IP アドレッシング:NAT コンフィギュレーション ガイド、Cisco IOS XE Release 3S(ASR 1000)
ハイ アベイラビリティ用 NAT の設定
ハイ アベイラビリティ用 NAT の設定
発行日;2013/07/22   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ハイ アベイラビリティ用 NAT の設定

このモジュールでは、要求が高まりつつある強い復元力を持つ IP ネットワークをサポートするネットワーク アドレス変換(NAT)を設定するための手順について説明します。 このネットワーク復元力は、NAT 境界でのリンクやルータの障害に影響を受けることなくアプリケーションを接続し続けることが求められる状況で必要です。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

ハイ アベイラビリティ用 NAT 設定の前提条件

  • このモジュールの作業を実行する前に、「IP アドレス節約のための NAT 設定」モジュールで説明されている概念をよく理解しておく必要があります。
  • このモジュールの作業で使用する必要があるアクセス リストはすべて、NAT の設定作業を始める前に設定しておく必要があります。 アクセス リストの設定方法については、『IP Access List Sequence Numbering』マニュアルを参照してください。

(注)  


NAT コマンドで使用するアクセス リストが指定されている場合、NAT は一般によく使用される permit ip any any コマンドを、このアクセス リストではサポートしません。


ハイ アベイラビリティ用 NAT の制限事項

  • シスコは Cisco IOS SNAT の販売終了およびサポート終了を発表しました。 詳細については、『End-of-Sale and End-of-Life Announcement for the Cisco IOS Stateful Failover of Network Address Translation (SNAT)』マニュアルを参照してください。
  • アドレス解決プロトコル(ARP)クエリーには、常にホットスタンバイ ルーティング プロトコル(HSRP)のアクティブ ルータが応答します。 アクティブな HSRP ルータが失敗した場合、アップストリーム デバイスは新しい HSRP アクティブ ルータを指し、(もう利用できない可能性のある)元のアクティブ ルータを指す ARP エントリは持ちません。

ハイ アベイラビリティ用 NAT の設定について

ステートフル NAT

ステートフル NAT(SNAT)で、ダイナミックにマップされた NAT セッションを継続してサービスすることができます。 スタティックに定義されたセッションが冗長性の恩恵を受けるのに SNAT は必要ありません。 SNAT がない場合、ダイナミック NAT マッピングを使用するセッションは、重大な障害が発生した場合に深刻な影響を受け、再確立する必要があります。

SNAT は、ペイロード変換を行う必要のないプロトコルで使用することができます。

Outside-to-Inside 非対称 ALG の NAT ステートフル フェールオーバー サポート

非対称の外部から内部およびアプリケーション層ゲートウェイ(ALG)サポート用 NAT ステートフル フェールオーバーで、外部から内部の複数のルーティング パスを許可し、パケットごとのロード バランシングを改善することで非対称パスの処理能力を改善します。 この機能はまた、Voice over IP、FTP、ドメイン ネーム システム(DNS)アプリケーションといった、埋め込み IP アドレッシングを含むトラフィックとのシームレスなフェールオーバー変換 IP セッションを可能にします。

HSRP との相互作用

SNAT は、ホット スタンバイ ルーティング プロトコル(HSRP)で動作し、冗長性を持たせるように設定することができます。 アクティブおよびスタンバイ ステートの変更は、HSRP により管理されます。

SNAT は、特定のデータグラムを転送する作業に、さらにグローバルなコンテキストを適用します。 転送と並行して、アプリケーションのステートを理解することが考慮されます。 デバイスは、潜在的な失敗を避けるために、フローおよびデータを送信しているアプリケーションへの影響が少ないアクションを行うことができます。 ステートフルなコンテキストを共有する複数の NAT ルータは連携して動作することができ、サービスの可用性を高めることができます。

変換グループ

2 つ以上のネットワーク アドレス トランスレータは、変換グループとして機能します。 グループ メンバーの 1 つは、IP アドレス情報の変換を必要とするトラフィックを処理します。 トランスレータは、アクティブなフローが発生するとバックアップ用トランスレータに通知します。 バックアップ用トランスレータは、アクティブなトランスレータからの情報を利用して重複した変換テーブル エントリを準備することができ、重大な障害でアクティブなトランスレータが妨害された場合、トラフィックは迅速にバックアップ用トランスレータに切り替えられます。 変換のステートが先に定義されていたのと同じネットワーク アドレス変換が使用されるため、トラフィックのフローは継続します。

ARP でのアドレス解決

IP のデバイスは、ローカル アドレス(ローカル セグメントまたは LAN のデバイスを一意に識別)とネットワーク アドレス(デバイスが属するネットワークを識別)の両方を持つことができます。 ローカル アドレスは、より正確にはデータリンク アドレスとして知られています。その理由は、ローカル アドレスはパケット ヘッダーのデータリンク層(OSI モデルの第 2 層)の部分にあり、データリンク デバイス(ブリッジやすべてのデバイス インターフェイスなど)によって読み取られるからです。 ローカル アドレスが MAC アドレスと呼ばれるのは、データリンク層の MAC サブレイヤがそのレイヤのアドレスを処理するからです。

イーサネット上のデバイスと通信するために、たとえば Cisco IOS ソフトウェアは、まずそのデバイスの 48 ビット MAC、つまりローカル データリンク アドレスを決定する必要があります。 IP アドレスからローカル データリンク アドレスを決定する処理は、アドレス解決と呼ばれています。 ローカル データリンク アドレスから IP アドレスを決定する処理は、逆アドレス解決と呼ばれています。

このソフトウェアは、アドレス解決のフォームとして、アドレス解決プロトコル(ARP)、プロキシ ARP、プローブ(ARP に類似)の 3 種類を使用します。 このソフトウェアは、逆アドレス解決プロトコル(RARP)も使用しています。 ARP、プロキシ ARP、RARP はそれぞれ、RFC 826、1027、903 で定義されています。 プローブは、Hewlett-Packard Company(HP)が IEEE-802.3 ネットワークで使用するために開発したプロトコルです。

ARP は、IP アドレスをメディアや MAC アドレスに関連付けるために使用されます。 ARP は IP アドレスを入力とし、関連するメディアのアドレスを決定します。 メディアまたは MAC アドレスが決定すると、IP アドレスまたはメディア アドレスの関連付けは、すぐ取得できるように ARP のキャッシュに保管されます。 その後、IP データグラムがリンク層フレームにカプセル化され、ネットワークを通じて送信されます。 イーサネット以外の IEEE 802 ネットワークにおける IP データグラムのカプセル化および ARP 要求/応答については、サブネットワーク アクセス プロトコル(SNAP)で規定されています。

非対称の外部から内部サポート用ステートフル フェールオーバー

非対称の外部から内部サポート用ステートフル フェールオーバーにより、2 つの NAT ルータがプライマリおよびバックアップ計画に参加することができます。 ルータの 1 つはプライマリ NAT ルータに選ばれ、2 つ目のルータはバックアップ ルータとして動作します。 トラフィックがプライマリ NAT ルータでアクティブに変換されているとき、プライマリ NAT ルータは、NAT 変換テーブル エントリからの NAT 変換ステートでバックアップ NAT ルータを更新します。 プライマリ NAT ルータが失敗するか、休止した場合、バックアップ NAT ルータが自動的に引き継ぎます。 プライマリ ルータが復帰するとサービスを引き継ぎ、バックアップ NAT ルータからの更新を要求します。 戻りのトラフィックはプライマリまたはバックアップいずれかの NAT トランスレータが処理し、NAT 変換の完全性は維持されます。

バックアップ NAT ルータが非対称な IP トラフィックを受信し、そのパケットの NAT を実行するとき、プライマリ NAT ルータを更新して、プライマリとバックアップ両方の NAT 変換テーブルが確実に同期し続けているようにします。

次の図に、非対称の外部から内部および ALG サポート用 NAT ステートフル フェールオーバー機能の一般的な設定を示します。

図 1. ステートフル NAT 非対称の外部から内部サポート

ALG 用ステートフル フェールオーバー

ステートフル フェールオーバーに組み込まれたアドレス指定拡張で、セカンダリまたはバックアップの NAT ルータは NAT と IP トラフィックの配信を適切に扱うことができます。 NAT は、NAT 機能を設定されているインターフェイスに入ってくる IP トラフィックすべてを検査します。 検査の内容は、着信トラフィックを一連の変換ルールと照合することで、一致していればアドレス変換を実行します。 次に例を示します。

  • 送信元アドレス範囲の照合
  • 特定の宛先アドレス範囲の照合
  • NAT に既知のアプリケーション リストと照合します。これらのアプリケーションは、コントロール プレーン ネゴシエーションやアプリケーション プロトコル内に埋め込まれた発信元 IP アドレスに特定の送信元ポートが必要な場合があります。

送信元ポートや IP アドレス情報を埋め込んだアプリケーションやプロトコルには、次のようなものがあります。

  • H.323 Registration, Admission, and Status(RAS)プロトコル
  • DNS クエリー
  • NetMeeting Internet Locator Server(ILS)
  • インターネット制御メッセージ プロトコル(ICMP)
  • シンプル メール転送プロトコル(SMTP)
  • ポイントツーポイント トンネリング プロトコル(PPTP)
  • ネットワーク ファイル システム(NFS)

Cisco IOS NAT がサポートする最新の ALG プロトコルの全リストについては、次を参照してください。

http://www.cisco.com/en/US/tech/tk648/tk361/tech_brief09186a00801af2b9.html

ハイ アベイラビリティ用 NAT の設定方法

NAT ステートフル フェールオーバーの設定

ネットワーク アドレス変換の NAT ステートフル フェールオーバー機能は、ステートフル フェールオーバー機能のフェーズ 1 です。 複数の Network Address Translator を変換グループとして動作させる機能のサポートが導入されました。 NAT を実行中のバックアップ ルータは、アクティブなトランスレータが失敗する障害がおこると、変換サービスを提供します。 HTTP や telnet のようにペイロード変換が不要なプロトコルは、ステートフル NAT(SNAT)でサポートされています。

ここでは、次の手順について説明します。

NAT ステートフル フェールオーバー設定の制約事項

次のアプリケーションとプロトコルは、フェーズ I でサポートされていません。

  • Application Level Gateway(ALG)
  • FTP
  • NetMeeting Directory(ILS)
  • RAS
  • SIP
  • Skinny
  • TFTP
  • 非対称ルーティング

SNAT 機能には下位互換性がありません。 SNAT 機能およびこれらの機能が導入されているリリースについては、「ハイ アベイラビリティ用 NAT の設定に関する機能情報」および「Scalability for Stateful NAT」を参照してください。

HSRP での SNAT の設定

ルータ バックアップ装置を用意するために HSRP を使用してステートフル NAT を設定するには、この作業を実行します。


(注)  


この作業は、アクティブおよびスタンバイ ルータの両方で実行する必要があります。


手順の概要

    1.    enable

    2.    configure terminal

    3.    interface type number

    4.    standby [group-name] ip[ip-address[secondary]]

    5.    exit

    6.    ip nat stateful id id-number {redundancy name mapping-id map-number}

    7.    ip nat pool name start-ip end-ip prefix-length prefix-length

    8.    ip nat inside source {route-map name pool pool-name mapping-id map-number} [overload]

    9.    exit

    10.    show ip snat distributed verbose


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Router> enable
     

    特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Router# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 interface type number


    例:
    Router(config)# interface ethernet 1/1 
     

    インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 4 standby [group-name] ip[ip-address[secondary]]


    例:
    Router(config-if)# standby SNATHSRP ip 10.1.1.1 
     

    HSRP ルーティング プロトコルをイネーブルにします。

     
    ステップ 5 exit


    例:
    Router(config-if)# exit
     

    グローバル コンフィギュレーション モードに戻ります。

     
    ステップ 6 ip nat stateful id id-number {redundancy name mapping-id map-number}


    例:
    Router(config)# ip nat stateful id 1 redundancy snathsrp mapping-id 10
     

    HSRP 用に設定されたルータで SNAT を指定します。

     
    ステップ 7 ip nat pool name start-ip end-ip prefix-length prefix-length


    例:
    Router(config)# ip nat pool snatpool1 10.1.1.1 10.1.1.9 prefix-length 24
     

    IP アドレスのプールを定義します。

     
    ステップ 8 ip nat inside source {route-map name pool pool-name mapping-id map-number} [overload]


    例:
    Router(config)# ip nat inside source route-map rm-101 pool snatpool1 mapping-id 10 overload
     

    HSRP 変換グループのステートフル NAT をイネーブルにします。

     
    ステップ 9 exit


    例:
    Router(config)# exit
     

    特権 EXEC モードに戻ります。

     
    ステップ 10 show ip snat distributed verbose


    例:
    Router# show ip snat distributed verbose
     

    (任意)アクティブなステートフル NAT 変換を表示します。

     

    プライマリ(アクティブ)ルータでの SNAT の設定

    ご使用のプライマリ SNAT ルータを手動で設定するには、この作業を実行します。 この作業の完了後、「バックアップ(スタンバイ)ルータの SNAT の設定」の手順を実行します。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-number

      4.    ip nat pool name start-ip end-ip prefix-length prefix-length

      5.    ip nat inside source route-map name pool pool-name mapping-id map-number [overload]

      6.    exit

      7.    show ip snat distributed verbose


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Router> enable
       

      特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Router# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-number


      例:
      Router(config)# ip nat stateful id 1 primary 10.10.10.10 peer 10.22.22.22 mapping-id 10
       

      プライマリ ルータのステートフル NAT を指定します。

       
      ステップ 4 ip nat pool name start-ip end-ip prefix-length prefix-length


      例:
      Router(config)# ip nat pool SNATPOOL1 10.1.1.1 10.1.1.9 prefix-length 24
       

      IP アドレスのプールを定義します。

       
      ステップ 5 ip nat inside source route-map name pool pool-name mapping-id map-number [overload]


      例:
      Router(config)# ip nat inside source route-map rm-101 pool snatpool1 mapping-id 10 overload
       

      HSRP 変換グループのステートフル NAT をイネーブルにします。

       
      ステップ 6 exit


      例:
      Router(config)# exit
       

      特権 EXEC モードに戻ります。

       
      ステップ 7 show ip snat distributed verbose


      例:
      Router# show ip snat distributed verbose
       

      (任意)アクティブなステートフル NAT 変換を表示します。

       

      バックアップ(スタンバイ)ルータの SNAT の設定

      ご使用のバックアップ(スタンバイ)SNAT ルータを手動で設定するには、この作業を実行します。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    ip nat stateful id id-number backup ip-address peer ip-address mapping-id map-number

        4.    ip nat pool name start-ip end-ip prefix-length prefix-length

        5.    ip nat inside source route-map name pool pool-name mapping-id map-number [overload]

        6.    exit

        7.    show ip snat distributed verbose


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Router> enable
         

        特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Router# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 ip nat stateful id id-number backup ip-address peer ip-address mapping-id map-number


        例:
        Router(config)# ip nat stateful id 1 backup 10.2.2.2 peer 10.10.10.10 mapping-id 10
         

        バックアップ ルータのステートフル NAT を指定します。

         
        ステップ 4 ip nat pool name start-ip end-ip prefix-length prefix-length


        例:
        Router(config)# ip nat pool SNATPOOL1 10.1.1.1 10.1.1.9 prefix-length 24
         

        IP アドレスのプールを定義します。

         
        ステップ 5 ip nat inside source route-map name pool pool-name mapping-id map-number [overload]


        例:
        Router(config)# ip nat inside source route-map rm-101 pool snatpool1 mapping-id 10 overload
         

        HSRP 変換グループのステートフル NAT をイネーブルにします。

         
        ステップ 6 exit


        例:
        Router(config)# exit
         

        特権 EXEC モードに戻ります。

         
        ステップ 7 show ip snat distributed verbose


        例:
        Router# show ip snat distributed verbose
         

        (任意)アクティブなステートフル NAT 変換を表示します。

         

        非対称の外部から内部および ALG サポート用 NAT ステートフル フェールオーバーの設定

        プライマリ NAT ルータが使用不可でない限り、ステートフル NAT フェーズ I には、NAT 変換エントリを制御したプライマリ NAT ルータを通過するセッションすべてが必要です。 この要件で、NAT セッション制御に関連するパケットで、プライマリが認識せずにバックアップが移動される可能性を排除し、変換情報の完全性を保証します。 同期した IP セッションがない場合、最終的に NAT は IP セッション エントリをタイム アウトし、その結果、シーケンスを外れた IP セッション ステートになります。

        ここでは、次の手順について説明します。

        非対称の外部から内部および ALG サポート用 NAT ステートフル フェールオーバー機能設定の前提条件

        各ルータのネットワーク アドレス変換(NAT)の設定は同一になっている必要があります。

        ステートフル フェールオーバーの非対称の外部から内部拡張には、次のような利点があります。

        • 外部から内部の複数のルーティング パスをサポートする機能
        • 外部から内部の非対称ルーティングのパケットごとのロード バランシングを処理する機能

        HSRP での SNAT の設定

        ご使用のホットスタンバイ ルータ プロトコル(HSRP)ルータをステートフル ネットワーク アドレス変換(SNAT)で設定するには、次のコマンドを使用します。

        手順の概要

          1.    enable

          2.    configure terminal

          3.    interface type number

          4.    standby [group-name] ip[ip-address[secondary]]

          5.    exit

          6.    ip nat stateful id ip-address redundancy group-name mapping-id map-id

          7.    ip nat pool name start-ip end-ip prefix-length prefix-length

          8.    ip nat inside source static route-map name pool pool-name mapping-id map-id [overload]

          9.    ip nat inside destination list number pool name mapping-id map-id

          10.    ip nat outside source static global-ip local-ip extendable mapping-id map-id

          11.    end


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Router> enable
           

          特権 EXEC モードをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure terminal


          例:
          Router# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 interface type number


          例:
          Router(config)# interface ethernet 1/1 
           

          インターフェイス コンフィギュレーション モードを開始します。

           
          ステップ 4 standby [group-name] ip[ip-address[secondary]]


          例:
          Router(config-if)# standby SNATHSRP ip 11.1.1.1 secondary
           

          HSRP ルーティング プロトコルをイネーブルにします。

           
          ステップ 5 exit


          例:
          Router(config-if)# exit
           

          グローバル コンフィギュレーション モードに戻ります。

           
          ステップ 6 ip nat stateful id ip-address redundancy group-name mapping-id map-id


          例:
          Router(config)# ip nat stateful id 1 redundancy snathsrp mapping-id 10
           

          HSRP 用に設定されたルータで SNAT を指定します。

           
          ステップ 7 ip nat pool name start-ip end-ip prefix-length prefix-length


          例:
          Router(config)# ip nat pool snatpool1 11.1.1.1 11.1.1.9 prefix-length 24
           

          IP アドレスのプールを定義します。

           
          ステップ 8 ip nat inside source static route-map name pool pool-name mapping-id map-id [overload]


          例:
          Router(config)# ip nat inside source static route-map rm-101 pool snatpool2 mapping-id 10 overload
           

          HSRP 変換グループのステートフル NAT をイネーブルにします。

           
          ステップ 9 ip nat inside destination list number pool name mapping-id map-id


          例:
          Router(config)# ip nat inside destination list 1 pool snatpool2 mapping-id 10
           

          ローカル SNAT ルータで、ローカルに作成されたエントリの特定のセットをピア SNAT ルータに配布できるようにします。

           
          ステップ 10 ip nat outside source static global-ip local-ip extendable mapping-id map-id


          例:
          Router(config)# ip nat outside source static 1.1.1.1 2.2.2.2 extendable mapping-id 10 
           

          HSRP 変換グループのステートフル NAT をイネーブルにします。

           
          ステップ 11 end


          例:
          Router(config)# end
           

          グローバル コンフィギュレーション モードを終了します。

          • 設定を保存し、コンフィギュレーション モードを終了するには、end コマンドを使用します。
           

          SNAT プライマリ バックアップの設定

          非対称の外部から内部および ALG サポート用 NAT ステートフル フェールオーバー機能をイネーブルにするには、次のコマンドを使用します。

          手順の概要

            1.    enable

            2.    configure terminal

            3.    ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-id

            4.    ip nat pool name start-ip end-ip prefix-length prefix-length

            5.    ip nat inside source static route-map name pool pool-name mapping-id map-id [overload]

            6.    ip nat inside destination list number pool name mapping-id map-id

            7.    ip nat outside source Static global-ip local-ip extendable mapping-id map-id

            8.    end


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Router> enable
             

            特権 EXEC モードをイネーブルにします。

            • パスワードを入力します(要求された場合)。
             
            ステップ 2 configure terminal


            例:
            Router# configure terminal
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 3 ip nat stateful id id-number primary ip-address peer ip-address mapping-id map-id


            例:
            Router(config)# ip nat stateful id 1 primary 1.1.1.1 peer 2.2.2.2 mapping-id 10
             

            プライマリ ルータのステートフル NAT を指定します。

             
            ステップ 4 ip nat pool name start-ip end-ip prefix-length prefix-length


            例:
            Router(config)# parser config cache interface
             

            IP アドレスのプールを定義します。

             
            ステップ 5 ip nat inside source static route-map name pool pool-name mapping-id map-id [overload]


            例:
            Router(config)# ip nat inside source static route-map rm-101 pool snatpool2 mapping-id 10 overload
             

            内部送信元アドレスのステートフル NAT で、ローカルに作成されたエントリの特定のセットをピア SNAT ルータに配布できるようにします。

             
            ステップ 6 ip nat inside destination list number pool name mapping-id map-id


            例:
            Router(config)# ip nat inside destination list 1 pool snatpool2 mapping-id 10 overload
             

            ローカル SNAT ルータが、ローカルに作成されたエントリをピア SNAT ルータに配布できるようにする内部宛先アドレスを定義します。

             
            ステップ 7 ip nat outside source Static global-ip local-ip extendable mapping-id map-id


            例:
            Router(config)# ip nat outside source static 1.1.1.1 2.2.2.2 extendable mapping-id 10 
             

            外部送信元アドレスのステートフル NAT で、ローカルに作成されたエントリの特定のセットをピア SNAT ルータに配布できるようにします。

             
            ステップ 8 end


            例:
            Router(config)# end
             

            グローバル コンフィギュレーション モードを終了します。

            • 設定を保存し、コンフィギュレーション モードを終了するには、end コマンドを使用します。
             

            HSRP 用 NAT スタティック マッピング サポートの設定

            NAT スタティック マッピングで設定され、ルータに所有されているアドレスに、アドレス解決プロトコル(ARP)のクエリーがトリガーされると、NAT は、ARP が指しているインターフェイス上のバーンドイン(焼き込まれた)MAC(BIA MAC)アドレスで応答します。 2 つのルータはそれぞれ、HSRP アクティブとスタンバイの役割を果たします。 ルータの NAT 内部インターフェイスがイネーブルになり、グループに属するように設定される必要があります。

            HSRP 用スタティック マッピング サポートを設定することの利点は次のとおりです。

            • HSRP 用スタティック マッピング サポートを使用することで、タイムアウトし、ハイ アベイラビリティ環境のアップストリーム ARP キャッシュを再入力する必要なしに、確実にフェールオーバーすることができます。ハイ アベイラビリティ環境では、HSRP ルータのペアには、冗長性のために同一の NAT 設定がされています。
            • HSRP のスタティック マッピングのサポートによって、HSRP がアクティブなルータだけが NAT アドレスにより設定されたルータの着信 ARP に応答する設定オプションが可能になりました。

            HSRP 用 NAT スタティック マッピング サポートを設定するには次の両方の作業が必要で、アクティブ ルータおよびスタンバイ ルータ両方に実行する必要があります。

            HSRP 用スタティック マッピング サポート設定の制限事項

            • HSRP が存在する場合に HSRP 用スタティック マッピング サポートを設定すると、スタティック マッピングの設定だけで NAT をサポートすることができます。
            • スタティック NAT マッピングは、2 つ以上の HSRP ルータに反映される必要があります。その理由は、HSRP グループ内で NAT を実行中のルータ間では、NAT のステートは交換されないからです。
            • 両方の HSRP ルータが同一のスタティック NAT を持つときの動作は予測不能で、ルータを同一の HSRP グループにリンクしている hsrp キーワードで設定されません。

            NAT インターフェイスの HSRP イネーブル化

            アクティブ ルータとスタンバイ ルータの両方の NAT インターフェイスで HSRP をイネーブルにするには、この作業を実行します。

            手順の概要

              1.    enable

              2.    configure terminal

              3.    interface type number

              4.    ip address ip-address mask

              5.    no ip redirects

              6.    ip nat {inside | outside}

              7.    standby [group-number] ip [ip-address [secondary]]

              8.    standby [group-number] name [group-name]

              9.    end

              10.    show standby

              11.    show ip nat translations [verbose]


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Router> enable
               

              特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

              • パスワードを入力します(要求された場合)。
               
              ステップ 2 configure terminal


              例:
              Router# configure terminal
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 3 interface type number


              例:
              Router(config)# interface ethernet 1/1 
               

              インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 4 ip address ip-address mask


              例:
              Router(config-if)# ip address 192.168.1.27 255.255.255.0 
               

              インターフェイスのプライマリ IP アドレスを設定します。

               
              ステップ 5 no ip redirects


              例:
              Router(config-if)# no ip redirects
               

              リダイレクト メッセージの送信をディセーブルにします。

               
              ステップ 6 ip nat {inside | outside}


              例:
              Router(config)# ip nat inside 
               

              インターフェイスに、内部または外部に接続されているとマークします。

               
              ステップ 7 standby [group-number] ip [ip-address [secondary]]


              例:
              Router(config-if)# standby 10 ip 192.168.5.30
               

              HSRP ルーティング プロトコルをイネーブルにします。

               
              ステップ 8 standby [group-number] name [group-name]


              例:
              Router(config-if)# standby 10 name HSRP1 
               

              HSRP グループ名を設定します。

               
              ステップ 9 end


              例:
              Router(config-if)# exit
               

              特権 EXEC モードに戻ります。

               
              ステップ 10 show standby


              例:
              Router# show standby
               

              (任意)HSRP の情報を表示します。

               
              ステップ 11 show ip nat translations [verbose]


              例:
              Router# show ip nat translations verbose
               

              (任意)アクティブな NAT 変換を表示します。

               
              次の作業

              次の項に進み、HSRP 環境でスタティック NAT をイネーブルにします。

              HSRP 環境でスタティック NAT をイネーブル化

              ハイ アベイラビリティのために HRSP のスタティック マッピング サポートをイネーブルにするには、アクティブ ルータとスタンバイ ルータの両方でこの作業を実行します。

              手順の概要

                1.    enable

                2.    configure terminal

                3.    ip nat inside source {list {access-list-number | access-list-name} pool pool-name} [overload] | static local-ip global-ip redundancy group-name}

                4.    ip nat outside source {list {access-list-number | access-list-name} pool pool-name} [overload] | static local-ip global-ip redundancy group-name}

                5.    exit

                6.    show ip nat translations [verbose]


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 enable


                例:
                Router> enable
                 

                特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

                • パスワードを入力します(要求された場合)。
                 
                ステップ 2 configure terminal


                例:
                Router# configure terminal
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 3 ip nat inside source {list {access-list-number | access-list-name} pool pool-name} [overload] | static local-ip global-ip redundancy group-name}


                例:
                Router(config)# ip nat inside source static 192.168.5.33 10.10.10.5 redundancy HSRP1
                 

                HSRP が NAT 内部インターフェイスに設定されている場合、BIA MAC を使用してルータが ARP クエリーに応答できるようにします。

                 
                ステップ 4 ip nat outside source {list {access-list-number | access-list-name} pool pool-name} [overload] | static local-ip global-ip redundancy group-name}


                例:
                Router(config)# ip nat outside source static 192.168.5.33 10.10.10.5 redundancy HSRP1
                 

                HSRP が NAT 外部インターフェイスに設定されている場合、BIA MAC を使用してルータが ARP クエリーに応答できるようにします。

                 
                ステップ 5 exit


                例:
                Router(config-if)# exit
                 

                特権 EXEC モードに戻ります。

                 
                ステップ 6 show ip nat translations [verbose]


                例:
                Router# show ip nat translations verbose
                 

                (任意)アクティブな NAT 変換を表示します。

                 

                ハイ アベイラビリティ用の NAT の設定例

                例:ステートフル NAT の設定

                次の例では、HSRP を使用したステートフル NAT の設定とステートフル NAT プライマリ ルータおよびバックアップ ルータの設定を示します。

                HSRP を使用した SNAT の例

                ip nat Stateful id 1
                redundancy SNATHSRP
                mapping-id 10
                ip nat pool SNATPOOL1 10.1.1.1 10.1.1.9 prefix-length 24
                ip nat inside source route-map rm-101 pool SNATPOOL1 mapping-id 10 overload
                ip classless
                ip route 10.1.1.0 255.255.255.0 Null0
                no ip http server
                ip pim bidir-enable

                SNAT プライマリおよびバックアップ設定の例

                ip nat Stateful id 1
                primary 10.88.194.17
                peer 10.88.194.18
                mapping-id 10
                !
                ip nat Stateful id 2
                backup 10.88.194.18
                peer 10.88.194.17
                mapping-id 10

                非対称の外部から内部および ALG サポート用 NAT ステートフル フェールオーバーの設定例

                ここでは、次の例を示します。

                例:HSRP での SNAT の設定

                次の例は、HSRP を使用した SNAT の設定方法です。

                ip nat Stateful id 1
                redundancy SNATHSRP
                mapping-id 10
                ip nat pool SNATPOOL1 11.1.1.1 11.1.1.9 prefix-length 24
                ip nat inside source route-map rm-101 pool SNATPOOL1 mapping-id 10 overload
                ip classless
                ip route 11.1.1.0 255.255.255.0 Null0
                no ip http server
                ip pim bidir-enable

                例:SNAT プライマリ バックアップの設定

                次の例では、プライマリおよびバックアップ ルータの SNAT の設定方法を示します。

                ip nat Stateful id 1
                primary 10.88.194.17
                peer 10.88.194.18
                mapping-id 10
                !
                ip nat Stateful id 2
                backup 10.88.194.18
                peer 10.88.194.17
                mapping-id 10

                例:HSRP 環境のスタティック NAT の設定

                次の例では、HSRP 環境でのスタティック設定を使用した NAT のサポートを示します。 2 つのルータは HSRP アクティブとスタンバイの役割を果たしており、NAT 内部インターフェイスは HSRP イネーブルで、HSRP1 グループに属するように設定されています。

                アクティブ ルータの設定

                interface BVI10 
                 ip address 192.168.5.54 255.255.255.255.0 
                 no ip redirects 
                 ip nat inside 
                 standby 10 priority 105 preempt 
                 standby 10 name HSRP1 
                 standby 10 ip 192.168.5.30 
                 standby 10 track Ethernet2/1 
                ! 
                ! 
                 ip default-gateway 10.0.18.126 
                 ip nat inside source static 192.168.5.33 10.10.10.5 redundancy HSRP1 
                 ip classless 
                 ip route 10.10.10.0 255.255.255.0 Ethernet2/1 
                 ip route 172.22.33.0 255.255.255.0 Ethernet2/1 
                 no ip http server 

                スタンバイ ルータの設定

                interface BVI10 
                 ip address 192.168.5.56 255.255.255.255.0 
                 no ip redirects 
                 ip nat inside 
                 standby 10 priority 100 preempt 
                 standby 10 name HSRP1 
                 standby 10 ip 192.168.5.30 
                 standby 10 track Ethernet3/1 
                ! 
                 ip default-gateway 10.0.18.126 
                 ip nat inside source static 192.168.5.33 3.3.3.5 redundancy HSRP1 
                 ip classless 
                 ip route 10.0.32.231 255.255.255 Ethernet3/1 
                 ip route 10.10.10.0 255.255.255.0 Ethernet3/1 
                 no ip http server 

                その他の関連資料

                関連資料

                関連項目

                マニュアル タイトル

                Cisco IOS コマンド

                『Cisco IOS Master Commands List, All Releases』

                NAT コマンド:コマンド構文、コマンド モード、コマンド履歴、使用に関する注意事項および例

                『Cisco IOS IP Addressing Services Command Reference』

                IP アクセス リストへのシーケンス番号づけ

                IP Access List Sequence Numbering』マニュアル

                NAT 設定作業

                「Configuring NAT for IP Address Conservation」モジュール

                NAT メンテナンス

                「Monitoring and Maintaining NAT」モジュール

                MPLS VPN での NAT の使用

                「Integrating NAT with MPLS VPNs」モジュール

                標準

                標準

                タイトル

                なし

                MIB

                MIB

                MIB のリンク

                • なし

                選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

                http:/​/​www.cisco.com/​go/​mibs

                RFC

                RFC

                タイトル

                RFC 903

                『Reverse Address Resolution Protocol』

                RFC 826

                『Ethernet Address Resolution Protocol: Or converting network protocol addresses to 48.bit Ethernet address for transmission on Ethernet hardware』

                RFC 1027

                『Using ARP to implement transparent subnet gateways』

                シスコのテクニカル サポート

                説明

                リンク

                シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

                http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

                ハイ アベイラビリティ用 NAT の設定に関する機能情報

                次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

                プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

                表 1 ハイ アベイラビリティ用 NAT の設定に関する機能情報

                機能名

                リリース

                機能の設定情報

                Outside-to-Inside 非対称 ALG の NAT ステートフル フェールオーバー サポート

                12.3(7)T

                Outside-to-Inside 非対称アプリケーション層ゲートウェイ(ALG)の NAT ステートフル フェールオーバー機能のサポートは、複数の外部から内部へのルーティング パスと、パケットごとのロード バランシングを可能にすることで、非対称経路の扱いを向上させるものです。 この機能はまた、Voice over IP、FTP、ドメイン ネーム システム(DNS)アプリケーションといった、埋め込み IP アドレッシングを含むトラフィックとのシームレスなフェールオーバー変換 IP セッションを可能にします。

                ネットワーク アドレス変換の NAT ステートフル フェールオーバー

                12.2(13)T

                ネットワーク アドレス変換の NAT ステートフル フェールオーバー機能は、ステートフル フェールオーバー機能のフェーズ 1 です。 複数の Network Address Translator を変換グループとして動作させる機能のサポートが導入されました。

                ハイ アベイラビリティ向けの HSRP を使用した NAT スタティック マッピングのサポート

                12.2(4)T 12.2(4)T2 Cisco IOS XE Release 2.1

                HSRP のスタティック マッピングのサポートによって、HSRP がアクティブなルータだけが NAT アドレスにより設定されたルータの着信 ARP に応答する設定オプションが可能になりました。