IP アドレッシング:NAT コンフィギュレーション ガイド、Cisco IOS XE Release 3S(ASR 1000)
MPLS VPN と NAT の統合
MPLS VPN と NAT の統合
発行日;2013/07/22   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

MPLS VPN と NAT の統合

MPLS VPN とのネットワーク アドレス変換(NAT)統合機能により、複数のマルチプロトコル ラベル スイッチング(MPLS)バーチャル プライベート ネットワーク(VPN)を単一デバイスに設定して、連動するようにできます。 MPLS VPN がすべて同じ IP アドレッシング スキームを使用していたとしても、NAT は、どの MPLS VPN から IP トラフィックを受信するのかを区別できます。 この拡張により、複数の MPLS VPN の顧客がサービスを共有しながら、各 MPLS VPN が互いに完全に分離していることが保証されます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

MPLS VPN と NAT 統合の前提条件

  • このモジュールの作業を実行する前に、「IP アドレス節約のための NAT 設定」モジュールで説明されている概念をよく理解しておく必要があります。
  • このモジュールの作業で使用する必要のあるアクセス リストはすべて、設定作業を開始する前に設定しておく必要があります。 アクセス リストの設定方法については、次の URL にある『IP Access List Sequence Numbering』マニュアルを参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122s/122snwft/release/122s14/fsaclseq.htm


(注)  


NAT コマンドで使用するアクセス リストが指定されている場合、NAT は一般によく使用される permit ip any any コマンドを、このアクセス リストではサポートしません。


MPLS VPN と NAT 統合の制約事項

内部 VPN 間と NAT との統合はサポートされていません。

MPLS VPN と NAT の統合について

NAT と MPLS VPN との統合の利点

MPLS サービス プロバイダーは、インターネット接続、ドメイン ネーム サーバ(DNS)、および Voice over IP(VoIP)サービスなどの付加価値サービスを顧客に提供します。 プロバイダーでは、顧客がサービスに到達する際に顧客同士の IP アドレスが異なっていることを求めます。 MPLS VPN では、ネットワーク内で重複する IP アドレスを使用できるため、サービスを使用できるように NAT を実装する必要があります。

NAT と MPLS VPN との統合に関する実装オプション

MPLS VPN ネットワークで NAT を実装するには 2 つのアプローチがあります。 NAT は、すでに NAT でサポートされているカスタマー エッジ(CE)ルータに実装するか、プロバイダー エッジ(PE)ルータに実装できます。 NAT と MPLS VPN の統合機能によって、MPLS クラウド内の PE ルータ上に NAT を実装できます。

PE ルータ上での NAT 統合のシナリオ

次のシナリオで、PE ルータ上で NAT を統合できます。

  • サービス ポイント:共有アクセスは、汎用インターフェイスまたは VPN インターフェイスから行えます。
  • NAT ポイント:NAT は、共有アクセス ゲートウェイに直接接続された PE ルータ、または共有アクセス ゲートウェイに直接接続されていない PE ルータに設定できます。
  • NAT インターフェイス:共有アクセス ゲートウェイ インターフェイスは通常、NAT の外部インターフェイスとして設定されます。 NAT の内部インターフェイスには、VPN の PE-CE インターフェイス、MPLS バックボーンへのインターフェイス、またはその両方のいずれかです。 共有アクセス ゲートウェイ インターフェイスは、内部インターフェイスとして設定することもできます。
  • ルーティング タイプ:コモン サービスは、インターネット接続または共通サーバとすることができます。 インターネット接続に対して、デフォルト ルートがサービスを使用するすべての VPN カスタマーに伝播されます。 共通サーバ アクセスに対して、スタティックまたはダイナミックに学習されるルートが VPN カスタマーに伝播されます。
  • NAT 設定:NAT は異なる設定(スタティック、ダイナミック、プール/インターフェイス オーバーロード、ルート マップ)を持つことができます。

以下の図に、MPLS VPN との典型的な NAT 統合を示します。 インターネットおよび集中型メール サービスに接続された PE ルータが、アドレス変換を実行するために使用されます。

図 1. MPLS VPN との典型的な NAT 統合

NAT と MPLS VPN との統合方法

ネットワークを設定する変換のタイプに応じて次の 1 つ以上の作業を実行します。

MPLS VPN を使用した内部ダイナミック NAT の設定

この作業を実行して、MPLS VPN と統合するためのダイナミック変換を行う NAT PE ルータを設定します。

手順の概要

    1.    enable

    2.    configure terminal

    3.    ip nat pool name start-ip end-ip netmask netmask

    4.    ip nat [inside | outside] source [list {access-list-number | access-list-name} | route-map name] [interface type number | pool pool-name] vrf vrf-name[overload]

    5.    設定する各 VPN に対してステップ 4 を繰り返します。

    6.    ip route vrf vrf-name prefix mask interface-type interface-number next-hop-address

    7.    設定する各 VPN に対してステップ 6 を繰り返します。

    8.    exit

    9.    show ip nat translations vrf vrf-name


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Router> enable
     

    特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Router# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 ip nat pool name start-ip end-ip netmask netmask


    例:
    Router(config)# ip nat pool inside 2.2.2.10 2.2.2.10 netmask 255.255.255.0
     

    NAT で使用される IP アドレス プールを定義します。

     
    ステップ 4 ip nat [inside | outside] source [list {access-list-number | access-list-name} | route-map name] [interface type number | pool pool-name] vrf vrf-name[overload]


    例:
    Router(config)# ip nat inside source list 1 pool mypool vrf shop overload
     

    特定の VPN に NAT を設定できるようにします。

     
    ステップ 5 設定する各 VPN に対してステップ 4 を繰り返します。 

    --

     
    ステップ 6 ip route vrf vrf-name prefix mask interface-type interface-number next-hop-address


    例:
    Router(config)# 
    ip route vrf shop 0.0.0.0 0.0.0.0 ethernet 0 168.58.88.2
    
     

    特定の VPN に NAT を設定できるようにします。

     
    ステップ 7 設定する各 VPN に対してステップ 6 を繰り返します。 

    --

     
    ステップ 8 exit


    例:
    Router(config)# exit
     

    特権 EXEC モードに戻ります。

     
    ステップ 9 show ip nat translations vrf vrf-name


    例:
    Router# show ip nat translations vrf shop
     

    (任意)仮想ルーティング/転送(VRF)テーブル変換で使用される設定を表示します。

     

    MPLS VPN を使用した内部スタティック NAT の設定

    この作業を実行して、MPLS VPN と統合するためにスタティック変換を行う NAT PE ルータを設定します。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    ip nat inside source {static {esp local-ip interface type number | local-ip global-ip}} [extendable | mapping-id map-id| no-alias | no-payload | redundancy group-name | route-map | vrf name]

      4.    設定する各 VPN に対してステップ 3 を繰り返します。

      5.    ip route vrf vrf-name prefix prefix mask next-hop-address global

      6.    設定する各 VPN に対してステップ 5 を繰り返します。

      7.    exit

      8.    show ip nat translations vrf vrf-name


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Router> enable
       

      特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 configure terminal


      例:
      Router# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 ip nat inside source {static {esp local-ip interface type number | local-ip global-ip}} [extendable | mapping-id map-id| no-alias | no-payload | redundancy group-name | route-map | vrf name]


      例:
      Router(config)# 
      ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop 
      
       

      VRF で内部スタティック変換をイネーブルにします。

       
      ステップ 4 設定する各 VPN に対してステップ 3 を繰り返します。 

      --

       
      ステップ 5 ip route vrf vrf-name prefix prefix mask next-hop-address global


      例:
      Router(config)# 
      ip route vrf shop 0.0.0.0 0.0.0.0 168.58.88.2 global
      
       

      複数のカスタマーでルートを共有できるようになります。

       
      ステップ 6 設定する各 VPN に対してステップ 5 を繰り返します。 

      --

       
      ステップ 7 exit


      例:
      Router(config)# exit
       

      特権 EXEC モードに戻ります。

       
      ステップ 8 show ip nat translations vrf vrf-name


      例:
      Router# show ip nat translations vrf shop
       

      (任意)VRF 変換に使用される設定を表示します。

       

      MPLS VPN との外部ダイナミック NAT 設定

      この手順を実行して、MPLS VPN と統合するためのダイナミック外部変換を行う NAT PE ルータを設定します。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    ip nat pool outside global-ip local-ip netmask netmask

        4.    ip nat inside source static local-ip global-ip vrf vrf-name

        5.    設定する各 VRF に対してステップ 4 を繰り返します。

        6.    ip nat outside source static global-ip local-ip vrf vrf-name

        7.    exit

        8.    show ip nat translations vrf vrf-name


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Router> enable
         

        特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Router# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 ip nat pool outside global-ip local-ip netmask netmask


        例:
        Router(config)# 
        ip nat pool outside 4.4.4.1 4.4.4.254 netmask 255.255.255.00
        
         

        設定済みの VRF を NAT 変換ルールと関連付けることができるようにします。

         
        ステップ 4 ip nat inside source static local-ip global-ip vrf vrf-name


        例:
        Router(config)# 
        ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop
        
         

        複数のカスタマーでルートを共有できるようになります。

         
        ステップ 5 設定する各 VRF に対してステップ 4 を繰り返します。 

        複数のカスタマーでルートを共有できるようになります。

         
        ステップ 6 ip nat outside source static global-ip local-ip vrf vrf-name


        例:
        Router(config)# 
        ip nat outside source static 168.58.88.2 4.4.4.1 vrf shop
        
         

        外部送信元アドレスの NAT 変換をイネーブルにします。

         
        ステップ 7 exit


        例:
        Router(config)# exit
         

        特権 EXEC モードに戻ります。

         
        ステップ 8 show ip nat translations vrf vrf-name


        例:
        Router# show ip nat translations vrf shop
         

        (任意)VRF 変換に使用される設定を表示します。

         

        MPLS VPN との外部スタティック NAT 設定

        この作業を実行して、MPLS VPN と統合するためにスタティック外部変換を行う NAT PE ルータを設定します。

        手順の概要

          1.    enable

          2.    configure {terminal | memory | network}

          3.    ip nat pool inside global-ip local-ip netmask netmask

          4.    設定するプールごとにステップ 3 を繰り返します。

          5.    ip nat inside source list access-list-number pool pool-name vrf vrf-name

          6.    設定するプールごとにステップ 5 を繰り返します。

          7.    ip nat outside source static global-ip local-ip vrf vrf-name

          8.    設定するすべての VPN に対してステップ 7 を繰り返します。

          9.    exit

          10.    show ip nat translations vrf vrf-name


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Router> enable
           

          特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

          • パスワードを入力します(要求された場合)。
           
          ステップ 2 configure {terminal | memory | network}


          例:
          Router# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3 ip nat pool inside global-ip local-ip netmask netmask


          例:
          Router(config)# ip nat pool inside1 2.2.1.1 2.2.1.254 netmask 255.255.255.0
           

          設定済みの VRF を NAT 変換ルールと関連付けることができるようにします。

           
          ステップ 4 設定するプールごとにステップ 3 を繰り返します。 

          --

           
          ステップ 5 ip nat inside source list access-list-number pool pool-name vrf vrf-name


          例:
          Router(config)# 
          ip nat inside source list 1 pool inside2 vrf shop
          
           

          複数のカスタマーでルートを共有できるようになります。

           
          ステップ 6 設定するプールごとにステップ 5 を繰り返します。 

          アクセス リストを定義します。

           
          ステップ 7 ip nat outside source static global-ip local-ip vrf vrf-name


          例:
          Router(config)# 
          ip nat outside source static 168.58.88.2 4.4.4.1 vrf shop
          
           

          複数のカスタマーでルートを共有できるようになります。

           
          ステップ 8 設定するすべての VPN に対してステップ 7 を繰り返します。 

          --

           
          ステップ 9 exit


          例:
          Router(config)# exit
           

          特権 EXEC モードに戻ります。

           
          ステップ 10 show ip nat translations vrf vrf-name


          例:
          Router# show ip nat translations vrf shop
           

          (任意)VRF 変換に使用される設定を表示します。

           

          MPLS VPN と NAT 統合の設定例

          MPLS VPN との内部ダイナミック NAT の設定例

          次に、MPLS VPN との内部ダイナミック NAT の設定例を示します。

          !
          ip nat pool inside 2.2.2.10 2.2.2.10 netmask 255.255.255.0
          ip nat inside source list 1 pool inside vrf bank overload
          ip nat inside source list 1 pool inside vrf park overload
          ip nat inside source list 1 pool inside vrf shop overload
          !
          ip route vrf shop 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2
          ip route vrf bank 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2
          ip route vrf park 0.0.0.0 0.0.0.0 Ethernet1/3 168.58.88.2
          !
          access-list 1 permit 192.168.0.0 0.0.255.255

          MPLS VPN との内部スタティック NAT の設定例

          次に、MPLS VPN との内部スタティック NAT の設定例を示します。

          !
          ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop
          ip nat inside source static 192.168.122.49 2.2.2.2 vrf shop
          ip nat inside source static 192.168.121.113 2.2.2.3 vrf bank
          ip nat inside source static 192.168.22.49 2.2.2.4 vrf bank
          ip nat inside source static 192.168.121.113 2.2.2.5 vrf park
          ip nat inside source static 192.168.22.49 2.2.2.6 vrf park
          ip nat inside source static 192.168.11.1 2.2.2.11 vrf shop
          ip nat inside source static 192.168.11.3 2.2.2.12 vrf shop
          ip nat inside source static 140.48.5.20 2.2.2.13 vrf shop
          !
          ip route 2.2.2.1 255.255.255.255 Ethernet1/0 192.168.121.113
          ip route 2.2.2.2 255.255.255.255 Ethernet1/0 192.168.121.113
          ip route 2.2.2.3 255.255.255.255 Serial2/1.1 192.168.121.113
          ip route 2.2.2.4 255.255.255.255 Serial2/1.1 192.168.121.113
          ip route 2.2.2.5 255.255.255.255 FastEthernet0/0 192.168.121.113
          ip route 2.2.2.6 255.255.255.255 FastEthernet0/0 192.168.121.113
          ip route 2.2.2.11 255.255.255.255 Ethernet1/0 192.168.121.113
          ip route 2.2.2.12 255.255.255.255 Ethernet1/0 192.168.121.113
          ip route 2.2.2.13 255.255.255.255 Ethernet1/0 192.168.121.113

          MPLS VPN との外部ダイナミック NAT の設定例

          次に、MPLS VPN との外部ダイナミック NAT の設定例を示します。

          !
          ip nat pool outside 4.4.4.1 4.4.4.254 netmask 255.255.255.0
          ip nat inside source static 192.168.121.113 2.2.2.1 vrf shop
          ip nat inside source static 192.168.122.49 2.2.2.2 vrf shop
          ip nat inside source static 192.168.121.113 2.2.2.3 vrf bank
          ip nat inside source static 192.168.22.49 2.2.2.4 vrf bank
          ip nat inside source static 192.168.121.113 2.2.2.5 vrf park
          ip nat inside source static 192.168.22.49 2.2.2.6 vrf park
          ip nat outside source list 1 pool outside
          !

          MPLS VPN との外部スタティック NAT の設定例

          次に、MPLS VPN との外部スタティック NAT の設定例を示します。

          !
          ip default-gateway 10.1.15.1
          ip nat pool inside1 2.2.1.1 2.2.1.254 netmask 255.255.255.0
          ip nat pool inside2 2.2.2.1 2.2.2.254 netmask 255.255.255.0
          ip nat pool inside3 2.2.3.1 2.2.3.254 netmask 255.255.255.0
          ip nat inside source list 1 pool inside2 vrf bank
          ip nat inside source list 1 pool inside3 vrf park
          ip nat inside source list 1 pool inside1 vrf shop
          ip nat outside source static 168.58.88.2 4.4.4.1 vrf bank
          ip nat outside source static 18.68.58.1 4.4.4.2 vrf park
          ip nat outside source static 168.58.88.1 4.4.4.3 vrf shop
          ip classless
          ip route 192.170.10.0 255.255.255.0 Ethernet1/0 192.168.121.113
          ip route 192.170.11.0 255.255.255.0 Serial2/1.1 192.168.121.113
          ip route 192.170.12.0 255.255.255.0 FastEthernet0/0 192.168.121.113
          ip route vrf shop 0.0.0.0 0.0.0.0 168.58.88.2 global
          ip route vrf bank 0.0.0.0 0.0.0.0 168.58.88.2 global
          ip route vrf park 0.0.0.0 0.0.0.0 168.58.88.2 global
          no ip http server
          !
          access-list 1 permit 192.168.0.0 0.0.255.255

          次の作業

          • ネットワーク アドレス変換の詳細と IP アドレス節約のための NAT の設定については、「IP アドレス節約のための NAT 設定」モジュールを参照してください。
          • NAT を確認、モニタ、およびメンテナンスするには、「NAT のモニタリングおよびメンテナンス」モジュールを参照してください。
          • アプリケーション レベル ゲートウェイで NAT を使用するには、「アプリケーション レベル ゲートウェイでの NAT の使用」モジュールを参照してください。
          • ハイ アベイラビリティを得るための NAT の設定については、「ハイ アベイラビリティ用 NAT の設定」モジュールを参照してください。

          MPLS VPN との NAT の統合に関するその他の関連資料

          関連資料

          関連項目

          マニュアル タイトル

          IOS コマンド

          『Cisco IOS Master Command List』

          NAT コマンド

          『Cisco IOS IP Addressing Services Command Reference』

          標準および RFC

          標準および RFC

          タイトル

          RFC 2547

          『BGP/MPLS VPNs』

          シスコのテクニカル サポート

          説明

          リンク

          シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

          http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

          MPLS VPN と NAT の統合に関する機能情報

          次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

          プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

          表 1 MPLS VPN と NAT の統合に関する機能情報

          機能名

          リリース

          機能の設定情報

          MPLS VPN と NAT の統合

          12.1(13)T

          15.1(1)SY

          MPLS VPN と NAT の統合機能を使用すると、1 つのデバイスで、複数のマルチプロトコル ラベル スイッチング(MPLS)VPN がともに動作するように設定できます。