IP アドレッシング:NAT コンフィギュレーション ガイド、Cisco IOS XE Release 3S(ASR 1000)
IP アドレス節約のための NAT 設定
IP アドレス節約のための NAT 設定
発行日;2013/07/22   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

IP アドレス節約のための NAT 設定

このモジュールでは、IP アドレス節約のためにネットワーク アドレス変換(NAT)を設定し、内部および外部送信元アドレスを設定する方法について説明します。 このモジュールでは、IP アドレス節約のために NAT を設定することの利点についても説明します。

NAT では、未登録の IP アドレスを使用するプライベート IP インターネットワークがインターネットに接続できます。 NAT はルータ(通常、2 つのネットワークを接続するもの)で動作し、パケットを別のネットワークに転送する前に、社内ネットワークの(グローバルに一意のアドレスではなく)プライベート アドレスを正規のアドレスに変換します。 NAT は、ネットワーク全体の 1 つだけのアドレスを外部にアドバタイズするように設定できます。 この機能により、そのアドレスの後ろに内部ネットワーク全体を効果的に隠すことで、セキュリティが強化されます。

NAT は、エンタープライズ エッジでも使用され、内部ユーザのインターネットへのアクセスを許可し、メール サーバなど内部デバイスへのインターネット アクセスを許可します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

IP アドレス節約のための NAT 設定に関する前提条件

アクセス リスト

このモジュールの設定作業で使用する必要のあるアクセス リストはすべて、設定作業を開始する前に設定しておく必要があります。 アクセス リストの設定方法の詳細については、『IP Access List Sequence Numbering』マニュアルを参照してください。


(注)  


NAT コマンドで使用するアクセス リストが指定されている場合、NAT は一般的によく使用される permit ip any any コマンドを、アクセス リストでサポートしません。


NAT 要件

ネットワークで NAT を設定する前に、NAT が設定されるインターフェイスおよびその目的を把握しておく必要があります。 次の要件を使用して、NAT の設定方法と使用方法を決定します。

  • 次の場合に、NAT の内部および外部インターフェイスを定義します。
    • ユーザが属するインターフェイスが複数ある場合。
    • 複数のインターフェイスがインターネットに接続する場合。
  • NAT により実行される必要がある操作を定義します。
    • 内部ユーザのインターネットへのアクセスを許可します。
    • インターネットがメール サーバなどの内部デバイスにアクセスすることを許可します。
    • オーバーラップするネットワークに通信を許可します。
    • 異なるアドレス方式を使用しているネットワークに通信を許可します。
    • アプリケーション レベル ゲートウェイの使用を許可します。
    • TCP トラフィックを別の TCP ポートまたはアドレスにリダイレクトします。
    • ネットワーク移行時に NAT を使用します。

IP アドレス節約のための NAT 設定に関する制約事項

  • インターフェイスでネットワーク アドレス変換(NAT)を設定すると、そのインターフェイスは、NAT のパケット フローに対して最適化されます。 NAT インターフェイスを通過する未変換パケットはすべて、そのパケットを変換する必要があるかどうかを決定する一連のチェックを受けます。 これらのチェックにより未変換パケット フローの遅延が増大するため、NAT インターフェイスを通過するすべてのパケットのパケット処理遅延に悪影響が生じます。 NAT インターフェイスは、NAT 専用トラフィックにのみ使用することを強く推奨します。 非 NAT パケットは分離する必要があり、これらのパケットは NAT が設定されていないインターフェイスを通過する必要があります。 非 NAT トラフィックの分離には、ポリシー ベース ルーティング(PBR)を使用できます。
  • NAT 仮想インターフェイス(NVI)は、Cisco IOS XE ソフトウェアではサポートされていません。
  • スタブ ドメインにある多数のホストが、そのドメイン外との通信を行う場合、NAT は実用的ではありません。
  • アプリケーションの中には、NAT デバイスにより変換できないような方法で、埋め込み IP アドレスを使用しているものがあります。 このようなアプリケーションは、NAT デバイスを使用しても透過的に、またはまったく機能しません。
  • デフォルトでは、Session Initiation Protocol(SIP)のサポートはポート 5060 でイネーブルになっています。 したがって、NAT 対応デバイスはこのポートのパケットをすべて、SIP コール メッセージと解釈します。 同じシステムにある別のアプリケーションがポート 5060 を使用してパケットを送信している場合、NAT サービスはこのパケットを SIP コール メッセージとして解釈しようとするため、このパケットが破損する可能性があります。
  • NAT はホストの素性を隠しますが、これは目的によっては、長所でもありますし、短所でもあります。
  • NAT が設定されているデバイスは、ローカル ネットワークを外部にアドバタイズしない必要があります。 しかし、NAT が外部から受け取るルーティング情報は、通常どおり、スタブ ドメインにアドバタイズできます。
  • NAT コマンドで使用するアクセス リストが指定されている場合、NAT は一般的によく使用される permit ip any any コマンドを、このアクセス リストではサポートしません。
  • ポート範囲が指定されたアクセス リストは、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータではサポートされません。
  • NAT の設定は Intelligent Services Gateway(ISG)のアクセス側ではサポートされません。
  • デバイスの物理インターフェイス アドレスを、アドレス プールとして使用することはサポートされません。 NAT で、デバイスの物理インターフェイス アドレスを共有するには、NAT インターフェイスのオーバーロード設定を使用する必要があります。 デバイスでは物理インターフェイス ポートを使用し、NAT では変換のために安全に使用できるポートに関する通信を受け取る必要があります。 この通信は、NAT インターフェイスのオーバーロードが設定されている場合にのみ行われます。
  • ユーザが設定したすべての IP アドレス プールおよび NAT マッピングに関する情報が、show ip nat statistics コマンドの出力に表示されます。 NAT 設定に多数の IP アドレス プールおよび NAT マッピング(たとえば、1000 ~ 4000)がある場合、show ip nat statistics でのプールおよびマッピング統計の更新速度が非常に遅くなります。

IP アドレス節約のための NAT 設定について

IP アドレス節約のために NAT を設定する利点

組織が NAT を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。 Network Information Center(NIC)登録 IP アドレスをまだ持っていないサイトはこのアドレスを取得する必要があります。また、255 以上のクライアントが存在する、または計画されている場合、Class B アドレスの不足が深刻な問題になります。 Cisco IOS XE NAT はこのような問題に対応するために、隠された数千の内部アドレスを、取得の容易な Class C アドレスの範囲にマップします。

内部ネットワークのクライアントのために IP アドレスをすでに登録しているサイトでも、ハッカーがクライアントを直接攻撃できないように、これらのアドレスをインターネットからは確認できないようにすることができます。 クライアント アドレスを隠すことにより、セキュリティがさらに強化されます。 Cisco IOS XE NAT では、LAN 管理者は、インターネット割り当て番号局の予備プールを利用した Class A アドレスを自由に拡張することができます(RFC 1597)。 この拡張は組織内で行われます。LAN/インターネット インターフェイスでのアドレス変更を気にする必要はありません。

Cisco IOS XE ソフトウェアは、選択的またはダイナミックに NAT を実行できます。 この柔軟性のおかげで、ネットワーク管理者は、RFC 1597 および RFC 1918 アドレスまたは登録済みアドレスを混在させて使用できます。 NAT は、IP アドレスの簡略化や節約のためにさまざまなルータ上で使用できるように設計されています。 また、Cisco IOS XE NAT では、NAT に使用できる内部ホストを選択することもできます。

NAT には、NAT が設定されるルータを除き、ホストやルータを変更しなくても設定できるという大きな利点があります。

インターネットは、IP アドレス空間の枯渇とルーティングの拡大という 2 つの大きな問題に直面しています。 NAT は、組織の IP ネットワークを外部から見たときに、実際に使用されているものとは異なる IP アドレス空間が使用されているように見せる機能です。 したがって、NAT を使用すると、グローバルなルーティングが不可能なアドレスを持つ組織は、そのアドレスをグローバルにルーティング可能なアドレス空間に変換して、インターネットに接続できるようになります。 また、サービス プロバイダーの変更や、クラスレス ドメイン間ルーティング(CIDR)ブロックへの自発的な再番号割り当てを行う組織は、NAT を使用して、適切に番号を割り当て直せるようになります。 NAT は RFC 1631 に記述されています。

NAT の機能

NAT が設定されたルータには、少なくとも内部ネットワークに対して 1 つ、外部ネットワークに対して 1 つのインターフェイスがあります。 標準的な環境では、NAT はスタブ ドメインとバックボーンの間の出口ルータに設定されます。 パケットがドメインから出て行くとき、NAT はローカルで意味のある送信元アドレスをグローバルで一意のアドレスに変換します。 パケットがドメインに入ってくるときは、NAT はグローバルで一意の宛先アドレスをローカル アドレスに変換します。 出力点が複数存在する場合、個々の NAT は同一の変換テーブルを持っていなければなりません。 アドレスが足りなくなって、パケットにアドレスを割り当てられなくなった場合、NAT はそのパケットをドロップし、インターネット制御メッセージ プロトコル(ICMP)ホスト到達不能パケットを宛先に送信します。

NAT の用途

NAT は次のような場合に使用できます。

  • インターネットに接続する必要はあるが、ホストのすべてがグローバルに一意の IP アドレスを持っているわけではない場合。 NAT では、未登録の IP アドレスを使用するプライベート IP インターネットワークがインターネットに接続できます。 NAT はスタブ ドメイン(内部ネットワーク)と、インターネットなどのパブリック ネットワーク(外部ネットワーク)との境界にあるルータ上に設定されます。 NAT はパケットを外部ネットワークに送信する前に、内部のローカル アドレスをグローバルに一意の IP アドレスに変換します。 接続性の問題への解決策として NAT が役立つのは、スタブ ドメイン内の比較的少数のホストが同時にドメインの外部と通信する場合のみです。 この場合、外部との通信が必要なときに、このドメインにある IP アドレスのごく一部をグローバルに一意な IP アドレスに変換する必要があります。また、これらのアドレスは使用されなくなったときに、再利用することもできます。
  • 内部アドレスを変更する必要がある場合。 内部アドレスの変更には相当の工数がかかるため、変更する代わりに NAT を使用して変換することができます。
  • TCP トラフィックの基本負荷を分散する必要がある場合。 TCP 負荷分散機能を使用して、1 つのグローバル IP アドレスを複数のローカル IP アドレスにマップできます。

NAT の内部アドレスおよび外部アドレス

NAT のコンテキスト内で使用される内部という用語は、変換する必要がある、組織が所有するネットワークを表します。 NAT が設定されている場合、このネットワーク内のホストは 1 つの空間に複数のアドレスを持ちます(ローカル アドレス空間と呼ばれます)。これらは、ネットワーク外のホストに対して別の空間に存在するものとして示されます(グローバル アドレス空間と呼ばれます)。

同様に、外部という用語はスタブ ネットワークの接続先で、通常、その組織の制御下にはないネットワークを表します。 外部ネットワーク内のホストを変換の対象にすることもできるため、これらのホストもローカル アドレスとグローバル アドレスを持つことができます。

NAT では、次の定義が使用されます。

  • 内部ローカル アドレス:内部ネットワーク上のホストに割り当てられた IP アドレス。 このアドレスは、多くの場合、NIC やサービス プロバイダーにより割り当てられた正規の IP アドレスではありません。
  • 内部グローバル アドレス:外部に向けて、1 つ以上の内部ローカル IP アドレスを表現した正規の IP アドレス(NIC またはサービス プロバイダーにより割り当てられたもの)。
  • 外部ローカル アドレス:内部ネットワークから見た外部ホストの IP アドレス。 必ずしも正規のアドレスではありません。内部でルート可能なアドレス空間から割り当てられたものです。
  • 外部グローバル アドレス:外部ネットワークに存在するホストに対して、ホストの所有者により割り当てられた IP アドレス。 このアドレスは、グローバルにルート可能なアドレス、またはネットワーク空間から割り当てられます。

ここでは、次の内容について説明します。

内部送信元アドレス変換

自分が属するネットワークの外部と通信するときに、自分の IP アドレスをグローバルに一意な IP アドレスに変換することができます。 スタティックまたはダイナミック内部送信元変換は、次のようにして設定できます。

  • スタティック変換は、内部ローカル アドレスと内部グローバル アドレスの間に 1 対 1 のマッピングを設定します。 外部から固定アドレスを使って内部のホストにアクセスする必要がある場合には、スタティック変換が便利です。
  • ダイナミック変換は、内部ローカル アドレスとグローバル アドレスのプールの間にマッピングを設定します。

Cisco IOS Release 15.1(3)T 以降のリリースでは、traceroute コマンドを設定すると、NAT により、すべての内部ローカル IP アドレスに対して同じ内部グローバル IP アドレスが返されます。

以下の図は、ネットワーク内部の送信元アドレスを、ネットワーク外部の送信元アドレスに変換するルータを表したものです。

図 1. NAT 内部送信元変換

次のプロセスでは、上の図に示した、内部送信元アドレス変換を説明しています。

  1. ホスト 10.1.1.1 のユーザは外部ネットワークのホスト B への接続を開きます。
  2. ルータでは、ホスト 10.1.1.1 から受信する最初のパケットによって、NAT テーブルをチェックします。NAT の設定に応じて、次のシナリオが考えられます。
    • スタティック変換エントリが設定されていた場合、ルータはステップ 3 に進みます。
    • 変換エントリが存在しない場合、ルータは送信元アドレス(SA)の 10.1.1.1 のダイナミック変換が必要であると判断し、ダイナミック アドレス プールから正規のグローバル アドレスを選択し、NAT テーブルに変換エントリを作成します。 このタイプの変換エントリは、単純エントリと呼ばれます。
  3. ルータはホスト 10.1.1.1 の内部ローカル送信元アドレスを、この変換エントリのグローバル アドレスで置き換え、パケットを転送します。
  4. ホスト B では、このパケットを受信し、内部グローバル IP 宛先アドレス(DA)の 203.0.113.2 を使用してホスト 10.1.1.1 に応答します。
  5. 内部グローバル IP アドレスを持つパケットを受信したルータは、内部グローバル アドレスをキーに使用して、NAT テーブル検索を行います。 その後、このアドレスをホスト 10.1.1.1 の内部ローカル アドレスに変換し、パケットをホスト 10.1.1.1 に転送します。

ホスト 10.1.1.1 はパケットを受信し、会話を続けます。 ルータは、受信パケットごとに、ステップ 2 ~ 5 を実行します。

内部グローバル アドレスのオーバーロード

ルータで多数のローカル アドレスに対して 1 つのグローバル アドレスを使用できるようにすることで、内部グローバル アドレス プールのアドレスを節約できます。このタイプの NAT 設定をオーバーロードと呼びます。 オーバーロードを設定すると、ルータではグローバル アドレスを適切なローカル アドレスに逆変換するために十分な、高レベル プロトコルからの情報(TCP ポート番号や UDP ポート番号など)が保持されます。 複数のローカル アドレスが 1 つのグローバル アドレスにマッピングされる場合、各内部ホストの TCP または UDP ポート番号によりローカル アドレスが区別されます。

以下の図は、内部グローバル アドレスが複数の内部ローカル アドレスを表す場合の NAT 操作を示します。 区別は、TCP ポート番号により行われます。

図 2. 内部グローバル アドレスをオーバーロードする NAT

上記の図に示すとおり、ルータは内部グローバル アドレスのオーバーロードにおいて次のプロセスを実行します。 ホスト B およびホスト C はいずれも、アドレス 203.0.113.2 にある 1 つのホストと通信していると信じています。 しかし、実際には、異なるホストと通信しています。区別にはポート番号が使用されます。 つまり、多数の内部ホストは、複数のポート番号を使用して、内部グローバル IP アドレスを共有することができます。

  1. ホスト 10.1.1.1 のユーザはホスト B との接続を開きます。
  2. ルータでは、ホスト 10.1.1.1 から受信する最初のパケットによって NAT テーブルをチェックします。NAT 設定に応じて、次のシナリオが考えられます。
    • 変換エントリが存在しない場合、ルータはアドレス 10.1.1.1 の変換が必要であると判断し、内部ローカル アドレス 10.1.1.1 から正式なグローバル アドレスへの変換をセットアップします。
    • オーバーロードがイネーブルで、別の変換がアクティブな場合、ルータではその変換のグローバル アドレスを再利用し、グローバル アドレスを逆変換するために使用できる十分な情報を NAT テーブルのエントリとして保存します。 このタイプの変換エントリは、拡張エントリと呼ばれます。
  3. ルータは内部ローカル送信元アドレス 10.1.1.1 を、選択されたグローバル アドレスで置き換え、パケットを転送します。
  4. ホスト B はこのパケットを受信し、内部グローバル IP アドレス 203.0.113.2 を使用して、ホスト 10.1.1.1 に応答します。
  5. ルータは、この内部グローバル IP アドレスを持つパケットを受信すると、このプロトコル、内部グローバル アドレスとポート、および外部アドレスとポートをキーとして使用して NAT テーブル検索を実行します。その後、このアドレスを内部ローカル アドレス 10.1.1.1 に変換し、パケットをホスト 10.1.1.1 に転送します。

ホスト 10.1.1.1 はパケットを受信し、会話を続けます。 ルータは、受信パケットごとに、ステップ 2 ~ 5 を実行します。

NAT のタイプ

NAT はルータ(通常、2 つのネットワークを接続するもの)で動作し、パケットが別のネットワークに転送される前に、内部ネットワークのプライベート(内部ローカル)アドレスをパブリック(内部グローバル)アドレスに変換します。 この機能により、ネットワーク全体を表す 1 つのアドレスのみを外部にアドバタイズするように NAT を設定できるようになります。 これにより、内部ネットワークを外部から効果的に隠すことができるため、セキュリティがさらに強化されます。

NAT のタイプは次のとおりです。

  • スタティック アドレス変換(スタティック NAT):ローカル アドレスとグローバル アドレスを 1 対 1 でマッピングできます。
  • ダイナミック アドレス変換(ダイナミック NAT):未登録の IP アドレスを、登録済み IP アドレスのプールから取得した登録済み IP アドレスにマッピングします。
  • オーバーロード:複数の未登録 IP アドレスを、複数の異なるポートを使用して、1 つの登録済み IP アドレスにマッピングします(多対 1)。 この方法は、ポート アドレス変換(PAT)とも呼ばれます。 オーバーロードを使用することにより、使用できる正規のグローバル IP アドレスが 1 つのみでも、数千のユーザをインターネットに接続することができます。

NAT における TCP 負荷分散

組織の中には、使用頻度の高いホストとの通信を必要とするホストが複数存在することがあります。 NAT を使用して、複数の実ホストの間でのロード シェアリングを調整する仮想ホストを内部ネットワークに設定することができます。 アクセス リストと一致する DA はロータリー プールからのアドレスで置き換えられます。 割り当ては外部から内部への新しい接続が開かれた場合のみ、ラウンドロビン ベースで行われます。 TCP ではないトラフィックは、(その他の変換が有効化されていない限り)変換されずに通されます。 以下の図に、この機能を示します。

図 3. NAT TCP 負荷分散

ルータは、ロータリー アドレスを変換するときに次のプロセスを実行します。

  1. ホスト B(192.0.2.223)のユーザが、10.1.1.127 にある仮想ホストへの接続を開きます。
  2. ルータは接続要求を受信し、新しい変換を作成して、内部ローカル IP アドレスに、その次の実ホスト(10.1.1.1)を割り当てます。
  3. ルータは宛先アドレスを、選択された実ホストのアドレスで置き換え、パケットを転送します。
  4. ホスト 10.1.1.1 はこのパケットを受信し、応答します。
  5. ルータはこのパケットを受信し、内部ローカル アドレスとポート番号、および外部アドレスとポート番号をキーに使用して、NAT テーブルを検索します。 次に、ルータは送信元アドレスを仮想ホストのアドレスに変換し、パケットを転送します。
  6. 次回、接続が要求されると、ルータは内部ローカル アドレスに 10.1.1.2 を割り当てます。

スタティック IP アドレスのサポート

パブリック ワイヤレス LAN は、モバイル コンピューティング デバイスのユーザに、インターネットなどのパブリック ネットワークへのワイヤレス接続を提供します。

NAT スタティック IP アドレス サポート機能は、スタティック IP アドレスを使用して設定されているユーザをサポートするために、パブリック ワイヤレス LAN プロバイダーの機能を拡張するものです。 スタティック IP アドレスを持つユーザをサポートするようにルータを設定すると、パブリック ワイヤレス LAN プロバイダーのサービスが多数の潜在的ユーザに広がるため、ユーザ満足度が高まり、収益の増加につながります。

スタティック IP アドレスを持つユーザは IP アドレスを変更しなくても、パブリック ワイヤレス LAN プロバイダーのサービスを使用できます。 スタティック IP クライアント用の NAT エントリが作成され、ルーティング可能なアドレスが提供されます。

RADIUS

RADIUS は、不正なアクセスからネットワークのセキュリティを保護する分散クライアント/サーバ システムです。 ネットワーク アクセス サーバ(NAS)と RADIUS サーバとの通信は、UDP に基づいて行われます。 一般に、RADIUS プロトコルはコネクションレス型サービスと見なされます。 サーバのアベイラビリティ、再送信、タイムアウトに関する問題は、伝送プロトコルではなく、RADIUS 対応デバイスにより処理されます。

RADIUS はクライアント/サーバ プロトコルです。 通常、RADIUS クライアントは NAS で、RADIUS サーバは UNIX または Windows NT マシンで実行されているデーモン プロセスです。 クライアントは指定された RADIUS サーバにユーザ情報を渡し、返された応答に応じた動作をします。 RADIUS サーバは、ユーザ接続要求を受信し、ユーザを認証してから、このユーザへのサービス提供にクライアントが必要とする設定情報を返します。 RADIUS サーバは、他の RADIUS サーバや、他の種類の認証サーバに対するプロキシ クライアントとして動作します。

サービス拒絶攻撃

サービス拒絶(DoS)攻撃では、通常、ルータや Web サーバなどのターゲットを過負荷にし、機能しないようにする目的で標準プロトコルや接続プロセスが乱用されます。 DoS 攻撃は、悪意のあるユーザや、ウイルスまたはワームに感染したコンピュータから仕掛けられます。 多数のコンピュータがウイルスやワームに感染した場合などに起こる、一度に多数の場所からの攻撃は分散型 DoS 攻撃と呼ばれます。 このような分散型 DoS 攻撃は急速に広がり、数千に及ぶシステムを巻き込みます。

NAT を標的にするウイルスおよびワーム

ウイルスやワームはコンピュータやネットワーク機器を攻撃するために設計された悪意のあるプログラムです。 ウイルスは通常、個々のアプリケーションに埋め込まれていて、実行されたときにのみ動作しますが、ワームは自己増殖し、自力ですばやく伝染していくことができます。 特定のウイルスやワームが明示的に NAT をターゲットにできない可能性がありますが、NAT リソースを使用して、自身を増殖させる可能性はあります。 NAT 変換のレート制限機能は、特定のホストやアクセス コントロール リスト、VPN ルーティングおよび転送(VRF)インスタンスを発生源とするウイルスやワームの影響を制限するために使用できます。

IP アドレス節約のために NAT を設定する方法

このセクションで説明する作業では、IP アドレス節約のために NAT を設定します。 このセクションに必須の作業は含まれていませんが、これらの作業のうち、少なくとも 1 つを実行する必要があります。 複数のタスクの実行が必要となる場合があります。

内部送信元アドレスの設定

スタティックまたはダイナミック変換のために内部送信元アドレスを設定できます。 要件に応じて、次の作業のいずれか 1 つを行います。

内部送信元アドレスのスタティック変換の設定

内部ローカル アドレスと内部グローバル アドレスとの間で 1 対 1 マッピングを可能にするには、内部送信元アドレスのスタティック変換を設定します。 外部から固定アドレスを使って内部のホストにアクセスする必要がある場合には、スタティック変換が便利です。

CSCtl04702 の修正を適用していると、スタティック内部送信元アドレスが内部グローバル アドレスに一致した場合に、show ip aliases コマンドの出力に両方のアドレスが表示されます。 スタティック内部送信元アドレスはインターフェイス アドレスとして表示され、内部グローバル アドレスはダイナミック アドレスとして表示されます。 修正の適用前に、スタティック内部送信元アドレスが内部グローバル アドレスに一致した場合、show ip aliases コマンドの出力にはスタティック内部送信元アドレスのみが表示されます。


(注)  


NAT が設定されているインターフェイスおよび ip nat inside source static コマンドを使用して設定されている内部アドレスには、異なる IP アドレスを設定する必要があります。


手順の概要

    1.    enable

    2.    configure terminal

    3.    ip nat inside source static local-ip global-ip

    4.    interface type number

    5.    ip address ip-address mask [secondary]

    6.    ip nat inside

    7.    exit

    8.    interface type number

    9.    ip address ip-address mask [secondary]

    10.    ip nat outside

    11.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 ip nat inside source static local-ip global-ip


    例:
    Device(config)# ip nat inside source static 10.10.10.1 172.16.131.1
     

    内部ローカル アドレスと内部グローバル アドレスとの間のスタティック変換を設定します。

     
    ステップ 4 interface type number


    例:
    Device(config)# interface ethernet 1
     

    インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 5 ip address ip-address mask [secondary]


    例:
    Device(config-if)# ip address 10.114.11.39 255.255.255.0
     

    インターフェイスのプライマリ IP アドレスを設定します。

     
    ステップ 6 ip nat inside


    例:
    Device(config-if)# ip nat inside
     

    内部と接続されることを示すマークをインターフェイスに付けます。

     
    ステップ 7 exit


    例:
    Device(config-if)# exit
     

    インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

     
    ステップ 8 interface type number


    例:
    Device(config)# interface ethernet 0
     

    異なるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 9 ip address ip-address mask [secondary]


    例:
    Device(config-if)# ip address 172.31.232.182 255.255.255.240
     

    インターフェイスのプライマリ IP アドレスを設定します。

     
    ステップ 10 ip nat outside


    例:
    Device(config-if)# ip nat outside
     

    外部と接続されることを示すマークをインターフェイスに付けます。

     
    ステップ 11 end


    例:
    Device(config-if)# end
     

    インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

     

    内部送信元アドレスのダイナミック変換の設定

    ダイナミック変換は、内部ローカル アドレスとグローバル アドレスのプールの間にマッピングを設定します。 プライベート ネットワークに存在する複数のユーザがインターネットへのアクセスを必要としている場合には、ダイナミック変換が便利です。 ダイナミックに設定されたプール IP アドレスは、必要に応じて使用し、インターネットへのアクセスが必要なくなったときにはリリースして別のユーザが使用できるようにすることができます。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}

      4.    access-list access-list-number permit source [source-wildcard]

      5.    ip nat inside source list access-list-number pool name

      6.    interface type number

      7.    ip address ip-address mask

      8.    ip nat inside

      9.    exit

      10.    interface type number

      11.    ip address ip-address mask

      12.    ip nat outside

      13.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}


      例:
      Device(config)# ip nat pool net-208 172.16.233.208 172.16.233.223 prefix-length 28
       

      必要に応じて割り当てられるグローバル アドレスのプールを定義します。

       
      ステップ 4 access-list access-list-number permit source [source-wildcard]


      例:
      Device(config)# access-list 1 permit 192.168.34.0 0.0.0.255
       

      変換されるアドレスを許可する標準アクセス リストを定義します。

       
      ステップ 5 ip nat inside source list access-list-number pool name


      例:
      Device(config)# ip nat inside source list 1 pool net-208
       

      直前の手順で定義されたアクセス リストを指定して、ダイナミック送信元変換を設定します。

       
      ステップ 6 interface type number


      例:
      Device(config)# interface ethernet 1
       

      インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 7 ip address ip-address mask


      例:
      Device(config-if)# ip address 10.114.11.39 255.255.255.0
       

      インターフェイスのプライマリ IP アドレスを設定します。

       
      ステップ 8 ip nat inside


      例:
      Device(config-if)# ip nat inside
       

      内部と接続されることを示すマークをインターフェイスに付けます。

       
      ステップ 9 exit


      例:
      Device(config-if)# exit
       

      インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

       
      ステップ 10 interface type number


      例:
      Device(config)# interface ethernet 0
       

      インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 11 ip address ip-address mask


      例:
      Device(config-if)# ip address 172.16.232.182 255.255.255.240
       

      インターフェイスのプライマリ IP アドレスを設定します。

       
      ステップ 12 ip nat outside


      例:
      Device(config-if)# ip nat outside
       

      外部と接続されることを示すマークをインターフェイスに付けます。

       
      ステップ 13 end


      例:
      Device(config-if)# end
       

      インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

       

      NAT を使用した内部ユーザのインターネットへのアクセスの許可

      グローバル アドレスのオーバーロードを使用して、内部ユーザにインターネットへのアクセスを許可し、内部グローバル アドレス プールのアドレスを節約するには、この作業を実行します。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}

        4.    access-list access-list-number permit source [source-wildcard]

        5.    ip nat inside source list access-list-number pool name overload

        6.    interface type number

        7.    ip address ip-address mask

        8.    ip nat inside

        9.    exit

        10.    interface type number

        11.    ip address ip-address mask

        12.    ip nat outside

        13.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}


        例:
        Device(config)# ip nat pool net-208 192.168.202.129 192.168.202.158 netmask 255.255.255.224
         

        必要に応じて割り当てられるグローバル アドレスのプールを定義します。

         
        ステップ 4 access-list access-list-number permit source [source-wildcard]


        例:
        Device(config)# access-list 1 permit 192.168.201.30 0.0.0.255
         

        変換されるアドレスを許可する標準アクセス リストを定義します。

        • アクセス リストは、変換されるアドレスだけを許可する必要があります (各アクセス リストの最後には暗黙的な「deny all」があるので注意してください)。アクセス リストでアドレスを許可しすぎると、予期しない結果になる可能性があります。
         
        ステップ 5 ip nat inside source list access-list-number pool name overload


        例:
        Device(config)# ip nat inside source list 1 pool net-208 overload
         

        ステップ 4 で定義されたアクセス リストを指定して、オーバーロードを使ったダイナミック送信元変換を設定します。

         
        ステップ 6 interface type number


        例:
        Device(config)# interface ethernet 1
         

        インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 7 ip address ip-address mask


        例:
        Device(config-if)# ip address 192.168.201.1 255.255.255.240
         

        インターフェイスのプライマリ IP アドレスを設定します。

         
        ステップ 8 ip nat inside


        例:
        Device(config-if)# ip nat inside
         

        内部と接続されることを示すマークをインターフェイスに付けます。

         
        ステップ 9 exit


        例:
        Device(config-if)# exit
         

        インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

         
        ステップ 10 interface type number


        例:
        Device(config)# interface ethernet 0
         

        インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

         
        ステップ 11 ip address ip-address mask


        例:
        Device(config-if)# ip address 192.168.201.29 255.255.255.240
         

        インターフェイスのプライマリ IP アドレスを設定します。

         
        ステップ 12 ip nat outside


        例:
        Device(config-if)# ip nat outside
         

        外部と接続されることを示すマークをインターフェイスに付けます。

         
        ステップ 13 end


        例:
        Device(config-if)# end
         

        インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

         

        アドレス変換タイムアウトの設定

        ユーザ独自の NAT の設定に基づいてアドレス変換のタイムアウトを設定できます。

        変換タイムアウトの変更

        デフォルトでは、ダイナミック アドレス変換は一定の期間使用されていないとタイムアウトします。 必要に応じて、タイムアウトのデフォルト値を変更できます。 オーバーロードが設定されていない場合、単純な変換エントリは 24 時間後にタイムアウトします。 オーバーロードを使用しないダイナミック アドレス変換用にタイムアウト値を変更するように ip nat translation timeout seconds コマンドを設定します。

        オーバーロードが設定されている場合のタイムアウトの変更

        オーバーロードを設定した場合、変換エントリのタイムアウトを制御できるようになります。これは個々の変換エントリに、そのエントリを使用するトラフィックに関する詳しいコンテキストが含まれているからです。

        設定に基づいて、この項で説明されているタイムアウトを変更できます。 ダイナミック設定用にグローバル IP アドレスをすばやく解放する必要がある場合は、ip nat translation timeout コマンドを使用して、デフォルトのタイムアウトより短いタイムアウトを設定する必要があります。 ただし、設定するタイムアウトは、次の作業で指定するコマンドを使用して設定された他のタイムアウトよりも長い必要があります。 TCP セッションが、両側またはリセット中の finish(FIN)パケットによって正しく閉じられない場合、ip nat translation tcp-timeout コマンドを使用して、デフォルト TCP タイムアウトを変更する必要があります。

        手順の概要

          1.    enable

          2.    configure terminal

          3.    ip nat translation seconds

          4.    ip nat translation udp-timeout seconds

          5.    ip nat translation dns-timeout seconds

          6.    ip nat translation tcp-timeout seconds

          7.    ip nat translation finrst-timeout seconds

          8.    ip nat translation icmp-timeout seconds

          9.    ip nat translation syn-timeout seconds

          10.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Router> enable
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure terminal


          例:
          Router# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 ip nat translation seconds


          例:
          Router(config)# ip nat translation 300
           
          (任意)NAT 変換がタイムアウトするまでの時間を変更します。
          • デフォルトのタイムアウトは 24 時間で、ハーフエントリのエージング タイムに適用されます。
           
          ステップ 4 ip nat translation udp-timeout seconds


          例:
          Router(config)# ip nat translation udp-timeout 300
           

          (任意)UDP のタイムアウト値を変更します。

           
          ステップ 5 ip nat translation dns-timeout seconds


          例:
          Router(config)# ip nat translation dns-timeout 45 
           

          (任意)ドメイン ネーム システム(DNS)のタイムアウト値を変更します。

           
          ステップ 6 ip nat translation tcp-timeout seconds


          例:
          Router(config)# ip nat translation tcp-timeout 2500 
           
          (任意)TCP のタイムアウト値を変更します。
          • デフォルトは 24 時間です。
           
          ステップ 7 ip nat translation finrst-timeout seconds


          例:
          Router(config)# ip nat translation finrst-timeout 45 
           
          (任意)finish および reset タイムアウト値を変更します。
          • finrst-timeout:TCP セッションが finish-in(FIN-IN)および finish-out(FIN-OUT)の両方を受信した後、または TCP セッションのリセット後のエージング タイム。
           
          ステップ 8 ip nat translation icmp-timeout seconds


          例:
          Router(config)# ip nat translation icmp-timeout 45 
           

          (任意)ICMP のタイムアウト値を変更します。

           
          ステップ 9 ip nat translation syn-timeout seconds


          例:
          Router(config)# ip nat translation syn-timeout 45
           
          (任意)同期(SYN)のタイムアウト値を変更します。
          • TCP セッションで SYN が受信された場合にのみ、同期タイムアウトまたはエージング タイムが使用されます。 同期確認応答(SYNACK)が受信されると、タイムアウトは TCP タイムアウトに変更されます。
           
          ステップ 10 end


          例:
          Router(config)# end
           

          (任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

           

          NAT を使用してオーバーラップするネットワークに通信を許可するには

          この項では、同じ操作を実行する複数の作業をまとめて説明していますが、実装されている変換のタイプがスタティックか、ダイナミックかに応じて、これらの作業の実行方法は異なります。

          実装されている変換のタイプに適用する作業を実行してください。

          オーバーラップするネットワークのスタティック変換の設定

          スタブ ネットワーク内の IP アドレスが別のネットワークに属する正式な IP アドレスであるときに、スタティック変換を使用して、これらのホストやルータと通信する必要がある場合は、オーバーラップするネットワークのスタティック変換を設定します。

          手順の概要

            1.    enable

            2.    configure terminal

            3.    ip nat inside source static local-ip global-ip

            4.    interface type number

            5.    ip address ip-address mask

            6.    ip nat inside

            7.    exit

            8.    interface type number

            9.    ip address ip-address mask

            10.    ip nat outside

            11.    end


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Device> enable
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2 configure terminal


            例:
            Device# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3 ip nat inside source static local-ip global-ip


            例:
            Device(config)# ip nat inside source static 192.168.121.33 10.2.2.1 
             

            内部ローカル アドレスと内部グローバル アドレスとの間のスタティック変換を設定します。

             
            ステップ 4 interface type number


            例:
            Device(config)# interface ethernet 1
             

            インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 5 ip address ip-address mask


            例:
            Device(config-if)# ip address 10.114.11.39 255.255.255.0
             

            インターフェイスのプライマリ IP アドレスを設定します。

             
            ステップ 6 ip nat inside


            例:
            Device(config-if)# ip nat inside
             

            内部と接続されることを示すマークをインターフェイスに付けます。

             
            ステップ 7 exit


            例:
            Device(config-if)# exit
             

            インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

             
            ステップ 8 interface type number


            例:
            Device(config)# interface ethernet 0
             

            インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 9 ip address ip-address mask


            例:
            Device(config-if)# ip address 172.16.232.182 255.255.255.240
             

            インターフェイスのプライマリ IP アドレスを設定します。

             
            ステップ 10 ip nat outside


            例:
            Device(config-if)# ip nat outside
             

            外部と接続されることを示すマークをインターフェイスに付けます。

             
            ステップ 11 end


            例:
            Device(config-if)# end
             

            (任意)インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

             

            次の作業

            必要な設定が完了したら、「NAT のモニタリングおよびメンテナンス」モジュールに進みます。

            オーバーラップするネットワークのダイナミック変換の設定

            スタブ ネットワーク内の IP アドレスが別のネットワークに属する正式な IP アドレスであるときに、ダイナミック変換を使用して、これらのホストやルータと通信する必要がある場合は、オーバーラップするネットワークのダイナミック変換を設定します。

            手順の概要

              1.    enable

              2.    configure terminal

              3.    ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}

              4.    access-list access-list-number permit source [source-wildcard]

              5.    ip nat outside source list access-list-number pool name

              6.    interface type number

              7.    ip address ip-address mask

              8.    ip nat inside

              9.    exit

              10.    interface type number

              11.    ip address ip-address mask

              12.    ip nat outside

              13.    end


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Device> enable
               

              特権 EXEC モードをイネーブルにします。

              • パスワードを入力します(要求された場合)。
               
              ステップ 2 configure terminal


              例:
              Device# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}


              例:
              Device(config)# ip nat pool net-10 10.0.1.0 10.0.1.255 prefix-length 24
               

              必要に応じて割り当てられるグローバル アドレスのプールを定義します。

               
              ステップ 4 access-list access-list-number permit source [source-wildcard]


              例:
              Device(config)# access-list 1 permit 10.114.11.0 0.0.0.255
               

              変換されるアドレスを許可する標準アクセス リストを定義します。

              • アクセス リストは、変換されるアドレスだけを許可する必要があります (各アクセス リストの最後には暗黙的な「deny all」があるので注意してください)。アクセス リストでアドレスを許可しすぎると、予期しない結果になる可能性があります。
               
              ステップ 5 ip nat outside source list access-list-number pool name


              例:
              Device(config)# ip nat outside source list 1 pool net-10
               

              ステップ 4 で定義されたアクセス リストを指定して、ダイナミック外部送信元変換を設定します。

               
              ステップ 6 interface type number


              例:
              Device(config)# interface ethernet 1
               

              インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 7 ip address ip-address mask


              例:
              Device(config-if)# ip address 10.114.11.39 255.255.255.0
               

              インターフェイスのプライマリ IP アドレスを設定します。

               
              ステップ 8 ip nat inside


              例:
              Device(config-if)# ip nat inside
               

              内部と接続されることを示すマークをインターフェイスに付けます。

               
              ステップ 9 exit


              例:
              Device(config-if)# exit
               

              インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

               
              ステップ 10 interface type number


              例:
              Device(config)# interface ethernet 0
               

              インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 11 ip address ip-address mask


              例:
              Device(config-if)# ip address 172.16.232.182 255.255.255.240
               

              インターフェイスのプライマリ IP アドレスを設定します。

               
              ステップ 12 ip nat outside


              例:
              Device(config-if)# ip nat outside
               

              外部と接続されることを示すマークをインターフェイスに付けます。

               
              ステップ 13 end


              例:
              Device(config-if)# end
               

              (任意)インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

               

              サーバ TCP ロード バランシングの設定

              宛先アドレス ロータリー変換を目的として、サーバ TCP のロード バランシングを設定するには、この作業を実行します。 この作業で指定されるコマンドを使用すると、1 つの仮想ホストを多数の実ホストにマッピングできます。 仮想ホストとの間で開かれた新しい TCP セッションはそれぞれ、異なる実ホストとのセッションに変換されます。

              手順の概要

                1.    enable

                2.    configure terminal

                3.    ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} type rotary

                4.    access-list access-list-number permit source [source-wildcard]

                5.    ip nat inside destination-list access-list-number pool name

                6.    interface type number

                7.    ip address ip-addressmask

                8.    ip nat inside

                9.    exit

                10.    interface type number

                11.    ip address ip-address mask

                12.    ip nat outside

                13.    end


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 enable


                例:
                Device> enable
                 

                特権 EXEC モードをイネーブルにします。

                • パスワードを入力します(要求された場合)。
                 
                ステップ 2 configure terminal


                例:
                Device# configure terminal
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 3 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} type rotary


                例:
                Device(config)# ip nat pool real-hosts 192.168.201.2 192.168.201.5 prefix-length 28 type rotary
                 

                実ホストのアドレスを含むアドレス プールを定義します。

                 
                ステップ 4 access-list access-list-number permit source [source-wildcard]


                例:
                Device(config)# access-list 1 permit 192.168.201.30 0.0.0.255
                 

                仮想ホストのアドレスを許可するアクセス リストを定義します。

                 
                ステップ 5 ip nat inside destination-list access-list-number pool name


                例:
                Device(config)# ip nat inside destination-list 2 pool real-hosts
                 

                直前の手順で定義されたアクセス リストを指定して、ダイナミック内部宛先変換を設定します。

                 
                ステップ 6 interface type number


                例:
                Device(config)# interface ethernet 0
                 

                インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 7 ip address ip-addressmask


                例:
                Device(config-if)# ip address 192.168.201.1 255.255.255.240
                 

                インターフェイスのプライマリ IP アドレスを設定します。

                 
                ステップ 8 ip nat inside


                例:
                Device(config-if)# ip nat inside
                 

                内部と接続されることを示すマークをインターフェイスに付けます。

                 
                ステップ 9 exit


                例:
                Device(config-if)# exit
                 

                インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

                 
                ステップ 10 interface type number


                例:
                Device(config)# interface serial 0
                 

                異なるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 11 ip address ip-address mask


                例:
                Device(config-if)# ip address 192.168.15.129 255.255.255.240
                 

                インターフェイスのプライマリ IP アドレスを設定します。

                 
                ステップ 12 ip nat outside


                例:
                Device(config-if)# ip nat outside
                 

                外部と接続されることを示すマークをインターフェイスに付けます。

                 
                ステップ 13 end


                例:
                Device(config-if)# end
                 

                (任意)インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                 

                内部インターフェイスでのルート マップのイネーブル化

                はじめる前に

                作業で使用する必要のあるルート マップはすべて、設定作業を開始する前に設定しておく必要があります。

                手順の概要

                  1.    enable

                  2.    configure terminal

                  3.    ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static local-ip global-ip [route-map map-name]}

                  4.    exit

                  5.    show ip nat translations [verbose]


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 enable


                  例:
                  Device> enable
                   

                  特権 EXEC モードをイネーブルにします。

                  • パスワードを入力します(要求された場合)。
                   
                  ステップ 2 configure terminal


                  例:
                  Device# configure terminal
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 3 ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static local-ip global-ip [route-map map-name]}


                  例:
                  Device(config)# ip nat inside source static 192.168.201.6 192.168.201.21 route-map isp2 
                   

                  NAT 内部インターフェイスで設定されたスタティック NAT を使ったルート マッピングをイネーブルにします。

                   
                  ステップ 4 exit


                  例:
                  Device(config)# exit
                   

                  グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                   
                  ステップ 5 show ip nat translations [verbose]


                  例:
                  Device# show ip nat translations
                   

                  (任意)アクティブな NAT を表示します。

                   

                  NAT Route Maps Outside-to-Inside サポートのイネーブル化

                  NAT Route Maps Outside-to-Inside サポート機能により、外部から内部に向けて IP セッションを開始できるようにするネットワーク アドレス変換(NAT)ルート マップ コンフィギュレーションの設定が可能になります。 NAT Route Maps Outside-to-Inside サポート機能をイネーブルにするには、次の作業を実行します。

                  手順の概要

                    1.    enable

                    2.    configure terminal

                    3.    ip nat pool name start-ip end-ip netmask netmask

                    4.    ip nat pool name start-ip end-ip netmask netmask

                    5.    ip nat inside source route-map name pool name [reversible]

                    6.    ip nat inside source route-map name pool name [reversible]

                    7.    end


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 enable


                    例:
                    Device> enable
                     

                    特権 EXEC モードをイネーブルにします。

                    • パスワードを入力します(要求された場合)。
                     
                    ステップ 2 configure terminal


                    例:
                    Device(config)# configure terminal
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 3 ip nat pool name start-ip end-ip netmask netmask


                    例:
                    Device(config)# ip nat pool POOL-A 192.168.201.4 192.168.201.6 netmask 255.255.255.128
                     

                    NAT で使用されるネットワーク アドレス プールを定義します。

                     
                    ステップ 4 ip nat pool name start-ip end-ip netmask netmask


                    例:
                    Device(config)# ip nat pool POOL-B 192.168.201.7 192.168.201.9 netmask 255.255.255.128
                     

                    NAT で使用されるネットワーク アドレス プールを定義します。

                     
                    ステップ 5 ip nat inside source route-map name pool name [reversible]


                    例:
                    Device(config)# ip nat inside source route-map MAP-A pool POOL-A reversible
                     

                    Outside-to-Inside で開始されたセッションが、宛先ベースの NAT に対してルート マップを使用できるようにします。

                     
                    ステップ 6 ip nat inside source route-map name pool name [reversible]


                    例:
                    Device(config)# ip nat inside source route-map MAP-B pool POOL-B reversible
                     

                    Outside-to-Inside で開始されたセッションが、宛先ベースの NAT に対してルート マップを使用できるようにします。

                     
                    ステップ 7 end


                    例:
                    Device(config)# end
                     

                    (任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                     

                    外部 IP アドレスのみの NAT の設定

                    外部 IP アドレスの NAT を設定する場合、あらゆるアプリケーションおよびトラフィック タイプの埋め込み IP アドレスをすべて無視するように NAT を設定できます。 企業ネットワークの外部にあるホストとトラフィック間のトラフィックは、内部ネットワークを通過します。 NAT 用に設定されたデバイスは、内部ネットワーク内でルーティングできるアドレスにパケットを変換します。 目的の宛先が企業ネットワークの外部にある場合、パケットは外部アドレスに逆変換されて送信されます。


                    (注)  


                    外部ローカル アドレス用のスタティック ルートを追加するように ip nat outside source static コマンドを設定すると、パケットの変換に遅延が生じ、パケットがドロップされます。 パケットがドロップされるのは、NAT がスタティック変換用に設定されている場合、初期同期(SYN)パケットのショートカットが作成されないためです。 パケットがドロップされないようにするには、ip nat outside source static add-route コマンドまたは ip route コマンドのいずれかを設定します。


                    外部 IP アドレスのみの NAT を設定する利点は、次のとおりです。

                    • 企業は、企業バックボーン ネットワークとしてインターネットを使用できます。
                    • ヘッダーの変換のみを必要とするネットワーク アーキテクチャを使用できます。
                    • 開始時点で、エンド クライアントに使用可能な IP アドレスが与えられます。 このアドレスは、IPsec 接続とトラフィック フローに使用されるアドレスです。
                    • 特別にルートを更新しなくても、パブリックおよびプライベート ネットワーク アーキテクチャがサポートされます。
                    手順の概要

                      1.    enable

                      2.    configure terminal

                      3.    ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static network local-ip global-ip [no-payload]}

                      4.    ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static {tcp | udp} local-ip local-port global-ip global-port [no-payload]}

                      5.    ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static [network] local-network-mask global-network-mask [no-payload]}

                      6.    ip nat outside source {list {access-list-number | access-list-name} pool pool-name [overload] | static local-ip global-ip [no-payload]}

                      7.    ip nat outside source {list {access-list-number | access-list-name} pool pool-name [overload] | static {tcp | udp} local-ip local-port global-ip global-port [no-payload]}

                      8.    ip nat outside source {list {access-list-number | access-list-name} pool pool-name [overload] | static [network] local-network-mask global-network-mask [no-payload]}

                      9.    exit

                      10.    show ip nat translations [verbose]


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 enable


                      例:
                      Device> enable
                       

                      特権 EXEC モードをイネーブルにします。

                      • パスワードを入力します(要求された場合)。
                       
                      ステップ 2 configure terminal


                      例:
                      Device# configure terminal
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 3 ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static network local-ip global-ip [no-payload]}


                      例:
                      Device(config)# ip nat inside source static network 10.1.1.1 192.168.251.0/24 no-payload 
                       

                      内部ホスト デバイスでのネットワーク パケット変換をディセーブルにします。

                       
                      ステップ 4 ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static {tcp | udp} local-ip local-port global-ip global-port [no-payload]}


                      例:
                      Device(config)# ip nat inside source static tcp 10.1.1.1 2000 192.168.1.1 2000 no-payload
                       

                      内部ホスト デバイスでのポート パケット変換をディセーブルにします。

                       
                      ステップ 5 ip nat inside source {list {access-list-number | access-list-name} pool pool-name [overload] | static [network] local-network-mask global-network-mask [no-payload]}


                      例:
                      Device(config)# ip nat inside source static 10.1.1.1 192.168.1.1 no-payload
                       

                      内部ホスト デバイスでのパケット変換をディセーブルにします。

                       
                      ステップ 6 ip nat outside source {list {access-list-number | access-list-name} pool pool-name [overload] | static local-ip global-ip [no-payload]}


                      例:
                      Device(config)# ip nat outside source static 10.1.1.1 192.168.1.1 no-payload
                       

                      外部ホスト デバイスでのパケット変換をディセーブルにします。

                       
                      ステップ 7 ip nat outside source {list {access-list-number | access-list-name} pool pool-name [overload] | static {tcp | udp} local-ip local-port global-ip global-port [no-payload]}


                      例:
                      Device(config)# ip nat outside source static tcp 10.1.1.1 20000 192.168.1.1 20000 no-payload
                       

                      外部ホスト デバイスでのポート パケット変換をディセーブルにします。

                       
                      ステップ 8 ip nat outside source {list {access-list-number | access-list-name} pool pool-name [overload] | static [network] local-network-mask global-network-mask [no-payload]}


                      例:
                      Device(config)# ip nat outside source static network 10.1.1.1 192.168.251.0/24 no-payload
                       

                      外部ホスト デバイスでのネットワーク パケット変換をディセーブルにします。

                       
                      ステップ 9 exit


                      例:
                      Device(config)# exit
                       

                      グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                       
                      ステップ 10 show ip nat translations [verbose]


                      例:
                      Device# show ip nat translations
                       

                      アクティブな NAT を表示します。

                       

                      NAT Default Inside Server 機能の設定

                      NAT Default Inside Server 機能は、外部から、指定された内部ローカル アドレスにパケットを転送する場合に使用します。 既存のダイナミック変換またはスタティック ポート変換に一致しないトラフィックはリダイレクトされ、パケットはドロップされません。

                      ダイナミック マッピングとインターフェイス オーバーロードは、ゲーム用デバイスに設定できます。 オンライン ゲームでは、外部トラフィックは異なる UDP に到着します。 パケットが、企業ネットワーク外からインターフェイス宛に送信され、完全に拡張されたエントリまたはスタティック ポート エントリに一致するものが NAT テーブルに存在しない場合、このパケットは、単純なスタティック エントリを使用してゲーム用デバイスに転送されます。


                      (注)  


                      • この機能は、PC とは異なる IP アドレスを持つゲーム用デバイスを設定するために使用します。 迷惑なトラフィックや DoS 攻撃を回避するには、アクセス リストを使用します。
                      • PC から外部へのトラフィックについては、ルート マップを使用して、拡張エントリが作成されるようにしてください。

                      手順の概要

                        1.    enable

                        2.    configure terminal

                        3.    ip nat inside source static local-ip interface type number

                        4.    ip nat inside source static tcp local-ip local-port interface global-port

                        5.    exit

                        6.    show ip nat translations [verbose]


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 enable


                        例:
                        Device> enable
                         

                        特権 EXEC モードをイネーブルにします。

                        • パスワードを入力します(要求された場合)。
                         
                        ステップ 2 configure terminal


                        例:
                        Device# configure terminal
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 3 ip nat inside source static local-ip interface type number


                        例:
                        Device(config)# ip nat inside source static 10.1.1.1 interface Ethernet 1/1 
                         

                        インターフェイス上でスタティック NAT をイネーブルにします。

                         
                        ステップ 4 ip nat inside source static tcp local-ip local-port interface global-port


                        例:
                        Device(config)# ip nat inside source static tcp 10.1.1.1 23 interface 23 
                         

                        (任意)外部からデバイスへの Telnet の使用をイネーブルにします。

                         
                        ステップ 5 exit


                        例:
                        Device(config)# exit
                         

                        グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                         
                        ステップ 6 show ip nat translations [verbose]


                        例:
                        Device# show ip nat translations
                         

                        (任意)アクティブな NAT を表示します。

                         

                        NAT ルータでの RTSP の再イネーブル化

                        Real Time Streaming Protocol(RTSP)は、クライアント/サーバ マルチメディア プレゼンテーション制御プロトコルの一種で、マルチメディア アプリケーションの配信をサポートしています。 RTSP を使用するアプリケーションには、Microsoft の Windows Media Services(WMS)、Apple Computer の QuickTime、RealNetworks の RealSystem G2 などがあります。

                        接続を成功させるには、RTSP プロトコルが NAT ルータを通過するときに、埋め込みアドレスとポートを変換する必要があります。 NAT では、ペイロードを解析し、RTSP ペイロード中の埋め込み情報を変換するために、Network Based Application Recognition(NBAR)アーキテクチャが使用されます。

                        RTSP はデフォルトでイネーブルになっています。 この設定がディセーブルになっている場合に、NAT ルータで RTSP を再度イネーブルにするには、ip nat service rtsp port port-number コマンドを使用します。

                        スタティック IP アドレスを持つユーザのサポートの設定

                        スタティック IP アドレスを持つユーザに対するサポートを設定すると、このようなユーザはパブリック ワイヤレス LAN 環境で IP セッションを確立できるようになります。

                        はじめる前に

                        スタティック IP アドレスを使用しているユーザのサポートを設定する前に、まず、ルータで NAT をイネーブルにし、RADIUS サーバ ホストを設定する必要があります。

                        手順の概要

                          1.    enable

                          2.    configure terminal

                          3.    interface type number

                          4.    ip nat inside

                          5.    exit

                          6.    ip nat allow-static-host

                          7.    ip nat pool name start-ip end-ip netmask netmask accounting list-name

                          8.    ip nat inside source list access-list-number poolname

                          9.    access-list access-list-number deny ip source

                          10.    end

                          11.    show ip nat translations verbose


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 enable


                          例:
                          Device> enable
                           

                          特権 EXEC モードをイネーブルにします。

                          • パスワードを入力します(要求された場合)。
                           
                          ステップ 2 configure terminal


                          例:
                          Device# configure terminal
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 3 interface type number


                          例:
                          Device(config)# interface ethernet 1
                           

                          インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

                           
                          ステップ 4 ip nat inside


                          例:
                          Device(config-if)# ip nat inside
                           

                          内部と接続されることを示すマークをインターフェイスに付けます。

                           
                          ステップ 5 exit


                          例:
                          Device(config-if)# exit
                           

                          インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

                           
                          ステップ 6 ip nat allow-static-host


                          例:
                          Device(config)# ip nat allow-static-host
                           

                          スタティック IP アドレスのサポートをイネーブルにします。

                          • このインターフェイスでは、ダイナミック アドレス解決プロトコル(ARP)の学習はディセーブルされます。また、スタティック IP ホストの ARP エントリの作成と削除は NAT により制御されます。
                           
                          ステップ 7 ip nat pool name start-ip end-ip netmask netmask accounting list-name


                          例:
                          Device(config)# ip nat pool pool1 172.16.0.0 172.16.0.254 netmask 255.255.255.0 accounting WLAN-ACCT
                           

                          スタティック IP ホストの認証に使用される、既存の RADIUS プロファイル名を指定します。

                           
                          ステップ 8 ip nat inside source list access-list-number poolname


                          例:
                          Device(config)# ip nat inside source list 1 pool net-208
                           

                          スタティック IP サポートに使用されるアクセス リストとプールを指定します。

                          • 指定されたアクセス リストはすべてのトラフィックを許可する必要があります。
                           
                          ステップ 9 access-list access-list-number deny ip source


                          例:
                          Device(config)# access-list 1 deny ip 192.168.196.51
                           

                          NAT からデバイスのトラフィックを削除します。

                          • source 引数は、NAT スタティック IP サポート機能をサポートするデバイスの IP アドレスです。
                           
                          ステップ 10 end


                          例:
                          Device(config)# end
                           

                          (任意)グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                           
                          ステップ 11 show ip nat translations verbose


                          例:
                          Device# show ip nat translations verbose
                           

                          (任意)アクティブな NAT 変換および各変換テーブル エントリの追加情報(エントリがいつ作成および使用されたかなど)が表示されます。

                           

                          次に、show ip nat translations verbose コマンドの出力例を示します。

                          Device# show ip nat translations verbose
                          
                          --- 172.16.0.0 10.1.1.1           ---                ---
                          create 00:05:59, use 00:03:39, left 23:56:20, Map-Id(In): 1, flags: none wlan-flags: Secure ARP added, Accounting Start sent Mac-Address:0010.7bc2.9ff6 Input-IDB:Ethernet1/2, use_count: 0, entry-id:7, lc_entries: 0

                          NAT 変換のレート制限機能の設定

                          手順の概要

                            1.    enable

                            2.    show ip nat translations

                            3.    configure terminal

                            4.    ip nat translation max-entries {number | all-vrf number | host ip-address number | list listname number | vrf name number}

                            5.    end

                            6.    show ip nat statistics


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 enable


                            例:
                            Device enable
                             

                            特権 EXEC モードをイネーブルにします。

                            • パスワードを入力します(要求された場合)。
                             
                            ステップ 2 show ip nat translations


                            例:
                            Device# show ip nat translations
                             

                            (任意)アクティブな NAT を表示します。

                            • 特定のホスト、アクセス コントロール リスト、または VRF インスタンスが予想外に大量の NAT 要求を生成している場合、それが悪意のあるウイルスやワーム攻撃の元凶である可能性があります。
                             
                            ステップ 3 configure terminal


                            例:
                            Device# configure terminal
                             

                            グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 4 ip nat translation max-entries {number | all-vrf number | host ip-address number | list listname number | vrf name number}


                            例:
                            Device(config)# ip nat translation max-entries 300
                             

                            指定された送信元に許容される NAT エントリの最大数を設定します。

                            • 許容される NAT エントリの最大数は 2147483647 ですが、通常の NAT レート制限の範囲は 100 ~ 300 エントリです。
                            • すべての VRF インスタンスに対する NAT レート制限を設定すると、各 VRF インスタンスは、指定した NAT エントリの最大数に制限されます。
                            • 特定の VRF インスタンスに対する NAT レート制限を設定する場合、すべての VRF インスタンスに許容される NAT エントリの最大数よりも大きい、または小さい値を、指定した VRF インスタンスに対する最大数に指定します。
                             
                            ステップ 5 end


                            例:
                            Device(config)# end
                             

                            グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

                             
                            ステップ 6 show ip nat statistics


                            例:
                            Device# show ip nat statistics
                             

                            (任意)NAT レート制限の設定値を含む、現在の NAT 使用に関する情報を表示します。

                            • NAT レート制限の設定後、show ip nat statistics コマンドを使用して、現在の NAT レート制限の設定を検証します。
                             

                            IP アドレス節約のための NAT 設定例

                            例:内部送信元アドレスのスタティック変換の設定

                            次に、10.114.11.0 ネットワークからアドレス指定される複数の内部ホストの、グローバルに一意な 172.31.233.208/28 ネットワークへの変換例を示します。 その後、10.114.11.0 ネットワーク(本物の 10.114.11.0 ネットワーク)の外部ホストからやってきたパケットは、変換後、10.0.1.0/24 ネットワークからのもののように見えます。

                            ip nat pool net-208 172.31.233.208 172.31.233.223 prefix-length 28
                            ip nat pool net-10 10.0.1.0 10.0.1.255 prefix-length 24
                            ip nat inside source list 1 pool net-208
                            ip nat outside source list 1 pool net-10
                            !
                            interface ethernet 0
                             ip address 172.31.232.182 255.255.255.240
                             ip nat outside
                            !
                            interface ethernet 1
                             ip address 10.114.11.39 255.255.255.0
                             ip nat inside
                            !
                            access-list 1 permit 10.114.11.0 0.0.0.255
                            

                            次に、vrf1 および vrf2 VPN について、共有サービスへのスタティック ルートを持つプロバイダー エッジ(PE)ルータで設定された NAT の例を示します。 NAT は、内部送信元スタティック 1 対 1 変換として設定されます。

                            ip nat pool outside 10.4.4.1 10.4.4.254 netmask 255.255.255.0
                            ip nat outside source list 1 pool mypool
                            access-list 1 permit 172.16.18.0 0.0.0.255
                            ip nat inside source static 192.168.121.33 10.2.2.1 vrf vrf1
                            ip nat inside source static 192.169.121.33.10.2.2.2 vrf vrf2

                            例:内部送信元アドレスのダイナミック変換の設定

                            次の例では、内部ホストのアドレス 192.168.1.0 または 192.168.2.0 のネットワークが、グローバルに一意な 172.31.233.208/28 のネットワークにどのように変換されるかを示しています。

                            ip nat pool net-208 172.31.233.208 172.31.233.223 prefix-length 9
                            ip nat inside source list 1 pool net-208
                            !
                            interface ethernet 0
                             ip address 172.31.232.182 255.255.255.240
                             ip nat outside
                            !
                            interface ethernet 1
                             ip address 192.168.1.94 255.255.255.0
                             ip nat inside
                            !
                            access-list 1 permit 192.168.1.0 0.0.0.255
                            access-list 1 permit 192.168.2.0 0.0.0.255
                            

                            次の例では、どのようにして、NAT を実行しているプロバイダー エッジ(PE)デバイスにローカルなトラフィックのみが変換されるかを示しています。

                            ip nat inside source list 1 interface e 0 vrf vrf1 overload
                            ip nat inside source list 1 interface e 0 vrf vrf2 overload
                            !
                            ip route vrf vrf1 0.0.0.0 0.0.0.0 192.168.1.1
                            ip route vrf vrf2 0.0.0.0 0.0.0.0 192.168.1.1
                            !
                            access-list 1 permit 10.1.1.1.0 0.0.0.255
                            !
                            ip nat inside source list 1 interface e 1 vrf vrf1 overload
                            ip nat inside source list 1 interface e 1 vrf vrf2 overload
                            !
                            ip route vrf vrf1 0.0.0.0 0.0.0.0 172.16.1.1 global
                            ip route vrf vrf2 0.0.0.0 0.0.0.0 172.16.1.1 global
                            access-list 1 permit 10.1.1.0 0.0.0.255

                            例:NAT を使用した内部ユーザのインターネットへのアクセスの許可

                            次に、net-208 というアドレス プールの作成方法の例を示します。 このプールには、172.31.233.208 ~ 172.31.233.233 のアドレスが含まれます。 アクセス リスト 1 には、SA が 192.168.1.0 ~ 192.168.1.255 の範囲に含まれるパケットが許可されます。 変換が存在しない場合、アクセス リスト 1 に一致するパケットは、このプールに含まれるアドレスに変換されます。 ルータは複数のローカル アドレス(192.168.1.0 ~ 192.168.1.255)に、同じグローバル アドレスの使用を許可します。 ルータは接続を区別するためにポート番号を保持します。

                            ip nat pool net-208 172.31.233.208 172.31.233.233 netmask 255.255.255.240
                            access-list 1 permit 192.168.1.0 0.0.0.255
                            ip nat inside source list 1 pool net-208 overload
                            interface ethernet 1
                             ip address 192.168.201.1 255.255.255.240
                             ip nat inside
                            !
                            interface ethernet 0
                             ip address 192.168.201.29 255.255.255.240
                             ip nat outside
                            !
                            

                            例:NAT を使用したオーバーラップするネットワークに対する通信の許可

                            例:サーバ TCP のロード バランシングの設定

                            次の例の目的は、一連の実ホストの間で接続が分散される仮想アドレスを定義することです。 プールは実ホストのアドレスを定義します。 アクセス リストは仮想アドレスを定義します。 変換がまだ存在しない場合、シリアル インターフェイス 0(外部インターフェイス)からの TCP パケットのうち、アクセス リストと一致する宛先を持つものは、このプールに含まれるアドレスに変換されます。

                            ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
                            access-list 2 permit 192.168.15.1
                            ip nat inside destination list 2 pool real-hosts
                            interface ethernet 0
                             ip address 192.168.15.129 255.255.255.240
                             ip nat inside
                            !
                            interface serial 0
                             ip address 192.168.15.17 255.255.255.240
                             ip nat outside
                            !
                            

                            例:内部インターフェイスでのルート マップのイネーブル化

                            ip nat inside source static 192.168.201.6 192.168.201.21
                            !
                            

                            例:NAT Route Maps Outside-to-Inside サポートのイネーブル化

                            次の例では、宛先ベースのネットワーク アドレス変換(NAT)に対する Outside-to-Inside 変換を許可するようにルート マップ A およびルート マップ B を設定する方法を示します。

                            ip nat pool POOL-A 192.168.201.4 192.168.201.6 netmask 255.255.255.128
                            ip nat pool POOL-B 192.168.201.7 192.168.201.9 netmask 255.255.255.128
                            ip nat inside source route-map MAP-A pool POOL-A reversible
                            ip nat inside source route-map MAP-B pool POOL-B reversible

                            例:外部 IP アドレスのみの NAT の設定

                            ip nat inside source static network 10.1.1.1 192.168.2510/24 no-payload
                            ip nat inside source static tcp 10.1.1.1 2000 192.168.1.1 2000 no-payload
                            ip nat inside source static 10.1.1.1 192.168.1.1 no-payload
                            ip nat outside source static 10.1.1. 192.168.1.1 no-payload
                            ip nat outside source static tcp 10.1.1.1 20000 192.168.1.1 20000 no-payload
                            ip nat outside source static network 10.1.1.1 192.168.251.0/24 no-payload
                             

                            例:スタティック IP アドレスを持つユーザのサポートの設定

                            interface ethernet 1
                             ip nat inside
                            !
                            ip nat allow-static-host
                            ip nat pool pool1 172.16.0.0 172.16.0.254 netmask 255.255.255.0 accounting WLAN-ACCT
                            ip nat inside source list 1 pool net-208
                            access-list 1 deny ip 192.168.196.51

                            例:NAT スタティック IP サポートの設定

                            次の例では、192.168.196.51 にあるルータに対するスタティック IP アドレス サポートをイネーブルにする方法を示します。

                            interface ethernet 1
                             ip nat inside
                            ip nat allow-static-host
                            ip nat pool net-208 172.16.1.1 172.16.1.10 netmask 255.255.255.0 accounting WLAN-ACCT
                            ip nat inside source list 1 pool net-208
                            access-list 1 deny ip 192.168.196.51

                            例:NAT スタティック IP サポートに使用される RADIUS プロファイルの作成

                            次の例では、NAT スタティック IP サポート機能で使用される RADIUS プロファイル aaa new-model の作成方法を示します

                            aaa new-model
                            !
                            aaa group server radius WLAN-RADIUS
                             server 172.16.88.1 auth-port 1645 acct-port 1645
                             server 172.16.88.1 auth-port 1645 acct-port 1646
                            !
                            aaa accounting network WLAN-ACCT start-stop group WLAN-RADIUS
                            aaa session-id common
                            ip radius source-interface Ethernet3/0
                            radius-server host 172.31.88.1 auth-port 1645 acct-port 1646
                            radius-server key cisco

                            例:NAT 変換のレート制限機能の設定

                            次の例では、許容される NAT エントリの最大数を 300 に制限する方法を示します。

                            ip nat translation max-entries 300

                            次の例では、VRF インスタンス「vrf1」の NAT エントリ数を 150 に制限する方法を示します。

                            ip nat translation max-entries vrf vrf1 150

                            次の例では、各 VRF インスタンスの NAT エントリ数を 200 に制限する方法を示します。

                            ip nat translation max-entries all-vrf 200

                            次の例では、VRF インスタンス「vrf2」の NAT エントリ数を 225 に、その他すべての VRF インスタンスの NAT エントリ数をそれぞれ 100 に制限する方法を示します。

                            ip nat translation max-entries all-vrf 100
                            ip nat translation max-entries vrf vrf2 225

                            次の例では、アクセス コントロール リスト「vrf3」の NAT エントリ数を 100 に制限する方法を示します。

                            ip nat translation max-entries list vrf3 100

                            次の例では、IP アドレス 10.0.0.1 にあるホストの NAT エントリ数を 300 に制限する方法を示します。

                            ip nat translation max-entries host 10.0.0.1 300

                            例:グローバル NAT レート制限の設定

                            次の例では、許容される NAT エントリの最大数を 300 に制限する方法を示します。

                            ip nat translation max-entries 300

                            例:特定の VRF インスタンスで使用される NAT レート制限の設定

                            次の例では、VRF インスタンス「vrf1」の NAT エントリ数を 150 に制限する方法を示します。

                            ip nat translation max-entries vrf vrf1 150

                            例:すべての VRF インスタンスで使用される NAT レート制限の設定

                            次の例では、各 VRF インスタンスの NAT エントリ数を 200 に制限する方法を示します。

                            ip nat translation max-entries all-vrf 200
                            

                            次の例では、VRF インスタンス「vrf2」の NAT エントリ数を 225 に、その他すべての VRF インスタンスの NAT エントリ数をそれぞれ 100 に制限する方法を示します。

                            ip nat translation max-entries all-vrf 100
                            ip nat translation max-entries vrf vrf2 225

                            例:アクセス コントロール リストで使用される NAT レート制限の設定

                            次の例では、アクセス コントロール リスト「vrf3」の NAT エントリ数を 100 に制限する方法を示します。

                            ip nat translation max-entries list vrf3 100

                            例:IP アドレスで使用される NAT レート制限の設定

                            次の例では、IP アドレス 10.0.0.1 にあるホストの NAT エントリ数を 300 に制限する方法を示します。

                            ip nat translation max-entries host 10.0.0.1 300

                            次の作業

                            IP アドレス変換用の NAT の設定に関するその他の関連資料

                            関連資料

                            関連項目

                            参照先

                            Cisco IOS コマンド

                            『Cisco IOS Master Commands List, All Releases』

                            NAT コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト、使用上の注意事項、および例

                            『Cisco IOS IP Addressing Services Command Reference』

                            アプリケーション レベル ゲートウェイ

                            Using Application Level Gateways with NAT」モジュール

                            IP アクセス リストへのシーケンス番号づけ

                            IP Access List Sequence Numbering』マニュアル

                            RADIUS 属性の概要

                            RADIUS Attributes Overview and RADIUS IETF Attributes』モジュール

                            シスコのテクニカル サポート

                            説明

                            リンク

                            シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                            http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                            IP アドレス節約のための NAT 設定に関する機能情報

                            次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                            プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                            表 1 IP アドレス節約のための NAT 設定に関する機能情報

                            機能名

                            リリース

                            機能情報

                            ルート マップを使用した宛先ベース NAT

                            Cisco IOS XE Release 2.1

                            ルート マップを使用した宛先ベース NAT 機能によって、ルート マップを使用した宛先ベース NAT に対するサポートが追加されます。

                            NAT 重複内部グローバル アドレス

                            Cisco IOS XE Release 2.1

                            Cisco IOS XE ソフトウェアでは、NAT 重複内部グローバル アドレス機能をサポートしています。

                            NAT ホスト番号保持

                            Cisco IOS XE Release 2.1

                            ネットワーク管理を容易にするため、サイトによっては、アドレスではなくプレフィックスを変換します。 これらのサイトでは、変換済みアドレスのホスト番号を元のアドレスのホスト番号と同じにする必要があります。 2 つのプレフィックスの長さは同じである必要があります。 NAT ホスト番号保持機能は、match-host タイプのアドレス プールをダイナミック変換に設定することによりイネーブルにできます。

                            NAT パフォーマンスの向上:変換テーブルの最適化

                            Cisco IOS XE Release 2.1

                            NAT パフォーマンスの向上:変換テーブルの最適化機能は、変換テーブル エントリを格納するためのより優れた構造、およびテーブル エントリを IP 接続に関連付けるためのテーブルでの最適化された参照を提供します。

                            NAT Route Maps Outside-to-Inside サポート

                            Cisco IOS XE Release 2.2

                            NAT Route Maps Outside-to-Inside サポート機能により、外部から内部に向けて IP セッションを開始できるようにする NAT ルート マップ コンフィギュレーションの実装が可能になります。

                            NAT スタティック IP サポート

                            Cisco IOS XE Release 2.1

                            NAT スタティック IP サポート機能は、スタティック IP アドレスを持つユーザがパブリック ワイヤレス LAN 環境で IP セッションを確立できるようにサポートします。

                            NAT タイマー

                            Cisco IOS XE Release 2.1

                            NAT タイマー機能により、NAT 変換がタイムアウトするまでの時間を変更できます。

                            外部 IP アドレスのみの NAT 変換

                            Cisco IOS XE Release 2.1

                            外部 IP アドレスのみの NAT 変換機能を使用して、あらゆるアプリケーションおよびトラフィック タイプの埋め込み IP アドレスをすべて無視するように NAT を設定できます。

                            NAT 変換のレート制限

                            Cisco IOS XE Release 2.1

                            NAT 変換のレート制限機能により、ルータ上でのネットワーク アドレス変換(NAT)動作の同時実行最大数を制限できるようになりました。 これにより、ユーザが NAT アドレスの使用方法をより詳細に管理できるようになるだけでなく、NAT 変換のレート制限機能を使用して、ウイルスやワーム、サービス拒絶攻撃の影響を制限できるようになります。