アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

IOS-XE で VRF 認識型ソフトウェア インフラストラクチャ(VASI)NAT を設定する

ダウンロード オプション

  • PDF     (341.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (141.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (128.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 2 月 4 日
Document ID:200255
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Cisco IOS-XE® を実行するルータでの VASI NAT の設定について説明します。

著者:Cisco TAC エンジニア、Rohit Nair

前提条件

要件

このドキュメントに関しては個別の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 このドキュメントは、Cisco IOS-XE ソフトウェアを実行するシスコ ルータおよびスイッチに適用されます。

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。



背景説明

IOS-XE で動作するデバイスは、IOS デバイスで使用されている従来の VRF 間 NAT 設定をサポートしません。 IOS-XE での VRF 間 NAT は、VASI の実装によってサポートされます。

VASI により、VRF インスタンス間をフローするトラフィックに IPsec、ファイアウォール、NAT などのサービスを設定できます。

VASI を実装するには、VASI のペアを設定し、そのペアのそれぞれのインスタンスを異なる VRF インスタンスに関連付けます。 VASI 仮想インターフェイスは、これら 2 つの VRF インスタンス間でスイッチングする必要があるすべてのパケットのネクスト ホップ インターフェイスになります。 ペアリングは、vasileft インターフェイスが自動的に vasiright インターフェイスとペアになるよう、2 つのインターフェイス インデックスに基づいて自動的に行われます。 vasileft インターフェイスに入るパケットはすべて、そのペアとなっている vasiright インターフェイスに自動的に転送されます。

VASI の動作

VRF 間 VASI を同じデバイスに設定する場合、パケット フローは以下の順で行われます。

  1. パケットが VRF 1 に属する物理インターフェイスに入ります。
  2. パケットを転送する前に、VRF 1 ルーティング テーブルで転送ルックアップが行われます。 Vasileft1 がネクスト ホップとして選択され、存続可能時間(TTL)の値がパケットから減算されます。 通常、転送先アドレスは VRF のデフォルト ルートに基づいて選択されます。 ただし、転送先アドレスをスタティック ルートや学習ルートにすることもできます。 パケットが vasileft1 の出力パスに送信されて、自動的に vasiright1 入力パスに送信されます。
  3. パケットが vasiright1 に入ると、VRF 2 ルーティング テーブルで転送ルックアップが行われ、TTL 値が再び減算されます(このパケットでの 2 回目の減算)。
  4. VRF 2 がパケットを物理インターフェイスに転送します。

設定

以下のシナリオで、基本的な VRF 間 NAT の設定を説明します。

ネットワーク図

  

初期設定

SanJose

interface GigabitEthernet0/0/0

 ip address 192.168.1.1 255.255.255.0


ip route 0.0.0.0 0.0.0.0 192.168.1.2

Bombay

vrf definition VRF_LEFT

 rd 1:1

 !

 address-family ipv4

 exit-address-family


vrf definition VRF_RIGHT

 rd 2:2

 !

 address-family ipv4

 exit-address-family


interface GigabitEthernet0/0/0

  vrf forwarding VRF_LEFT

  ip address 192.168.1.2 255.255.255.0


interface GigabitEthernet0/0/1

 vrf forwarding VRF_RIGHT

 ip address 172.16.1.2 255.255.255.0

Sydney

interface GigabitEthernet0/0/0

 ip address 172.16.1.1 255.255.255.0

VASI インターフェイスの設定

VASI インターフェイスごとに異なる VRF インスタンスがペアとして関連付けられます。

interface vasileft1

 vrf forwarding VRF_LEFT

 ip address 10.1.1.1 255.255.255.252


interface vasiright1

 vrf forwarding VRF_RIGHT

 ip address 10.1.1.2 255.255.255.252

NAT の設定

この例では、以下の要件に従って NAT を設定します。

1. スタティック NAT:送信元 IP 192.168.1.1 を 172.16.1.5 に変換する必要があります。

2. ダイナミック NAT:送信元サブネット 192.168.1.0/24 を 172.16.1.5 に変換する必要があります。 

シナリオ 1 - Vasiright での NAT

通常、WAN インターフェイスは発信 VRF(このトポロジでは VRF_RIGHT)にあります。 この場合、NAT を vasiright と WAN インターフェイスの間に設定できます。 vasileft から vasiright インターフェイスに入るトラフィックは内部で NAT として設定され、WAN インターフェイスが NAT 外部インターフェイスになります。

このシナリオでは、VRF 間のトラフィックにスタティック ルートを使用します。 宛先を 172.16.0.0 サブネットとするスタティック ルートを、vasileft インターフェイスをポイントする VRF_LEFT 上に設定し、送信先を 192.168.0.0 サブネットとする別のルートを、vasiright インターフェイスをポイントする VRF_RIGHT 上に設定します。

送信元 IP を WAN インターフェイス IP に変換するように NAT を設定しないでください。 そのように設定すると、ルータがトラフィックを自身を宛先とするトラフィックとして扱い、VASI インターフェイスに転送しません。

スタティック NAT 


!--- Interface configuration

interface vasiright1

 vrf forwarding VRF_RIGHT

 ip address 10.1.1.2 255.255.255.252

 ip nat inside


interface GigabitEthernet0/0/1

 vrf forwarding VRF_RIGHT

 ip address 172.16.1.2 255.255.255.0

 ip nat outside



!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2

ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1



!--- NAT configuration

ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_RIGHT

検証

Bombay#sh ip nat translations vrf VRF_RIGHT

Pro        Inside global     Inside local       Outside local    Outside global

---        172.16.1.5        192.168.1.1        ---              ---

icmp       172.16.1.5:8      192.168.1.1:8      172.16.1.1:8     172.16.1.1:8

tcp        172.16.1.5:47491  192.168.1.1:47491  172.16.1.1:23    172.16.1.1:23

Total number of translations: 3

ダイナミック NAT


!--- Interface configuration

interface vasiright1

 vrf forwarding VRF_RIGHT

 ip address 10.1.1.2 255.255.255.252

 ip nat inside


interface GigabitEthernet0/0/1

 vrf forwarding VRF_RIGHT

 ip address 172.16.1.2 255.255.255.0

 ip nat outside



!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2

ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1



!--- Access-list configuration

Extended IP access list 100

 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1

 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1

 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1



!--- NAT configuration

ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24

ip nat inside source list 100 pool POOL vrf VRF_RIGHT overload

検証: 

 
   
Bombay#sh ip nat translations
 
   

 
   
Pro      Inside global      Inside local         Outside local      Outside global
 
   

 
   
icmp     172.16.1.5:1       192.168.1.1:15       172.16.1.1:15      172.16.1.1:1
 
   

 
   
tcp      172.16.1.5:1024    192.168.1.1:58166    172.16.1.1:23      172.16.1.1:23
 
   

 
   
Total number of translations: 2
 
    
    
   
シナリオ 2 - Vasileft での NAT
 
   
vasileft 側だけで NAT を設定することもできます。つまり、VRF_LEFT でトラフィックに NAT を適用してから VRF_RIGHT に送信するという設定です。 VRF_LEFT の着信インターフェイスは NAT 内部インターフェイスと見なされ、vasileft 1 は NAT 外部インターフェイスとして設定されます。
 
   
このシナリオでは、VRF 間のトラフィックにスタティック ルートを使用します。 宛先を 172.16.0.0 サブネットとするスタティック ルートを、vasileft インターフェイスをポイントする VRF_LEFT 上に設定し、NAT 適用後の送信先を 172.16.1.5 サブネットとする別のルートを、vasiright をポイントする VRF_RIGHT 上に設定します。
 
   
スタティック NAT
 
   

!--- Interface configuration

interface GigabitEthernet0/0/0

 vrf forwarding VRF_LEFT

 ip address 192.168.1.2 255.255.255.0

 ip nat inside


interface vasileft1

 vrf forwarding VRF_LEFT

 ip address 10.1.1.1 255.255.255.252

 ip nat outside



!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2

ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1



!--- NAT configuration

ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_LEFT
 
      
   
検証
 
   
Bombay#sh ip nat translations vrf VRF_LEFT
 
   

 
   
Pro       Inside global        Inside local         Outside local      Outside global
 
   

 
   
---       172.16.1.5           192.168.1.1          ---                ---
 
   

 
   
icmp      172.16.1.5:5         192.168.1.1:5        172.16.1.1:5       172.16.1.1:5
 
   

 
   
tcp       172.16.1.5:35414     192.168.1.1:35414    172.16.1.1:23      172.16.1.1:23
 
   

 
   
Total number of translations: 3
 
    
   
ダイナミック NAT
 
   

!--- Interface configuration

interface GigabitEthernet0/0/0

 vrf forwarding VRF_LEFT

 ip address 192.168.1.2 255.255.255.0

 ip nat inside


interface vasileft1

 vrf forwarding VRF_LEFT

 ip address 10.1.1.1 255.255.255.252

 ip nat outside



!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2

ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1



!--- Access-list configuration

Extended IP access list 100

 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1

 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1

 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1



!--- NAT configuration

ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24

ip nat inside source list 100 pool POOL vrf VRF_LEFT overload
 
      
   
検証: 
 
   
Bombay#sh ip nat translations vrf VRF_LEFT
 
   

 
   
Pro      Inside global      Inside local        Outside local    Outside global
 
   

 
   
icmp     172.16.1.5:1       192.168.1.1:4       172.16.1.1:4     172.16.1.1:1
 
   

 
   
tcp      172.16.1.5:1024    192.168.1.1:27593   172.16.1.1:23    172.16.1.1:23
 
   

 
   
Total number of translations: 2 
 
    
    
   
検証
 
   
     
    
  1. 2 つの VRF インスタンス間のトラフィックをルーティングするようにダイナミック/スタティック ルートが設定されているかどうかを確認します。
    2.  
    
  2. NAT が正しい VRF に対して設定されているかどうかを確認します。
    3.  
   
 
    
   
トラブルシューティング
 
   
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
 
    
   
関連情報
 
    
  
 
 
 
  
  











	

    



    


   
        
            

     
        






























    

    
      

     
			
            





















    TAC Authored
    
    









            

                













  
      
シスコ エンジニア提供

  
  

  
    
    
  • Rohit Nair
    Cisco TAC エンジニア
    • 
    
    
  






            

        
            
            
















  
このドキュメントは役に立ちましたか?

  
    
    
  
  
      
    
      Feedbackフィードバック
  







            

                













  
    
  



            


            

                












    
シスコに問い合わせ

    







            


            
            





























    
   
    





            

                



















    
関連するシスコ コミュニティ ディスカッション

    
   


            


            

                



















    

	
  	


            


            

                













    

        

        
    

    


            


        
            

                


















        






            

        

    


    






    

    



     
    









    

        


        










 
















    


        

            シスコをフォロー

            
                
            

            
                
            

            
                
            

            
                
            

        


        

            News Roomイベントブログコミュニティ
        


    
















  

    
シスコについて 
      
    

    
お問い合わせ 
      
    

    
採用情報