント

NAT 設定からネットワークを削除する場合は、チェック ボックスを選択解除します。


) Cisco CP によって、WAN インターフェイスに対する NAT 設定と既存の VPN 設定間に競合が検出された場合は、[次へ]をクリックした後に表示されるダイアログ ボックスで通知されます。


要約

このウィンドウでは、作成した NAT 設定が表示され、その設定を保存することもできます。要約は次のように表示されます。

Interface that is connected to the Internet or to your Internet service provider:
FastEthernet0/0
 
IP address ranges that share the Internet connection:
108.1.1.0 to 108.1.1.255
87.1.1.0 to 87.1.1.255
12.1.1.0 to 12.1.1.255
10.20.20.0 to 10.20.20.255
 

拡張 NAT ウィザードを使用している場合は、次の追加情報も表示される可能性があります。

NAT rules for servers:
Translate 10.10.10.19 TCP port 6080 to IP address of interface FastEthernet0/0 TCP port 80
Translate 10.10.10.20 TCP port 25 to 194.23.8.1 TCP port 25

拡張 NAT ウィザード:ようこそ

拡張 NAT のようこそ画面には、ウィザードに従って、LAN とサーバをインターネットに接続するように NAT を設定する方法が表示されます。

拡張 NAT ウィザード:接続

インターフェイスの選択

ドロップダウン メニューから、インターネットに接続するインターフェイスを選択します。これは、ルータの WAN 側インターフェイスです。

追加のパブリック IP アドレス

[追加]をクリックして、所有しているパブリック IP アドレスを入力します。これによって、インターネットで利用可能にするネットワーク上のサーバに、これらの IP アドレスを割り当てることができます。

リストから IP アドレスを削除するには、IP アドレスを選択し[削除]をクリックします。

IP アドレスの追加

所有しているパブリック IP アドレスを入力します。これによって、インターネットで利用可能にするネットワーク上のサーバに、これらの IP アドレスを割り当てることができます。

拡張 NAT ウィザード:ネットワーク

ネットワークの選択

利用可能なネットワークのリストには、ルータに接続されているネットワークが表示されます。この NAT 設定で WAN インターフェイスを共有するネットワークを選択します。ネットワークを選択するには、利用可能なネットワークのリストでチェック ボックスを選択します。


) この NAT 設定で設定する WAN インターフェイスに接続されているネットワークは選択しないでください。チェック ボックスを選択解除して、NAT 設定からネットワークを削除してください。


リストには、ネットワークごとに次の情報が表示されます。

ネットワークに割り当てられている IP アドレス範囲

ネットワーク LAN インターフェイス

ネットワークについて入力されたコメント

NAT 設定からネットワークを削除する場合は、チェック ボックスを選択解除します。

ルータに直接接続されていないネットワークをリストに追加するには、[ネットワークの追加]をクリックします。


) NAT ルールを設定するネットワークの横にチェック マークを付けることができない場合は、ネットワークに関連付けられたインターフェイスが、すでに NAT インターフェイスとして指定されています。このような状態の場合は、[コメント]カラムに指定済みという文字が表示されます。そうしたインターフェイスに NAT ルールを設定する場合は、ウィザードを終了して、[NAT 構成の編集]タブ、[NAT インターフェイスの指定]の順にクリックして、インターフェイスの選択を解除します。その後、ウィザードに戻って、NAT ルールを設定してください。


ネットワークの追加

拡張 NAT ウィザードで、利用可能なネットワークのリストにネットワークを追加できます。その場合は、ネットワーク IP アドレスとネットワーク マスクを所有している必要があります。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

IP アドレス

ネットワーク IP アドレスを入力します。

サブネット マスク

このフィールドにネットワーク サブネット マスクを入力するか、右側のスクロール フィールドからサブネット ビット数を選択します。サブネット マスクでは、IP アドレスのどのビットを使用してネットワーク アドレスとホスト アドレスを指定するかをルータに指示できます。

拡張 NAT ウィザード:サーバ パブリック IP アドレス

このウィンドウでは、インターネットからアクセス可能にするために、パブリック IP アドレスを内部サーバのプライベート IP アドレスに変換できます。

リストには、変換先のプライベート IP アドレスとポート(使用されている場合)、および変換先のパブリック IP アドレスとポート(使用されている場合)が表示されます。

プライベート IP アドレスに基づいてリストを並べ替えるには、カラムの先頭の[プライベート IP アドレス]をクリックします。パブリック IP アドレスに基づいてリストを並べ替えるには、カラムの先頭の[パブリック IP アドレス]をクリックします。

追加ボタン

サーバの変換ルールを追加するには、[追加]をクリックします。

編集ボタン

サーバの変換ルールを編集するには、リストから編集する変換ルールを選択し、[編集]をクリックします。

削除ボタン

変換ルールを削除するには、リストから削除する変換ルールを選択し、[削除]をクリックします。

アドレス変換ルールの追加/編集

このウィンドウでは、サーバの IP アドレス変換情報を入力または編集できます。

プライベート IP アドレス

内部ネットワークでサーバが使用する IP アドレスを入力します。これは、インターネットの外部で使用できない IP アドレスです。

パブリック IP アドレス

ドロップダウン メニューから、サーバのプライベート IP アドレスの変換先のパブリック IP アドレスを選択します。ドロップダウン メニューに表示される IP アドレスには、ルータ WAN インターフェイスの IP アドレス、および接続ウィンドウで入力された、所有しているパブリック IP アドレスがあります(「拡張 NAT ウィザード:接続」を参照)。

サーバのタイプ

ドロップダウン メニューから、次のサーバのタイプのいずれかを選択します。

Web サーバ

HTML などの WWW 指向のページに使用される HTTP ホスト。

電子メール サーバ

電子メール送信に使用される SMTP サーバ。

その他

Web または電子メール サーバではないが、サービスを提供するためにポート変換が必要なサーバ。これを選択すると、[変換後のポート]フィールドと[プロトコル]ドロップダウン メニューが有効になります。

サーバのタイプを選択しない場合は、サーバに対して選択するパブリック IP アドレスを宛先とするすべてのトラフィックがそのアドレスにルーティングされ、ポート変換は実行されません。

元のポート

内部ネットワークからのサービス要求を受信するサーバによって使用されるポート番号を入力します。

変換後のポート

インターネットからのサービス要求を受信するサーバによって使用されるポート番号を入力します。

プロトコル

元のポートまたは変換後のポートを持つサーバによって使用されるプロトコルに対して、[TCP]または[UDP]を選択します。

拡張 NAT ウィザード:ACL の競合

このウィンドウが表示される場合は、Cisco CP によって WAN インターフェイス上の NAT 設定と既存の ACL 設定間に競合が検出されました。この ACL は、ファイアウォール設定、VPN 設定、またはその他の機能の設定の一部である可能性があります。

NAT 設定を修正して競合を削除することを選択するか、NAT 設定を修正 しない ことを選択します。NAT 設定を修正 しない ことを選択すると、競合によって、設定した他の機能の動作が停止する場合があります。

詳細の表示

[詳細の表示]ボタンをクリックして、提案された NAT 設定の修正内容を確認し、競合を解決します。このボタンは、すべての機能の競合で表示されるわけでありません。

詳細

このウィンドウには、同じインターフェイス上に設定された NAT と他の機能間の競合を解決するために、Cisco CP で NAT 設定に対して加えられた変更が一覧表示されます。

ネットワーク アドレス変換ルール

[ネットワーク アドレス変換ルール]ウィンドウを使用すると、 NAT ルールの表示、アドレス プールの表示、変換タイムアウトの設定などができます。また、各インターフェイスを内部インターフェイスまたは外部インターフェイスとして指定できます。

NAT の詳細については、「 NAT に関する詳細情報」を参照してください。

NAT インターフェイスの指定

インターフェイスを内部インターフェイスまたは外部インターフェイスとして指定します。NAT で変換ルールが解釈されるときには、この内部/外部の指定が参照されます。内部インターフェイスとは、ルータがサービスを提供するプライベート ネットワークに接続するインターフェイスのことです。外部インターフェイスは、 WAN またはインターネットに接続します。指定した内部/外部インターフェイスは、NAT ルール リストの上に表示されます。

アドレス プール

このボタンをクリックすると、アドレス プールを設定または編集できます。アドレス プールは、ダイナミック アドレス変換で使用されます。ルータは、アドレス プールから必要に応じてダイナミックにアドレスを割り当てます。割り当てられたアドレスは、不要になるとプールに戻されます。

変換タイムアウト

ダイナミック NAT を設定すると、変換エントリにタイムアウト期間が設定されます。タイムアウト期間を経過したエントリは期限切れとなり、変換テーブルから削除されます。このボタンをクリックすると、NAT 変換エントリのタイムアウト値およびその他の値を設定できます。

ネットワーク アドレス変換ルール

このエリアには、指定した内部/外部インターフェイスと設定した NAT ルールが表示されます。

内部インターフェイス

内部インターフェイスとは、ルータがサービスを提供するプライベート ネットワークに接続するインターフェイスのことです。内部インターフェイスの指定は、NAT 変換ルールを解釈するときに参照されます。インターフェイスを内部インターフェイスとして指定するには、[NAT インターフェイスの指定]をクリックします。

外部インターフェイス

外部インターフェイスとは、WAN またはインターネットに接続するルータ インターフェイスのことです。外部インターフェイスの指定は、NAT 変換ルールを解釈するときに参照されます。インターフェイスを外部インターフェイスとして指定するには、[NAT インターフェイスの指定]をクリックします。

元のアドレス

LAN 上で使用されるプライベート アドレスまたはアドレスのセットです。

変換後のアドレス

インターネットまたは外部ネットワークで使用される正式なアドレスまたはアドレス範囲です。

ルール タイプ

ルールには、スタティック アドレス変換ルールとダイナミック アドレス変換ルールがあります。

[スタティック アドレス変換]を選択すると、プライベート アドレスを持つホストからインターネットにアクセスしたり、逆にインターネットからそれらのホストにアクセスしたりできるようになります。スタティック アドレス変換は、1 つのプライベート IP アドレスを 1 つのパブリック アドレス(グローバル アドレス)にスタティックにマッピングします。10 のプライベート アドレスをスタティックに変換する場合は、アドレスごとに個別のスタティック ルールを作成することになります。

[ダイナミック アドレス変換]。NAT を使用したダイナミック アドレス変換には 2 通りの方法があります。1 つは、複数のプライベート アドレスを 1 つのパブリック アドレスとホスト セッションのポート番号の組み合わせにマッピングして、送信元ホストを識別する方法です。もう 1 つは、指定されたアドレス プールを使用する方法です。このアドレス プールには、パブリック アドレスが登録されます。プライベート アドレスを持つホストは、LAN の外部との通信を確立する際に、アドレス プールからパブリック アドレスを割り当てられます。ホストは、割り当てられたアドレスが不要になるとアドレス プールに戻します。

選択したエントリを追加時に複製する

既存のルールを基に新しいルールを作成するには、既存のルールを選択してこのチェック ボックスを選択します。[追加]をクリックすると、選択したルール内のアドレスが[アドレス変換ルールの追加]ウィンドウに表示されます。これらのアドレスを編集して新しいルールに必要なアドレスを指定してください。そうすれば、各フィールドにアドレス全体を入力しなくて済みます。

実行する操作

 

目的
手順

内部インターフェイスまたは外部インターフェイスとして指定する。

ルータを NAT として機能させるには、内部インターフェイスと外部インターフェイスを少なくとも 1 つずつ指定する必要がある。

[NAT インターフェイスの指定]をクリックして、[NAT インターフェイスの設定]ウィンドウで内部インターフェイスまたは外部インターフェイスとして指定する。[インターフェイスと接続]ウィンドウでも、インターフェイスを内部または外部として指定できる。

アドレス プールを追加、編集、または削除する。

ダイナミック ルールでは、アドレス プールから必要に応じてアドレスを取得し、デバイスに割り当てる。

[アドレス プール]をクリックし、ダイアログ ボックスでアドレス プール情報を設定する。

変換タイムアウトを設定する。

[変換タイムアウト]をクリックし、[変換タイムアウト]ウィンドウでタイムアウトを設定する。

NAT ルールを追加する。

[追加]をクリックし、[アドレス変換ルールの追加]ウィンドウで NAT ルールを作成する。

既存の NAT ルールを新しいルールのテンプレートとして使用するには、既存のルールを選択して、[選択したエントリを追加時に複製する]、[追加]の順にクリックする。

NAT ルールを編集する。

編集する NAT ルールを選択して、[編集]をクリックし、[アドレス変換ルールの編集]ウィンドウでルールを編集する。

NAT ルールを削除する。

削除する NAT ルールを選択して[削除]をクリックする。表示された[警告]ボックスで、ルールの削除を確認する必要がある。

ルート マップを表示/編集する。

ルータ上に仮想プライベート ネットワーク(VPN)接続を設定している場合は、VPN のローカル IP アドレスが NAT によって変換されないように保護する必要がある。VPN と NAT の両方を設定すると、Cisco Configuration Professional(Cisco CP)によって、VPN の IP アドレスが変換されないように保護するルート マップが作成される。さらに、コマンドライン インターフェイス(CLI)を使用してルート マップを設定することもできる。設定したルート マップを表示したり、マップが使用しているアクセス ルールを編集したりできる。

[ルート マップの表示]をクリックする。

関連する設定タスクの実行方法を調べる。

次のいずれかの手順を参照する。

VPN に対して NAT パススルーを設定する方法

サポートされていないインターフェイスで NAT を設定する方法

ファイアウォールに対して NAT パススルーを設定する方法


) [ネットワーク アドレス変換ルール]リストに、前に設定した NAT ルールが読み取り専用で表示されることがあります。読み取り専用の NAT ルールは編集できません。詳細については、ヘルプ トピック「 Cisco CP で NAT ルールを編集できない原因」を参照してください。


NAT インターフェイスの指定

このウィンドウでは、NAT 変換で使用する内部インターフェイスと外部インターフェイスを指定します。 NAT は、変換ルールを解釈するとき、インターフェイスの内部/外部の指定を参照します。変換は内部から外部、または外部から内部に実行されるためです。

ここで指定したインターフェイスは、すべての NAT 変換ルールで使用されます。指定したインターフェイスは、メインの[NAT]ウィンドウの[変換ルール]リストの上に表示されます。

インターフェイス

すべてのルータ インターフェイスは、このカラムに表示されます。

内部

このチェック ボックスを選択すると、インターフェイスが内部インターフェイスとして指定されます。内部インターフェイスは通常、ルータがサービスを提供する LAN に接続します。

外部

このチェック ボックスを選択すると、インターフェイスが外部インターフェイスとして指定されます。外部インターフェイスは通常、組織の WAN またはインターネットに接続します。

変換タイムアウト設定

ダイナミック NAT 変換ルールを設定すると、変換エントリにタイムアウト期間が設定されます。タイムアウト期間を経過したエントリは期限切れとなり、変換テーブルから削除されます。このウィンドウでは、さまざまな変換のタイムアウト値を設定します。

DNS タイムアウト

DNS サーバへの接続がタイムアウトになるまでの秒数を入力します。

ICMP タイムアウト

インターネット制御メッセージ プロトコル( ICMP)フローのタイムアウト値(秒)を入力します。デフォルトは 60 秒です。

PPTP タイムアウト

NAT ポイントツーポイント トンネリング プロトコル( PPTP)フローのタイムアウト値(秒)を入力します。デフォルトは 86,400 秒(24 時間)です。

ダイナミック NAT タイムアウト

ダイナミック NAT 変換の最大存続期間(秒)を入力します。

NAT エントリの最大数

変換テーブル内の NAT エントリの最大数を入力します。

UDP フロー タイムアウト

ユーザ データグラム プロトコル( UDP)フローの変換の最大存続期間(秒)を入力します。デフォルトは 300 秒(5 分)です。

TCP フロー タイムアウト

転送制御プロトコル( TCP)フローの変換の最大存続期間(秒)を入力します。デフォルトは 86,400 秒(24 時間)です。

リセット ボタン

このボタンをクリックすると、変換とタイムアウトのパラメータがデフォルト値にリセットされます。

ルート マップの編集

ルータ上に VPN と NAT の両方を設定すると、NAT により IP アドレスが変換される場合に、通常なら IPSec ルールの基準が満たされるパケットで、基準が満たされなくなります。その場合は、NAT 変換により、パケットが暗号化されずに送信されることになります。Cisco CP では、ルート マップを作成することで、NAT により IP アドレスが変換されることなく元の IP アドレスが保持されるようになります。

Cisco CP でルート マップが作成されるのは NAT の動作を制限するためですが、ルート マップはそれ以外の目的にも使用できます。CLI を使用して作成したルート マップは、このウィンドウでも確認できます。

名前

このルート マップの名前です。

ルート マップ エントリ

このボックスには、ルート マップ エントリが表示されます。

名前

ルート マップ エントリの名前。

シーケンス番号

ルート マップのシーケンス番号。

アクション

Cisco CP によって作成されたルート マップには、「permit」キーワードが設定されます。このフィールドに deny が設定されている場合、そのルート マップは CLI を使用して作成されたものです。

アクセス リスト

このルート マップが適用されるトラフィックを指定するアクセス リスト。

ルート マップ エントリを編集するには

エントリを選択し、[編集]をクリックして、[ルート マップ エントリの編集]ウィンドウ内のエントリを編集します。

ルート マップ エントリの編集

このウィンドウでは、ルート マップ エントリに指定したアクセス リストを編集します。

名前

ルート マップ エントリの名前が表示される読み取り専用フィールド。

シーケンス番号

ルート マップのシーケンス番号が表示される読み取り専用フィールド。Cisco CP では、ルート マップの作成時に、マップに自動的にシーケンス番号が割り当てられます。

アクション

permit または deny のどちらかを入力します。Cisco CP によって作成されたルート マップには、「permit」キーワードが設定されます。このフィールドに deny が設定されている場合、そのルート マップは CLI を使用して作成されたものです。

アクセス リスト

このエリアには、このエントリに関連付けられたアクセス リストが表示されます。ルート マップでは、これらのアクセス リストを使用して、NAT 変換の対象から除外するトラフィックが決定されます。

ルート マップ エントリ内のアクセス リストを編集するには

アクセス リストを選択して[編集]をクリックします。表示されたウィンドウで、アクセス リストを編集します。

アドレス プール

[アドレス プール]ウィンドウには、ダイナミック NAT 変換に使用される設定済みのアドレス プールが表示されます。

プール名

このフィールドには、アドレス プールの名前が表示されます。ダイナミック NAT ルールを設定する際には、この名前を使用してプールを参照します。

アドレス

このフィールドには、プール内の IP アドレスの範囲が表示されます。[アドレス変換ルールの追加]ウィンドウに指定されたアクセス ルールに一致する IP アドレスを持つデバイスに、このプールからプライベート IP アドレスが与えられます。

実行する操作

 

目的
手順

ルータの設定にアドレス プールを追加する。

[追加]をクリックし、[アドレス プールの追加]ウィンドウでプールを設定する。

既存のプールを新しいプールのテンプレートとして使用するには、既存のプールを選択して、[選択したエントリを追加時に複製する]、[追加]の順にクリックする。

既存のアドレス プールを編集する。

プール エントリを選択し、[編集]をクリックして、[アドレス プールの編集]ウィンドウでプール設定を編集する。

アドレス プールを削除する。

プール エントリを選択し、[削除]をクリックして、[警告]ボックスで削除を確認する。


) 以前に設定した NAT アドレス プールで "type" キーワードが使用されている場合、そのアドレス プールは読み取り専用となるため、編集できません。


アドレス プールの追加/編集

このウィンドウでは、ダイナミック アドレス変換に使用するアドレス プール、ポート アドレス変換(PAT)用のアドレス、TCP 負荷分散ロータリー プールを指定します。

プール名

アドレス プールの名前を入力します。

ポート アドレス変換(PAT)

プール内のほとんどのアドレスが割り当てられ、IP アドレス プールがほぼ空の状態になることがあります。このような状態になった場合は、単一の IP アドレスに PAT を使用することで、さらなる IP アドレスの割り当て要求に応えることができます。アドレス プールがほぼ空の状態になったときに、ルータで PAT が使用されるようにする場合は、このチェック ボックスを選択します。

IP アドレス

IP アドレス範囲内の最も小さいアドレスを左側のフィールドに、最も大きなアドレスを右側のフィールドにそれぞれ入力します。詳細については、「 使用可能なインターフェイス設定」を参照してください。

ネットワーク マスク

サブネット マスクまたはネットワーク ビット数を入力します。これにより、IP アドレスのネットワーク部分のビット数が決まります。

スタティック アドレス変換ルールの追加/編集:内部から外部へ

このヘルプ トピックは、[スタティック アドレス変換ルールの追加/編集]ウィンドウで、[内部から外部へ]を選択した場合に参照してください。

このウィンドウでは、スタティックなアドレス変換ルールを追加または編集します。ルール タイプ(スタティックまたはダイナミック)と方向は編集不可になっています。これらの設定を変更する必要がある場合は、ルールをいったん削除し、必要な設定で再作成してください。

NAT を使用したスタティック アドレス変換には、シンプルなスタティック変換と拡張スタティック変換の 2 つのタイプがあります。


VPN 上のデバイスのアドレスを変換する NAT ルールを作成すると、Cisco CP では、それらのアドレスを NAT によるアドレス変換の対象から除外するルート マップを作成してよいかどうかを確認するメッセージ ボックスが表示されます。VPN 上のデバイスのアドレスを NAT で変換することを許可すると、変換後のアドレスが IPSec ポリシーで使用される IPSec ルールに合致しなくなるため、トラフィックが暗号化されずに送信されることになります。Cisco CP によって作成されたルートマップ、または CLI を使用して作成したルート マップを表示するには、[NAT]ウィンドウの[ルート マップの表示]ボタンをクリックします。


方向

このヘルプ トピックでは、[内部から外部へ]を選択したときの[アドレス変換ルールの追加]フィールドの使用方法について説明します。

内部から外部へ

LAN 上のプライベート アドレスからインターネット上または社内イントラネット上の正式アドレスに変換する場合は、このオプションを選択します。インターネット全体で一意ではないプライベート アドレスを LAN 上で使用する場合にも、このオプションを選択してください。

変換元インターフェイス

このエリアには、アドレス変換を必要とするパケットがルータに到達する際のインターフェイスが表示されます。単一ホストの IP アドレス、または単一ネットワーク上の一連のホストを表すネットワーク アドレスとサブネット マスクの組み合わせを指定するフィールドが用意されています。

内部インターフェイス

方向として[内部から外部へ]を選択した場合、指定された内部インターフェイスがこのエリアに表示されます。


) このエリアにインターフェイス名が 1 つも表示されない場合は、[アドレス変換ルールの追加]ウィンドウを閉じて、[NAT]ウィンドウの[NAT インターフェイスの指定]をクリックし、ルータ インターフェイスを内部または外部として指定します。その後、このウィンドウに戻って、NAT ルールを設定してください。


IP アドレス

次のどちらかを入力します。

単一ホストのアドレスと変換後のアドレス( 内部グローバル アドレス と呼ばれる)との 1 対 1 のスタティックなマッピングを作成するには、そのホストの IP アドレスを入力します。[ネットワーク マスク]フィールドにサブネット マスクを入力することはできません。

サブネット内のプライベート アドレスと対応する内部グローバル アドレスの n n のマッピングを作成する場合は、変換対象アドレスが属するサブネット内の任意の有効なアドレスを入力し、隣のフィールドにネットワーク マスクを入力します。

ネットワーク マスク

1 つのサブネット内のアドレスをすべて変換対象にするには、そのサブネットのマスクを入力します。Cisco CP は、指定された IP アドレスとサブネット マスクから、ネットワークとサブネット番号、および変換を必要とする一連のアドレスを決定します。

変換先インターフェイス

このエリアには、変換後のアドレスを持つパケットをルータから外部に送出するインターフェイスが表示されます。変換後のアドレスとその他の情報を指定するフィールドも用意されています。

外部インターフェイス

方向として[内部から外部へ]を選択した場合、指定された外部インターフェイスがこのエリアに表示されます。

タイプ

[IP アドレス]フィールドで定義されたアドレスに変換する場合は、[IP アドレス]を選択します。

変換元 アドレスにルータのインターフェイスのアドレスを使用する場合は、[インターフェイス]を選択します。 変換元 アドレスが、[インターフェイス]フィールドで指定したインターフェイスに割り当てられている IP アドレスに変換されます。

インターフェイス

このフィールドは、[タイプ]フィールドで[インターフェイス]が選択されている場合に有効になります。このフィールドには、ルータのインターフェイスが表示されます。ローカル内部アドレスの変換先 IP アドレスを持つインターフェイスを選択します。


) [タイプ]フィールドで[インターフェイス]を選択した場合は、TCP/IP ポートをリダイレクトする変換のみがサポートされます。[リダイレクト ポート]チェック ボックスは自動的に選択されます。この選択を解除することはできません。


IP アドレス

このフィールドは、[タイプ]フィールドで[IP アドレス]を選択した場合に有効になります。次のどちらかを入力します。

単一の 内部ローカル アドレスと単一の 内部グローバル アドレスとの 1 対 1 のマッピングを作成する場合は、内部グローバル アドレスをこのフィールドに入力します。

サブネット内の内部ローカル アドレスと対応する内部グローバル アドレスのマッピングを作成する場合は、変換に使用する任意の IP アドレスをこのフィールドに入力します。残りの内部グローバル アドレスは、[変換元インターフェイス]エリアに入力したネットワーク マスクを使用して計算されます。


) [変換元インターフェイス]エリアにネットワーク マスクを入力していない場合は、1 つの IP アドレスだけが変換されます。


リダイレクト ポート

変換結果に内部デバイスのポート情報を含める場合は、このチェック ボックスを選択します。これにより、各デバイスに指定されるポートが異なる限り、複数のデバイスに同じパブリック IP アドレスを使用できます。この「変換先」アドレスのポート マッピングごとに、エントリを作成する必要があります。

TCP ポート番号の場合は[TCP]を、UDP ポート番号の場合は[UDP]をクリックします。

[元のポート]フィールドで、内部デバイスのポート番号を入力します。

[変換後のポート]フィールドで、ルータがこの変換に使用するポート番号を入力します。

設定のシナリオ

このウィンドウの各フィールドの使用方法の例については、「 スタティック アドレス変換のシナリオ」を参照してください。

スタティック アドレス変換ルールの追加/編集:外部から内部へ

このヘルプ トピックは、[スタティック アドレス変換ルールの追加/編集]ウィンドウで、[外部から内部へ]を選択した場合に参照してください。

このウィンドウでは、スタティックなアドレス変換ルールを追加または編集します。ルール タイプ(スタティックまたはダイナミック)と方向は編集不可になっています。これらの設定を変更する必要がある場合は、ルールをいったん削除し、必要な設定で再作成してください。

NAT を使用したスタティック アドレス変換には、シンプルなスタティック変換と拡張スタティック変換の 2 つのタイプがあります。


VPN 上のデバイスのアドレスを変換する NAT ルールを作成すると、Cisco CP では、それらのアドレスを NAT によるアドレス変換の対象から除外するルート マップを作成してよいかどうかを確認するメッセージ ボックスが表示されます。VPN 上のデバイスのアドレスを NAT で変換することを許可すると、変換後のアドレスが IPSec ポリシーで使用される IPSec ルールに合致しなくなるため、トラフィックが暗号化されずに送信されることになります。Cisco CP によって作成されたルートマップ、または CLI を使用して作成したルート マップを表示するには、[NAT]ウィンドウの[ルート マップの表示]ボタンをクリックします。


方向

このルールのトラフィックの方向を選択します。

外部から内部へ

インバウンド アドレスを LAN 上で有効なアドレスに変換する場合は、このオプションを選択します。たとえば、複数のネットワークを併合するとき、インバウンド アドレスのセットとルータに接続された LAN 上の既存アドレスのセットの互換を保つ必要がある場合に使用します。

このヘルプ トピックでは、[外部から内部へ]を選択したときの各フィールドの使用方法について説明します。

変換元インターフェイス

このエリアには、アドレス変換を必要とするパケットがルータに到達する際のインターフェイスが表示されます。単一ホストの IP アドレス、または単一ネットワーク上の一連のホストを表すネットワーク アドレスとサブネット マスクの組み合わせを指定するフィールドが用意されています。

外部インターフェイス

方向として[外部から内部へ]を選択した場合、指定された外部インターフェイスがこのエリアに表示されます。


) このエリアにインターフェイス名が 1 つも表示されない場合は、[アドレス変換ルールの追加]ウィンドウを閉じて、[NAT]ウィンドウの[NAT インターフェイスの指定]をクリックし、ルータ インターフェイスを内部または外部として指定します。その後、このウィンドウに戻って、NAT ルールを設定してください。


IP アドレス

次のどちらかを入力します。

単一リモート ホストの 外部グローバル アドレスと変換後のアドレス( 外部ローカル アドレス と呼ばれる)との 1 対 1 のスタティックなマッピングを作成する場合は、そのリモート ホストの IP アドレスを入力します。

リモート サブネット内のアドレスと対応する 外部ローカル アドレスの n n のマッピングを作成する場合は、変換対象アドレスが属するサブネット内の任意の有効なアドレスを入力し、隣のフィールドにネットワーク マスクを入力します。

ネットワーク マスク

1 つのリモート サブネット内のアドレスをすべて変換対象にするには、そのサブネットのマスクを入力します。Cisco CP は、指定された IP アドレスとサブネット マスクから、ネットワークとサブネット番号、および変換を必要とする一連のアドレスを決定します。

変換先インターフェイス

このエリアには、変換後のアドレスを持つパケットをルータから外部に送出するインターフェイスが表示されます。変換後のアドレスとその他の情報を指定するフィールドも用意されています。

内部インターフェイス

方向として[外部から内部へ]を選択した場合、指定された内部インターフェイスがこのエリアに表示されます。

IP アドレス

次のどちらかを入力します。

単一の 外部グローバル アドレスと単一の 外部ローカル アドレスとの 1 対 1 のマッピングを作成する場合は、 外部ローカル アドレスをこのフィールドに入力します。

リモート サブネットの 外部グローバル アドレスと対応する 外部ローカル アドレスのマッピングを作成する場合は、変換に使用する任意の IP アドレスをこのフィールドに入力します。残りの 外部ローカル アドレスは、[変換元インターフェイス]エリアに入力したネットワーク マスクを使用して計算されます。


) [変換元インターフェイス]エリアにネットワーク マスクを入力していない場合は、1 つの IP アドレスだけが変換されます。


リダイレクト ポート

変換結果に外部デバイスのポート情報を含める場合は、このチェック ボックスを選択します。これにより、拡張スタティック変換を使用して、複数のデバイスに同じパブリック IP アドレスを使用できます。ただし、各デバイスに指定されるポートが異なることが前提になります。

TCP ポート番号の場合は[TCP]を、UDP ポート番号の場合は[UDP]をクリックします。

[元のポート]フィールドで、外部デバイスのポート番号を入力します。

[変換後のポート]フィールドで、ルータでこの変換に使用されるポート番号を入力します。

設定のシナリオ

このウィンドウの各フィールドの使用方法の例については、「 スタティック アドレス変換のシナリオ」を参照してください。

ダイナミック アドレス変換ルールの追加/編集:内部から外部へ

このヘルプ トピックは、[ダイナミック アドレス変換ルールの追加/編集]ウィンドウで、[内部から外部へ]を選択した場合に参照してください。

このウィンドウでは、アドレス変換ルールを追加または編集します。ルール タイプ(スタティックまたはダイナミック)と方向は編集不可になっています。これらの設定を変更する必要がある場合は、ルールをいったん削除し、必要な設定で再作成してください。

ダイナミック アドレス変換ルールは、宛先ネットワーク全体で一意なアドレスが格納されたプールから、ホストにアドレスをダイナミックにマッピングします。このアドレス プールは、アドレス範囲を指定し、その範囲に一意な名前を付けることで定義されます。設定済みのルータは、このプール内でまだ割り当てられていないアドレス(スタティックな変換またはルータ自体の WAN IP アドレスに使用されていないアドレス)を使用して、インターネットまたはその他の外部ネットワークに接続します。不要になったアドレスはアドレス プールに戻され、他のデバイスへのダイナミックな割り当てに使用できるようになります。


VPN 上のデバイスのアドレスを変換する NAT ルールを作成すると、Cisco CP では、それらのアドレスを NAT によるアドレス変換の対象から除外するルート マップを作成してよいかどうかを確認するメッセージ ボックスが表示されます。VPN 上のデバイスのアドレスを NAT で変換することを許可すると、変換後のアドレスが IPSec ポリシーで使用される IPSec ルールに合致しなくなるため、トラフィックが暗号化されずに送信されることになります。


方向

このルールのトラフィックの方向を選択します。

内部から外部へ

LAN 上のプライベート アドレスからインターネット上または社内イントラネット上の正式な(ネットワーク全体で一意な)アドレスに変換する場合は、このオプションを選択します。

このヘルプ トピックでは、[内部から外部へ]を選択したときの各フィールドの使用方法について説明します。

変換元インターフェイス

このエリアには、アドレス変換を必要とするパケットがルータに到達する際のインターフェイスが表示されます。単一ホストの IP アドレス、または単一ネットワーク上の一連のホストを表すネットワーク アドレスとサブネット マスクの組み合わせを指定するフィールドが用意されています。

内部インターフェイス

方向として[内部から外部へ]を選択した場合、指定された内部インターフェイスがこのエリアに表示されます。


) このエリアにインターフェイス名が 1 つも表示されない場合は、[アドレス変換ルールの追加]ウィンドウを閉じて、[NAT]ウィンドウの[NAT インターフェイスの指定]をクリックし、ルータ インターフェイスを内部または外部として指定します。その後、このウィンドウに戻って、NAT ルールを設定してください。


アクセス ルール

ダイナミック NAT 変換ルールでは、アクセス ルールを使用して、変換を必要とするアドレスを指定します。[内部から外部へ]を選択すると、 内部ローカル アドレスが変換を必要とするアドレスになります。変換するアドレスを定義するアクセス ルールの名前または番号を入力してください。アクセス ルールの名前または番号が分からない場合は、[...]ボタンをクリックして既存のアクセス ルールを選択するか、新しいアクセス ルールを作成して選択します。

変換先インターフェイス

このエリアには、変換後のアドレスを持つパケットをルータから外部に送出するインターフェイスが表示されます。変換後のアドレスを指定するためのフィールドも用意されています。

外部インターフェイス

方向として[内部から外部へ]を選択した場合、指定された外部インターフェイスがこのエリアに表示されます。

タイプ

変換元 アドレスにルータのインターフェイスのアドレスを使用する場合は、[インターフェイス]を選択します。変換元アドレスは、[インターフェイス]フィールドに指定したアドレスに変換され、同一ネットワーク上の各ホストを識別するために PAT が使用されます。設定済みのアドレス プール内に定義されたアドレスに変換する場合は、[アドレス プール]を選択します。

インターフェイス

[タイプ]フィールドで[インターフェイス]を選択した場合は、このフィールドに、ルータ上のインターフェイスが表示されます。ローカル内部アドレスの変換先 IP アドレスを持つインターフェイスを選択します。ネットワーク上の各ホストは、PAT を使用して識別されます。

アドレス プール

[タイプ]フィールドで[アドレス プール]を選択した場合は、設定済みアドレス プールの名前をこのフィールドに入力するか、[アドレス プール]をクリックしてアドレス プールを選択または作成します。

設定のシナリオ

このウィンドウの各フィールドの使用方法の例については、「 ダイナミック アドレス変換のシナリオ」を参照してください。

ダイナミック アドレス変換ルールの追加/編集:外部から内部へ

このヘルプ トピックは、[ダイナミック アドレス変換ルールの追加/編集]ウィンドウで、[外部から内部へ]を選択した場合に参照してください。

このウィンドウでは、アドレス変換ルールを追加または編集します。ルール タイプ(スタティックまたはダイナミック)と方向は編集不可になっています。これらの設定を変更する必要がある場合は、ルールをいったん削除し、必要な設定で再作成してください。

ダイナミック アドレス変換ルールは、宛先ネットワーク全体で一意なアドレスが格納されたプールから、ホストにアドレスをダイナミックにマッピングします。このアドレス プールは、アドレス範囲を指定し、その範囲に一意な名前を付けることで定義されます。設定済みのルータは、このプール内でまだ割り当てられていないアドレス(スタティックな変換またはルータ自体の WAN IP アドレスに使用されていないアドレス)を使用して、インターネットまたはその他の外部ネットワークに接続します。不要になったアドレスはアドレス プールに戻され、他のデバイスへのダイナミックな割り当てに使用できるようになります。


VPN 上のデバイスのアドレスを変換する NAT ルールを作成すると、Cisco CP では、それらのアドレスを NAT によるアドレス変換の対象から除外するルート マップを作成してよいかどうかを確認するメッセージ ボックスが表示されます。VPN 上のデバイスのアドレスを NAT で変換することを許可すると、変換後のアドレスが IPSec ポリシーで使用される IPSec ルールに合致しなくなるため、トラフィックが暗号化されずに送信されることになります。


方向

このルールのトラフィックの方向を選択します。

外部から内部へ

インバウンド アドレスを LAN 上で有効なアドレスに変換する場合は、このオプションを選択します。たとえば、複数のネットワークを併合するとき、インバウンド アドレスのセットとルータに接続された LAN 上の既存アドレスのセットの互換を保つ必要がある場合に使用します。

このヘルプ トピックでは、[外部から内部へ]を選択したときの各フィールドの使用方法について説明します。

変換元インターフェイス

このエリアには、アドレス変換を必要とするパケットがルータに到達する際のインターフェイスが表示されます。単一ホストの IP アドレス、または単一ネットワーク上の一連のホストを表すネットワーク アドレスとサブネット マスクの組み合わせを指定するフィールドが用意されています。

外部インターフェイス

方向として[外部から内部へ]を選択した場合、指定された外部インターフェイスがこのエリアに表示されます。


) このエリアにインターフェイス名が 1 つも表示されない場合は、[アドレス変換ルールの追加]ウィンドウを閉じて、[NAT]ウィンドウの[NAT インターフェイスの指定]をクリックし、ルータ インターフェイスを内部または外部として指定します。その後、このウィンドウに戻って、NAT ルールを設定してください。


アクセス ルール

ダイナミック NAT 変換ルールでは、アクセス ルールを使用して、変換を必要とするアドレスを指定します。[外部から内部へ]を選択すると、 外部グローバル アドレスが変換を必要とするアドレスになります。変換するアドレスを定義するアクセス ルールの名前または番号を入力してください。アクセス ルールの名前または番号が分からない場合は、[...]ボタンをクリックして既存のアクセス ルールを選択するか、新しいアクセス ルールを作成して選択します。

変換先インターフェイス

このエリアには、変換後のアドレスを持つパケットをルータから外部に送出するインターフェイスが表示されます。変換後のアドレスを指定するためのフィールドも用意されています。

内部インターフェイス

方向として[外部から内部へ]を選択した場合、指定された内部インターフェイスがこのエリアに表示されます。

タイプ

変換元 アドレスにルータのインターフェイスのアドレスを使用する場合は、[インターフェイス]を選択します。変換元アドレスは、[インターフェイス]フィールドに指定したアドレスに変換され、同一ネットワーク上の各ホストを識別するために PAT が使用されます。設定済みのアドレス プール内に定義されたアドレスに変換する場合は、[アドレス プール]を選択します。

インターフェイス

[タイプ]フィールドで[インターフェイス]を選択した場合は、このフィールドに、ルータ上のインターフェイスが表示されます。ローカル内部アドレスの変換先 IP アドレスを持つインターフェイスを選択します。ネットワーク上の各ホストは、PAT を使用して識別されます。

アドレス プール

[タイプ]フィールドで[アドレス プール]を選択した場合は、設定済みアドレス プールの名前をこのフィールドに入力するか、[アドレス プール]をクリックしてアドレス プールを選択または作成します。

設定のシナリオ

このウィンドウの各フィールドの使用方法の例については、「 ダイナミック アドレス変換のシナリオ」を参照してください。

その他の手順

ここでは、ウィザードで設定できないタスクの手順を示します。

外部から内部へのアドレス変換を設定する方法

NAT ウィザードでは、ネットワーク アドレス変換(NAT)ルールを設定して、アドレスを内部から外部に変換します。NAT ルールを設定して、アドレスを外部から内部に変換するには、次のセクションのいずれかの指示に従ってください。

ダイナミック アドレス変換ルールの追加/編集:内部から外部へ

スタティック アドレス変換ルールの追加/編集:内部から外部へ

1 つの LAN と複数の WAN を持つ NAT を設定する方法

NAT ウィザードでは、ルータの 1 つの LAN インターフェイスと 1 つの WAN インターフェイス間のネットワーク アドレス変換(NAT)ルールを設定できます。ルータの 1 つの LAN インターフェイスと複数の WAN インターフェイス間の NAT ルールを設定する場合は、最初に NAT ウィザードを使用して、ルータの LAN インターフェイスと 1 つの WAN インターフェイス間のアドレス変換ルールを設定します。続いて、次のセクションのいずれかの指示に従います。

スタティック アドレス変換ルールの追加/編集:内部から外部へ

ダイナミック アドレス変換ルールの追加/編集:内部から外部へ

次のセクションのいずれかの指示に従って、新しいアドレス変換ルールを追加するたびに、同じ LAN インターフェイスと新しい WAN インターフェイスを選択します。アドレス変換ルールを使用して設定するすべての WAN に対して、この手順を繰り返します。