IP アドレッシング:NAT コンフィギュレーション ガイド、Cisco IOS XE Release 3S(ASR 1000)
NAT の Match-in-VRF サポート
NAT の Match-in-VRF サポート
発行日;2013/07/22   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

NAT の Match-in-VRF サポート

NAT の Match-in-VRF サポート機能では、同じ VPN ルーティングおよび転送(VRF)インスタンス内の 2 つのホスト間で通信するパケットのネットワーク アドレス変換(NAT)をサポートしています。 VPN 内 NAT では、エンド ホストのローカルおよびグローバル アドレス空間の両方がそれぞれの VPN に隔離されるため、ホストの変換後のアドレスが互いにオーバーラップします。 NAT の Match-in-VRF サポート機能では、VPN 間での変換後のアドレスのアドレス空間の分離をサポートします。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

NAT の Match-in-VRF サポートの制約事項

NAT の Match-in-VRF サポート機能は、インターフェイス オーバーロード設定ではサポートされません。

NAT の Match-in-VRF サポートについて

NAT の Match-in-VRF サポート

Cisco IOS XE Release 3.5S 以降のリリースでは、NAT の Match-in-VRF サポート機能は、同じ VPN 内の 2 つのホスト間で通信するパケットの NAT をサポートします。

VRF 対応 NAT では、異なる VPN ルーティングおよび転送(VRF)インスタンス内のプライベート アドレス空間のホスト、およびインターネットまたはグローバル ドメイン内の共通サーバ間の通信をイネーブルにします。 内部ホストの IP アドレスは互いにオーバーラップするため、VRF 対応 NAT では、オーバーラップしている内部 IP アドレスをグローバルに一意なアドレスに変換することによって、これらのホスト間の通信を容易にします。 NAT の Match-in-VRF サポート機能では、VPN 内 NAT 機能をサポートすることにより、VRF 対応 NAT を拡張します。 VPN 内 NAT では、エンド ホストのローカルおよびグローバル アドレス空間の両方がそれぞれの VPN に隔離されるため、ホストの変換後のアドレスが互いにオーバーラップします。 変換後のアドレスのアドレス空間を VPN 間で分離するには、match-in-vrf キーワードを NAT マッピング(ip nat inside source コマンド)設定に設定します。 スタティックおよびダイナミック NAT 設定の両方で、match-in-vrf キーワードがサポートされます。


(注)  


VRF をサポートするすべての NAT コマンドで match-in-vrf キーワードがサポートされます。 NAT 外部ルール(ip nat outside source コマンド)では Match-in-VRF 機能がデフォルトでサポートされるため、match-in-vrf キーワードは NAT 外部ルールではサポートされません。


VRF 対応 NAT では、内部グローバル アドレスの IP エイリアスとアドレス解決プロトコル(ARP)エントリは、グローバル ドメインで設定されます。 VPN 内 NAT では、内部グローバル アドレスの IP エイリアスおよび ARP エントリは、変換が実行される VRF で設定されます。 VPN 内 NAT では、match-in-vrf キーワードの設定は、1 つ以上の NAT 外部インターフェイスが同じ VRF で設定されることを意味します。 その VRF 内の ARP エントリは、外部ホストからの ARP 要求に応答します。

内部アドレスが設定されている場合、Match-in-VRF は VRF トラフィックのアドレス変換中に内部マッピングにより決定されます。 アドレス変換に IP アドレスの外部マッピングのみを設定している場合は、Match-in-VRF が機能します。 変換エントリが内部および外部両方のマッピングにより作成されている場合、match-in-vrf キーワードは内部マッピングにより決定されます。

NAT の Match-in-VRF サポート機能では、同じ IP アドレス プールを使用する複数のダイナミック マッピング設定をサポートしています。

NAT の Match-in-VRF サポートの設定方法

スタティック NAT での Match-in-VRF の設定

スタティック NAT 変換を設定し、同じ VRF 内で NAT 内部および外部トラフィックをイネーブルにするには、次の作業を実行します。

手順の概要

    1.    enable

    2.    configure terminal

    3.    ip nat inside source static local-ip global-ip [vrf vrf-name [match-in-vrf]]

    4.    interface type number

    5.    ip address ip-address mask [secondary]

    6.    ip nat inside

    7.    ip vrf forwarding vrf-name

    8.    exit

    9.    interface type number

    10.    ip address ip-address mask

    11.    ip nat outside

    12.    ip vrf forwarding vrf-name

    13.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Router> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Router# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 ip nat inside source static local-ip global-ip [vrf vrf-name [match-in-vrf]]


    例:
    Router(config)# ip nat inside source static 10.10.10.1 172.16.131.1 vrf vrf1 match-in-vrf
     
    内部ローカル アドレスと内部グローバル アドレスとの間のスタティック変換を設定します。
    • match-in-vrf キーワードにより、同じ VRF 内の NAT 内部および外部トラフィックがイネーブルになります。
     
    ステップ 4 interface type number


    例:
    Router(config)# interface gigabitethernet 0/0/1
     

    インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 5 ip address ip-address mask [secondary]


    例:
    Router(config-if)# ip address 10.114.11.39 255.255.255.0
     

    インターフェイスのプライマリ IP アドレスを設定します。

     
    ステップ 6 ip nat inside


    例:
    Router(config-if)# ip nat inside
     

    内部と接続されることを示すマークをインターフェイスに付けます。

     
    ステップ 7 ip vrf forwarding vrf-name


    例:
    Router(config-if)# ip vrf forwarding vrf1
     

    VRF をインターフェイスまたはサブインターフェイスと関連付けます。

     
    ステップ 8 exit


    例:
    Router(config-if)# exit
     

    インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

     
    ステップ 9 interface type number


    例:
    Router(config)# interface gigabitethernet 0/0/0
     

    異なるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 10 ip address ip-address mask


    例:
    Router(config-if)# ip address 172.31.232.182 255.255.255.240
     

    インターフェイスのプライマリ IP アドレスを設定します。

     
    ステップ 11 ip nat outside


    例:
    Router(config-if)# ip nat outside
     

    外部と接続されることを示すマークをインターフェイスに付けます。

    (注)     

    NAT 外部ルールは、Match-in-VRF 機能をデフォルトでサポートします。

     
    ステップ 12 ip vrf forwarding vrf-name


    例:
    Router(config-if)# ip vrf forwarding vrf1
     

    VRF をインターフェイスまたはサブインターフェイスと関連付けます。

     
    ステップ 13 end


    例:
    Router(config-if)# end
     

    インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

     

    ダイナミック NAT での Match-in-VRF の設定

    ダイナミック NAT 変換に同じアドレス プールを設定し、同じ VRF 内で NAT 内部および外部トラフィックをイネーブルにするには、次の作業を実行します。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    ip nat inside source list access-list-number pool pool-name [vrf vrf-name [match-in-vrf]]

      4.    access-list access-list-number permit source [source-wildcard]

      5.    ip nat inside source list access-list-number pool pool-name vrf vrf-name [match-in-vrf]

      6.    interface type number

      7.    ip address ip-address mask

      8.    ip nat inside

      9.    ip vrf forwarding vrf-name

      10.    exit

      11.    interface type number

      12.    ip address ip-address mask

      13.    ip nat outside

      14.    ip vrf forwarding vrf-name

      15.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Router> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Router# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 ip nat inside source list access-list-number pool pool-name [vrf vrf-name [match-in-vrf]]


      例:
      Router(config)# ip nat inside source list 1 pool shared-pool vrf vrf1 match-in-vrf
       
      複数のダイナミック マッピングに同じアドレス プールを設定できるようにします。
      • match-in-vrf キーワードにより、同じ VRF 内の NAT 内部および外部トラフィックがイネーブルになります。
       
      ステップ 4 access-list access-list-number permit source [source-wildcard]


      例:
      Router(config)# access-list 1 permit 192.168.34.0 0.0.0.255
       

      変換されるアドレスを許可する標準アクセス リストを定義します。

       
      ステップ 5 ip nat inside source list access-list-number pool pool-name vrf vrf-name [match-in-vrf]


      例:
      Router(config)# ip nat inside source list 1 pool shared-pool vrf vpn1
       

      直前の手順で定義されたアクセス リストを指定して、ダイナミック送信元変換を設定します。

       
      ステップ 6 interface type number


      例:
      Router(config)# interface gigabitethernet 0/0/1
       

      インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 7 ip address ip-address mask


      例:
      Router(config-if)# ip address 172.31.232.182 255.255.255.240
       

      インターフェイスのプライマリ IP アドレスを設定します。

       
      ステップ 8 ip nat inside


      例:
      Router(config-if)# ip nat inside
       

      内部と接続されることを示すマークをインターフェイスに付けます。

       
      ステップ 9 ip vrf forwarding vrf-name


      例:
      Router(config-if)# ip vrf forwarding vpn1
       

      VRF をインターフェイスまたはサブインターフェイスと関連付けます。

       
      ステップ 10 exit


      例:
      Router(config-if)# exit
       

      インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

       
      ステップ 11 interface type number


      例:
      Router(config)# interface gigabitethernet 0/0/0
       

      異なるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

       
      ステップ 12 ip address ip-address mask


      例:
      Router(config-if)# ip address 172.31.232.182 255.255.255.240
       

      インターフェイスのプライマリ IP アドレスを設定します。

       
      ステップ 13 ip nat outside


      例:
      Router(config-if)# ip nat outside
       

      外部と接続されることを示すマークをインターフェイスに付けます。

      (注)     

      NAT 外部ルールは、Match-in-VRF 機能をデフォルトでサポートします。

       
      ステップ 14 ip vrf forwarding vrf-name


      例:
      Router(config-if)# ip vrf forwarding vpn1
       

      VRF をインターフェイスまたはサブインターフェイスと関連付けます。

       
      ステップ 15 end


      例:
      Router(config-if)# end
       

      インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

       

      NAT の Match-in-VRF サポートの設定例

      例:スタティック NAT での Match-in-VRF の設定

      次の例に、ローカル IP アドレス 10.10.10.1 とグローバル IP アドレス 172.16.131.1 の間にスタティック NAT 変換を設定する方法を示します。 match-in-vrf キーワードにより、同じ VRF 内の NAT 内部および外部トラフィックがイネーブルになります。

      Router# configure terminal
      Router(config)# ip nat inside source static 10.10.10.1 172.16.131.1 vrf vrf1 match-in-vrf
      Router(config)# interface gigabitethernet 0/0/1
      Router(config-if)# ip address 10.114.11.39 255.255.255.0
      Router(config-if)# ip nat inside
      Router(config-if)# ip vrf forwarding vrf1
      Router(config-if)# exit
      Router(config)# interface gigabitethernet 0/0/0
      Router(config-if)# ip address 172.31.232.182 255.255.255.240
      Router(config-if)# ip nat outside
      Router(config-if)# ip vrf forwarding vrf1
      Router(config-if)# end 

      例:ダイナミック NAT での Match-in-VRF の設定

      次の例に、ダイナミック NAT マッピングに同じアドレス プールを設定する方法を示します。 match-in-vrf キーワードにより、同じ VRF 内の NAT 内部および外部トラフィックがイネーブルになります。

      Router# configure terminal
      Router(config)# ip nat inside source list 1 pool shared-pool vrf vrf1 match-in-vrf
      Router(config)# access-list 1 permit 192.168.34.0 0.0.0.255
      Router(config)# ip nat inside source list 1 pool shared-pool vrf vpn1
      Router(config)# interface gigabitethernet 0/0/1
      Router(config-if)# ip address 172.31.232.182 255.255.255.240
      Router(config-if)# ip nat inside
      Router(config-if)# ip vrf forwarding vpn1
      Router(config-if)# exit
      Router(config)# interface gigabitethernet 0/0/0
      Router(config-if)# ip address 172.31.232.182 255.255.255.240
      Router(config-if)# ip nat outside
      Router(config-if)# ip vrf forwarding vpn1
      Router(config-if)# end

      その他の関連資料

      関連資料

      関連項目

      マニュアル タイトル

      Cisco IOS コマンド

      『Cisco IOS Master Commands List, All Releases』

      NAT コマンド:コマンド構文、コマンド モード、コマンド履歴、使用に関する注意事項および例

      『Cisco IOS IP Addressing Services Command Reference』

      IP アクセス リストへのシーケンス番号づけ

      IP Access List Sequence Numbering』マニュアル

      NAT 設定作業

      「Configuring NAT for IP Address Conservation」モジュール

      NAT メンテナンス

      「Monitoring and Maintaining NAT」モジュール

      MPLS VPN での NAT の使用

      「Integrating NAT with MPLS VPNs」モジュール

      標準

      標準

      タイトル

      なし

      MIB

      MIB

      MIB のリンク

      • なし

      選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

      http:/​/​www.cisco.com/​go/​mibs

      RFC

      RFC

      タイトル

      RFC 903

      『Reverse Address Resolution Protocol』

      RFC 826

      『Ethernet Address Resolution Protocol: Or converting network protocol addresses to 48.bit Ethernet address for transmission on Ethernet hardware』

      RFC 1027

      『Using ARP to implement transparent subnet gateways』

      シスコのテクニカル サポート

      説明

      リンク

      シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

      http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

      NAT の Match-in-VRF サポートに関する機能情報

      次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

      プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

      表 1 NAT の Match-in-VRF サポートに関する機能情報

      機能名

      リリース

      機能情報

      NAT の Match-in-VRF サポート

      Cisco IOS XE Release 3.5S

      NAT の Match-in-VRF サポート機能では、同じ VPN 内の 2 つのホスト間で通信するパケットの NAT 変換をサポートします。