ネットワークアドレス変換(NAT)に関するFAQ

はじめに

このドキュメントでは、ネットワークアドレス変換（NAT）に関してよく寄せられる質問について説明します。

NAT 全般

Q. NAT とは何ですか。

A. ネットワークアドレス変換（NAT）は、IP アドレスの節約を目的として設計されています。未登録の IP アドレスを使用するプライベート IP ネットワークからインターネットに接続できるようになります。NAT は通常、2 つのネットワークを接続するルータ上で動作し、パケットが別のネットワークに転送される前に、内部ネットワークのプライベート（グローバルに一意ではない）アドレスを正規のアドレスに変換します。

この機能の一部として、ネットワーク全体に対して 1 つのアドレスだけを外部にアドバタイズするように NAT を設定できます。これにより、セキュリティを強化し、そのアドレスの背後にある内部ネットワーク全体を効果的に隠すことができます。NAT ではセキュリティとアドレス節約という二重の機能が提供され、一般的にリモート アクセス環境で実装されます。

Q. NAT はどのように機能しますか。

A. ルータなどの単一のデバイスを、インターネット（またはパブリックネットワーク）とローカルネットワーク（またはプライベートネットワーク）を仲介するエージェントとして機能させるのが、NAT の基本的な仕組みです。これにより、そのデバイスが属するネットワークの外部に対しては、一意の IP アドレス 1 つでコンピュータのグループ全体を表せます。

Q. NAT の設定方法を教えてください。

A. 従来の NAT を構成するには、ルータ上に最低でも 1 つのインターフェイス（NAT 外部）を作成し、さらにそれとは別のインターフェイス（NAT 内部）を作成した上で、パケットヘッダー（および必要に応じてペイロード）の IP アドレスを変換するためのルールセットを設定する必要があります。Nat Virtual Interface（NVI）を設定するには、NAT に対応したインターフェイスが少なくとも 1 つ必要です。また、前の説明と同じように、一連のルールを設定する必要があります。

詳細については、『Cisco IOS® IPアドレッシングサービス設定ガイド』または『NAT仮想インターフェイスの設定』を参照してください。

Q. Cisco IOSソフトウェアとCisco PIXセキュリティアプライアンスでのNATの実装の主な違いは何ですか。

A. Cisco IOS ソフトウェアベースの NAT と、Cisco PIX セキュリティアプライアンスの NAT 機能には、基本的に違いはありません。主な相違点としては、それぞれの実装でサポートされているトラフィック タイプが異なります。Cisco PIX デバイスでの NAT 設定の詳細については、NAT の設定例（サポートされているトラフィックのタイプを含む）を参照してください。

Q. Cisco IOS の NAT 機能はどの Cisco ルーティングハードウェアで利用できますか。ハードウェアを注文するにはどうすればよいですか。

A. Cisco Feature Navigatorツールを使用すると、機能(NAT)を識別して、このCisco IOSソフトウェア機能が使用可能なリリースとハードウェアバージョンを調べることができます。このツールを利用するには、『Cisco Feature Navigator』を参照してください。

注：シスコの内部ツールおよび情報にアクセスできるのは、登録済みのシスコユーザーのみです。

Q. NAT の処理が行われるのはルーティングの前ですか、それとも後ですか。

A. NAT を利用してトランザクションが処理される順序は、パケットがネットワークの内部から外部に向かうか、逆に外部から内部に向かうかで異なります。Inside から Outside への変換はルーティング後に行われ、Outside から Inside への変換はルーティング前に行われます。詳細については、『NATの処理順序』を参照してください。

Q. NAT を公衆無線 LAN 環境に導入できますか。

A. あります。NAT - 固定 IP サポート機能によって、固定 IP を使用するユーザをサポートできるため、パブリックな無線 LAN 環境でも IP セッションを確立できます。

Q. NAT は、内部ネットワーク上のサーバーに対して TCP の負荷分散を行いますか。

A. あります。NAT を使用することで、ネットワーク内部に仮想ホストを確立できるため、実ホスト間の負荷を分散させることができます。

Q. NAT 変換の数をレート制限することはできますか。

A. あります。レート制限 NAT 変換機能によって、ルータ上で同時に処理される NAT の数を制限できます。NAT アドレスの使用に関して、より精度の高い制御が可能になるだけでなく、レート制限 NAT 変換機能を使用することによって、ウィルスやワーム、サービス拒否攻撃による悪影響を抑制できます。

Q. NAT で使用される IP サブネットまたはアドレスの、ルーティングの学習または伝播の仕組みを教えてください。

A. NAT によって作成された IP アドレスのルーティングは、次の場合に学習が行われます。

• Inside グローバル アドレス プールが、ネクストホップ ルータのサブネットから得られる。

• ネクストホップ ルータでスタティック ルート エントリが設定され、ルーティング ネットワーク内で再配布される。

内部グローバルアドレスがローカルインターフェイスと一致すると、NATはIPエイリアスとARPエントリをインストールします。この場合、ルータはこれらのアドレスに対してプロキシARPを実行できます。この動作が不都合な場合には、no-alias キーワードを使用します。

NAT プールが構成されているときは、add-route オプションを使用することによって、自動ルート インジェクションを利用できます。

Q. Cisco IOS の NAT 機能でサポートされる同時 NAT セッションの数はいくつですか。

A. NAT セッションの上限数は、ルータに搭載されている DRAM の使用可能量によって制限されます。各 NAT 変換は、約 312 バイトの DRAM を消費します。その結果、10,000 回の変換で約 3 MB が消費されます（通常 1 台のルータで処理されるよりも多い）。そのため、標準的なルーティング ハードウェアは、数千の NAT 変換をサポートするのに十分なメモリを備えています。

Q. Cisco IOS の NAT 機能を使用すると、どのようなルーティング性能を期待できますか。

A. Cisco IOS の NAT 機能では、Cisco Express Forwarding スイッチング、ファストスイッチング、プロセススイッチングがサポートされます。12.4T リリース以降では、ファースト スイッチング パスは利用できません。Cat6k プラットフォームでは、スイッチング方式として、Netflow（ハードウェアによるスイッチング パス）、CEF、プロセス パスを利用できます。

パフォーマンスは、次のようないくつかの要因により決まります。

• アプリケーションの種類およびそのトラフィックの種類

• IP アドレスが埋め込まれているかどうか

• 複数のメッセージの交換と検査

• 必要な送信元ポート

• 変換の数

• 同時に動作している他のアプリケーション

• ハードウェアおよびプロセッサの種類

Q. サブインターフェイスに Cisco IOS の NAT 機能を適用できますか。

A. あります。（ダイヤラ インターフェイスを含む）IP アドレスを持つすべてのインターフェイスまたはサブインターフェイスに、送信元/宛先 NAT 変換を適用できます。 ワイヤレス仮想インターフェイスでは、NAT は設定できません。NVRAM に書き込みが行われている時点では、ワイヤレス仮想インターフェイスは存在しません。そのため、ルータのワイヤレス仮想インターフェイスに NAT が設定されていても、再起動されると失われてしまいます。

Q. Cisco IOS の NAT 機能と Hot Standby Router Protocol（HSRP）を組み合わせることで ISP に冗長リンクを提供できますか。

A. あります。NAT では、HSRP の冗長化が提供されています。ただし、Stateful NAT（SNAT; ステートフル NAT）とは異なるものです。 HSRP を使用した NAT は、ステートレス システムです。障害が発生した場合には、現在のセッションは維持されません。スタティック NAT が設定されているときは、（パケットがどのスタティック NAT のルール設定とも一致しない場合には）パケットは変換されずに送信されます。

Q. Cisco IOS の NAT 機能は、フレーム リレー インターフェイスでのインバウンド変換に対応していますか。また、イーサネット側でのアウトバウンド変換をサポートしますか。

A. あります。カプセル化は NAT では問題にはなりません。インターフェイスに IP アドレスが存在しており、そのインターフェイスが NAT Inside または NAT Outside であれば、NAT を設定できます。NAT が機能するには、Inside と Outside が存在する必要があります。NVI を使用する場合は、NAT に対応したインターフェイスが少なくとも 1 つは必要です。詳細は、「NAT を設定するにはどうすればよいのですか」の項を参照してください。

Q. 1 台の NAT 対応ルータで、一部のユーザーには NAT を適用し、他のユーザーにはそれまでどおり各自に IP アドレスを適用するような設定を、同じイーサネット インターフェイス上でできますか。

A. あります。それには、NAT を必要とするホストまたはネットワークのセットを記述するアクセス リストを使用します。

アクセス リスト、拡張アクセス リスト、およびルート マップを使用すると、IP デバイスが変換される「ルール」を定義できます。ネットワークアドレスと適切なサブネットマスクを必ず指定してください。ネットワークアドレスまたはサブネットマスクの代わりにキーワード「any」を使用しないでください。スタティックNATでは、パケットがどのSTATICルール設定とも一致しない場合、パケットは変換されずに送信されます。

Q. PAT（オーバーロード変換）を設定する場合、各内部グローバル IP アドレスに対して最大いくつの変換を作成できますか。

A.PAT（オーバーロード）は、グローバルIPアドレスごとに、使用可能なポートを0 ～ 511、512 ～ 1023、1024 ～ 65535の3つの範囲に分割します。PAT では、各 UDP または TCP セッションに、一意の送信元ポートが割り当てられます。PAT は、元の要求と同じポート値の割り当てを試みます。ただし、元の送信元ポートがすでに使用されている場合は、特定のポート範囲の先頭からスキャンを開始して、使用可能な最初のポートを見つけ、それをカンバセーションに割り当てます。12.2S のコード ベースには、例外が存在します。12.2S のコード ベースでは異なるポート ロジックが使用されており、ポートは予約されません。

Q. PAT はどのように機能しますか。

A. PAT は 1 つのグローバル IP アドレスで機能する場合と、複数のアドレスで機能する場合があります。

IP アドレスが 1 つの PAT の場合：

条件	説明
1	NAT/PAT はトラフィックを検査して、変換ルールとの照合を行います。
2	ルールが、ある PAT 設定に一致します。
3	PATがトラフィックタイプを認識しており、そのトラフィックタイプに、使用する「ネゴシエートする特定のポートまたはポートのセット」が含まれている場合、PATはそれらを除外し、一意のIDを割り当てません。
4	特別なポートの要件のないセッションが接続を試みると、PAT は発信元 IP アドレスを変換し、発信元ポート（たとえば 433）が使用できるかどうかをチェックします。 注:Transmission Control Protocol（TCP；伝送制御プロトコル）およびUser Datagram Protocol（UDP；ユーザデータグラムプロトコル）の場合、範囲は1 ～ 511、512 ～ 1023、1024 ～ 65535です。Internet Control Message Protocol（ICMP）の場合、最初のグループは 0 から始まります。
5	要求された送信元ポートが使用可能である場合、PAT によってその送信元ポートが割り当てられ、セッションが継続します。
6	要求された送信元ポートが使用できない場合、PAT は関連するグループの先頭から検索を開始します（TCP または UDP アプリケーションでは 1 から始まり、ICMP では 0 から始まります）。
7	あるポートが使用できる場合、そのポートが割り当てられ、セッションが継続します。
8	使用できるポートがない場合、パケットは廃棄されます。

IP アドレスが複数である PAT の場合：

条件	説明
1-7	最初の 7 つの条件は、単一 IP アドレスと同じです。
8	1 つ目の IP アドレスの関連グループで使用できるポートがない場合、NAT はプール内の次の IP アドレスに移行し、要求された送信元ポートの割り当てを試みます。
9	要求された送信元ポートが使用可能である場合、NAT によってその送信元ポートが割り当てられ、セッションが継続します。
10	要求された送信元ポートが使用できない場合、NAT は関連するグループの先頭から検索を開始します（TCP または UDP アプリケーションでは 1 から始まり、ICMP では 0 から始まります）。
11	ポートが使用可能な場合はそれが割り当てられて、セッションが続行されます。
12	使用できるポートがない場合、プール内で別の IP アドレスが使用可能でない限り、パケットは廃棄されます。

Q. NAT IP プールとは何ですか。

A. NAT IP プールとは、必要に応じて割り当てられる NAT 変換用の IP アドレス範囲のことです。プールを定義するには、次のような設定コマンドが使用されます。

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

例 1

次の例では、192.168.1.0または192.168.2.0ネットワークからアドレス指定された内部ホストを、グローバルに一意な10.69.233.208/28ネットワークに変換しています。

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

例 2

この例の目標は、一連の実ホスト間に分散される接続を持つ仮想アドレスを定義することです。プールでは、実ホストのアドレスを定義します。アクセス リストでは、仮想アドレスを定義します。変換が存在しない場合には、シリアル インターフェイス 0（外部インターフェイス）から送信される TCP パケットでは、送信先がアクセス リストと一致するものについては、プールに定義されたアドレスに変換されます。

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

Q.設定可能なNAT IPプールの最大数は何ですか(ip nat pool <name>)。

A. 実際に使用するときは、設定可能な IP プールの最大数は個々のルータで使用できる DRAM の量によって上限が変わります。（シスコでは、プールのサイズは 255 に設定することを強く推奨します）。 各プールは16ビット以下である必要があります。12.4(11)T以降では、Cisco IOSにCCE(Common Classification Engine)が導入されています。 このエンジンでは、NAT の最大プール数は 255 に制限されています。12.2S のコード ベースには、最大プール数の制限はありません。

Q. NAT プールでルートマップと ACL を 使用する利点には、どのような違いがありますか。

A. ルートマップは望ましくない外部ユーザーが内部のユーザーやサーバーにアクセスするのを防ぎます。また、ルールに基づいて、1 つの内部 IP アドレスを異なる複数の内部グローバル アドレスにマップする機能もあります。詳細は、『ルート マップを使用する複数プールの NAT サポート』を参照してください。

Q. NATのコンテキストで、IPアドレスの重複とは何ですか。

A. IPアドレス重複とは、相互接続を行おうとする2つの場所が、同じIPアドレス方式を使用している状況を指します。これは珍しいことではなく、企業の合併や買収の際によく発生します。特別なサポートがないと、2つのロケーションは接続できず、セッションを確立できません。重複するIPアドレスは、別の会社に割り当てられたパブリックアドレスや、別の会社に割り当てられたプライベートアドレス、あるいはRFC 1918で定義されているプライベートアドレスという場合もあります

プライベート IP アドレスはルーティング不可能で、Outside の世界へ接続するには NAT 変換が必要です。解決策には、Outside から Inside への Domain Name System（DNS; ドメイン ネーム システム）の名前クエリの応答を代行受信し、Outside アドレス用の変換をセットアップして、DNS 応答を Inside ホストに転送する前に修正することが含まれます。両方のネットワーク間を接続するには、NAT デバイスの両側に DNS サーバが必要です。

『重複ネットワークでの NAT の使用』で説明されているように、NAT は、DNS「A」および「PTR」レコードのコンテンツに対するアドレス変換を検査し、実行することができます。

Q. 静的 NAT 変換とは何ですか。

A. 静的 NAT 変換は、ローカルアドレスとグローバルアドレスを 1 対 1 でマッピングします。ユーザは、スタティック アドレス変換をポート レベルに設定することもでき、他の変換用に残りの IP アドレスを使用することができます。通常、これは Port Address Translation（PAT; ポート アドレス変換）を実行している場合に発生します。

次の例は、スタティックNATで外部から内部への変換を許可するようにルートマップを設定する方法を示しています。

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 10.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A

Q. NATオーバーロードとは何ですか。これはPATですか。

A. あります。NAT オーバーロードは、PAT です。つまり、1 つまたは複数のアドレスの範囲が定義されたプールを使用するか、またはポートとインターフェイス IP アドレスを組み合わせて使用します。オーバーロードを使用するときには、全面的な拡張変換を実装します。つまり、PAT またはオーバーロードと呼ばれる、IP アドレスと送信元/宛先ポート情報を含む変換テーブルのエントリを定義します。

PAT（またはオーバーロード）はCisco IOS NATの機能であり、内部（内部ローカル）のプライベートアドレスを1つ以上の外部（内部グローバル、通常は登録済み）のIPアドレスに変換するために使用されます。各変換では、カンバセーションを区別するために、一意の送信元ポート番号が使用されます。

Q. 動的 NAT 変換とは何ですか。

A. 動的 NAT 変換では、ユーザーはローカルアドレスとグローバルアドレスの間でダイナミックマッピングを確立できます。変換されるローカル アドレスおよびグローバル アドレスが割り当てられるアドレスのプールまたはインターフェイスの IP アドレスを定義し、その 2 つを関連付けることによって、ダイナミック マッピングが実行されます。

Q. ALG とは何ですか。

A. ALG とはアプリケーション層ゲートウェイ（ALG）のことです。 NAT では、アプリケーション データ ストリームで送信元/宛先 IP アドレスを搬送しない任意の Transmission Control Protocol/User Datagram Protocol（TCP/UDP）上で変換サービスが実行されます。

該当するプロトコルとしては、FTP、HTTP、SKINNY、H232、DNS、RAS、SIP、TFTP、telnet、archie、finger、NTP、NFS、rlogin、rsh、rcp などがあります。ペイロードに IP アドレスが埋め込まれた特殊なプロトコルについては、Application Level Gateway（ALG）によるサポートが必要になります。

詳細については、『NAT でのアプリケーション レベル ゲートウェイの使用』を参照してください。

Q. 静的 NAT 変換と動的 NAT 変換を併用する構成は可能ですか。

A. あります。ただし、スタティック NAT の設定またはダイナミック NAT に設定されるプールで、同じ IP アドレスは使用できません。また、すべてのパブリック IP アドレスが一意である必要があります。ただし、スタティック変換で使用されるグローバル アドレスは、それらのグローバル アドレスを含むダイナミック プールからは自動的には排除されません。ダイナミック プールは、スタティック エントリとは排他的になるように割り当てる必要があります。詳細については、『スタティック NAT とダイナミック NAT の同時設定』を参照してください。

Q. NATルータ経由でtracerouteを実行すると、tracerouteによってNATグローバルアドレスが表示されるのですか。それとも、NATローカルアドレスがリークされるのですか。

A. 外部からのtracerouteは、常にグローバルアドレスを返す必要があります。

Q. PAT はどのようにしてポートを割り当てますか。

A. NATでは、フルレンジとポートマップというポート機能が追加されています。

• フルレンジ機能によって、デフォルトのポート範囲設定に関わらず、すべてのポートを使用できます。

• ポートマッピング機能によって、特定のアプリケーションに対して、ユーザ定義されたポート範囲を予約できます。

詳細は、『PAT におけるユーザ定義発信元ポート範囲の使用』を参照してください。

12.4(20)T2 以降では、L3/L4 ランダム ポートおよび対称型ポートが導入されています。

• ランダム ポートによって、発信元ポートの要求に対して任意のグローバル ポートをランダムに選択できます。

• 対称ポートにより、NATは独立したポイントをサポートできます。

Q. IP フラグメンテーションと TCP セグメンテーションはどのように違いますか。

A. IPフラグメンテーションはレイヤ3(IP)で発生し、TCPセグメンテーションはレイヤ4(TCP)で発生します。 IP フラグメンテーションは、インターフェイスの Maximum Transmission Unit（MTU; 最大伝送ユニット）より大きなパケットが送信されたときに発生します。これらのパケットは、インターフェイスから送信されるときに、フラグメント化されるか、廃棄される必要があります。パケットのIPヘッダーでDo not Fragment(DF)ビットが設定されていない場合、パケットはフラグメント化されます。パケットのIPヘッダーにDFビットが設定されている場合、パケットは廃棄され、ネクストホップのMTU値を示すICMPエラーメッセージが送信元に返されます。IP パケットのすべてのフラグメントは、IP ヘッダに同じ ID が定義されています。そのため、最終的な受信側では、フラグメントを再構成することによって、元の IP パケットを再現できます。詳細は、『GRE および IPsec による IP フラグメンテーション、MTU、および PMTUD に関する問題の解決』を参照してください。

TCP セグメンテーションは、端末上のアプリケーションがデータを送信するときに発生します。アプリケーション データは、TCP によって最適と判断されるサイズに分割されて送信されます。この TCP から IP に渡されるデータの構成単位のことをセグメントと呼びます。TCP セグメントは、IP データグラムとして送信されます。これらの IP データグラムは、ネットワークを通過するときにさらに IP フラグメントに分割されるため、分割されない場合よりも低い MTU のリンクを利用できます。

TCPは、最初にこのデータを（TCP MSS値に基づいて）TCPセグメントにセグメント化し、TCPヘッダーを追加して、このTCPセグメントをIPに渡します。次に、IPプロトコルはIPヘッダーを追加して、パケットをリモートエンドホストに送信します。TCPセグメントを含むIPパケットが、TCPホスト間のパス上にある発信インターフェイスのIP MTUよりも大きい場合、IPはIP/TCPパケットをフラグメント化して収まるようにします。これらのIPパケットフラグメントは、IPレイヤによってリモートホスト上で再構成され、（最初に送信された）完全なTCPセグメントがTCPレイヤに渡されます。TCPレイヤでは、転送中にIPによってパケットがフラグメント化されたことは認識されません。NATではIPフラグメントはサポートされますが、TCPセグメントはサポートされません。

Q. NAT は IP フラグメンテーションおよび TCP セグメンテーションのアウトオブオーダーに対応していますか。

A. NAT を有効にすると ip virtual-reassembly が設定されるため、IP フラグメントのアウトオブオーダーにのみ対応できます。

Q. IP フラグメンテーションと TCP セグメンテーションをデバッグするにはどうすればよいですか。

A. NATでは、IPフラグメンテーションとTCPセグメンテーションのデバッグに、同じデバッグCLIコマンドdebug ip nat fragを使用します。

Q. サポートされている NAT MIB はありますか。

A. いいえ。CISCO-IETF-NAT-MIB も含めて、サポートされる NAT MIB はありません。

Q. TCP タイムアウトとはどのような事象ですか。また、NAT の TCP タイマーとはどのような関連がありますか。

A. 3ウェイハンドシェイクが完了していないのに、NATでTCPパケットが検出された場合、NATは60秒タイマーを開始します。スリーウェイ ハンドシェイクが完了しているときは、NAT エントリには、24 時間のタイマーがデフォルトで使用されます。エンド ホストが RESET を送信した場合には、NAT はデフォルト タイマーを 24 時間から 60 秒に変更します。FIN の場合は、FIN および FIN-ACK を受信したときに、デフォルト タイマーを 24 時間から 60 秒に変更します。

Q. NAT変換テーブルから、NAT変換がタイムアウトするまでの時間を変更できますか。

A. あります。すべてのエントリ、または異なるタイプのNAT変換（udp-timeout、dns-timeout、tcp-timeout、finrst-timeout、icmp-timeout、pptp-timeout、syn-timeout、port-timeout、arp-ping-timeoutなど）のNATタイムアウト値を変更できます。

Q. Lightweight Directory Access Protocol（LDAP）で、各 LDAP 応答パケットに追加のバイトが付加されないようにする方法を教えてください。

A. LDAP 設定では、Search-Res-Entry タイプのメッセージを処理する際に、追加のバイト（LDAP の検索結果）が付加されます。LDAP では、LDAP 応答パケットごとに、それぞれ 10 バイトの検索結果が添付されます。この 10 バイト分が追加されたことによって、パケットがネットワークの MTU を超過してしまった場合には、パケットはドロップされます。このようなケースに関しては、シスコでは、パケットの送受信を優先するために、CLI no ip nat service append-ldap-search-res コマンドを使用して LDAP のこの動作をオフにすることを推奨しています。

Q. NAT ボックスで使用する内部グローバル IP または外部ローカル IP アドレスにはどのようなルートが推奨されますか。

A. NAT 機能が設定されているボックスでは、NAT-NVI などの機能に対応した内部グローバル IP アドレスのルートを指定する必要があります。同様に、外部ローカルIPアドレスのルートもNATボックスで指定する必要があります。この場合、外部スタティックルールを使用する内部から外部へのパケットには、この種のルートが必要です。このようなシナリオでは、IG/OLのルートを指定する際に、ネクストホップIPアドレスも設定する必要があります。ネクストホップ設定が欠落している場合、これは設定エラーと見なされ、結果として未定義の動作が発生します。

NVI-NAT は出力機能パスにだけ存在します。NAT-NVI で直接接続されたサブネットがある場合、またはボックスで外部 NAT 変換ルールが設定されている場合、これらのシナリオでは、ダミーのネクスト ホップ IP アドレスおよびネクスト ホップに関連付けられた ARP を提供する必要があります。これは、基盤となるインフラストラクチャが変換のためパケットを NAT に渡すために必要です。

Q. Cisco IOSのNATでは、logキーワードを使用するACLはサポートされていますか。

A. Cisco IOS の NAT 機能でダイナミック NAT 変換を設定すると、変換可能なパケットを識別するために ACL が使用されます。現在のNATアーキテクチャでは、log キーワードを使用するACLはサポートされていません。

音声と NAT

Q. NAT は、Cisco Unified Communications Manager（CUCM）V7 に付属している Skinny Client Control Protocol（SCCP）v17 をサポートしていますか。

A. CUCM 7およびCUCM 7のすべてのデフォルトの電話ロードでは、SCCPv17がサポートされています。SCCP のバージョンについては、電話を登録した時点での CUCM と電話に共通する最も高いバージョン番号が使用されます。

このドキュメントが作成された時点では、NATはまだSCCP v17をサポートしていません。SCCP v17のNATサポートが実装されるまでは、SCCP v16がネゴシエートされるように、ファームウェアをバージョン8-3-5以前にダウングレードする必要があります。CUCM6では、SCCP v16を使用している限り、どの電話ロードでもNATの問題は発生しません。現在、Cisco IOS では、SCCP バージョン 17 はサポートされていません。

Q. NAT はどのバージョンの CUCM、SCCP、ファームウェアロードをサポートしていますか。

A. NAT は CUCM バージョン 6.x 以前のリリースをサポートしています。これらのバージョンの CUCM には、SCCP v15（以前）をサポートしたデフォルトの 8.3.x（以前のバージョン）の電話ファームウェア ロードが付属しています。

NAT では、CUCM バージョン 7.x 以降のリリースについてはサポートされません。それらのバージョンの CUCM には、SCCP v17（以降）をサポートしたデフォルトの 8.4.x の電話ファームウェア ロードが付属しています。

CUCM 7.x 以降が使用される場合は、NAT によるサポートが得られるように、電話機では SCCP v15 以前のバージョンのファームウェア ロードが使用される必要があります。そのため、CUCM TFTP サーバには、古いバージョンのファームウェア ロードをインストールする必要があります。

Q. サービスプロバイダーが提供する RTP および RTCP 用の PAT ポート割り当て拡張とはどのようなものですか。

A. サービスプロバイダーが提供する RTP および RTCP 機能への PAT ポート割り当て拡張は、SIP、H.323、Skinny の各プロトコルによる音声コールを保証する機能です。RTP ストリームに使用されるポート番号が偶数のポート番号で、RTCP ストリームがそれに続く奇数のポート番号になるようにします。ポート番号は、RFC-1889 に指定された範囲内の番号に準拠するように変換されます。範囲内のポート番号を持つコールは、この範囲内の別のポート番号にPAT変換されます。同様に、この範囲外のポート番号に対するPAT変換では、特定の範囲内の番号への変換は行われません。

Q. Session Initiation Protocol（SIP）とは何ですか。SIP パケットは NAT で処理できますか。

A. Session Initiation Protocol（SIP）は、アプリケーション層の ASCII ベースの制御プロトコルであり、2 つ以上のエンドポイント間でコールを確立、維持、および終了するために使用できます。SIP は、IP を介したマルチメディア会議のために Internet Engineering Task Force（IETF; インターネット技術特別調査委員会）によって開発された代替プロトコルです。Cisco SIP の実装では、サポート対象の Cisco プラットフォームによる IP ネットワークを介した音声コールおよびマルチメディア コールの確立が実現されます。

SIP パケットは NAT に対応しています。

Q. セッション ボーダー コントローラ（SBC）のホスト型 NAT トラバーサルサポートとは何ですか。

A. Cisco IOS の SBC 用ホスト型 NAT トラバーサル機能を使用することで、Cisco IOS NAT SIP アプリケーションレベル ゲートウェイ（ALG）ルータを Cisco マルチサービス IP-to-IP ゲートウェイ上で SBC として機能させることができ、Voice over IP（VoIP）サービスを円滑に配信できます。

詳細は、『Session Border Controller の Cisco IOS ホスト NAT トラバーサル』を参照してください。

Q. ルータのメモリおよび CPU は SIP、Skinny、H323 のコールをいくつまで NAT で処理できますか。

A. NAT ルータで処理されるコールの数は、NAT ボックスのメモリの空き容量と CPU の処理能力によって異なります。

Q. NATルータでは、SkinnyパケットとH323パケットのTCPセグメンテーションはサポートされていますか。

A. Cisco IOS-NATでは、12.4メインラインでH323のTCPセグメンテーションがサポートされており、12.4(6)T以降のSKINNYではTCPセグメンテーションがサポートされています。

Q. 音声環境で NAT のオーバーロード設定を使用する際に注意することはありますか。

A. あります。音声を利用する環境で NAT オーバーロードを設定するときには、NAT を動作させるために、登録メッセージが必要になります。また、この内部デバイスにアクセスできるように、out から in への関連付けを作成する必要があります。内部デバイスは、この登録メッセージを定期的に送信します。また、NAT は、シグナリング メッセージによる情報を利用して、このピンホール/関連付けを随時更新します。

Q. 音声環境で clear ip nat trans * コマンドまたは clear ip nat transforce コマンドを発行することで起きる、既知の問題はありますか。

A.音声環境では、clear ip nat trans * コマンドまたは clear ip nat trans forced コマンドを実行するときに、ダイナミックNATが設定されている場合には、ピンホール/関連付けがクリアされてしまうため、内部デバイスからの次の登録サイクルによってこれが再確立されるのを待つ必要があります。シスコでは、音声環境ではこれらのコマンドを使用しないことを推奨しています。

Q. NAT は音声ソリューションの併存環境をサポートしていますか。

A. いいえ。現在のところ、共存型のソリューションはサポートされません。NATを使用した次の展開（同じボックス）は、CME/DSP-Farm/SCCP/H323という同じ場所に配置されたソリューションと見なされます。

Q. NVI は Skinny ALG、H323 ALG、TCP SIP ALG をサポートしていますか。

A. いいえ。ほとんどの導入では UDP SIP ALG が使用されているため、特にメリットがないことに注意してください。

NAT と VRF/MPLS

Q. NATルータでは、グローバルアドレス空間でNATが実行されるのと同時に、VRF内の同じアドレス空間でのNATもサポートされるのですか。現在、これを設定しようとすると、「% similar static entry (10.1.1.1 —> 10.210.2.2) already exists」という警告が表示されます。

72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED 

A. 従来のNATでは、異なるVRF上でのオーバーラッピングアドレス設定がサポートされています。それには、match-in-vrf オプションによってルールを定義し、オーバーラップを設定する必要があります。また、特定の VRF によって処理されるトラフィックについては、同じ VRF に ip nat inside/outside を設定する必要があります。オーバーラップのサポートには、グローバル ルーティング テーブルは含まれません。

異なる複数の VRF スタティック NAT エントリをオーバーラッピングするには、match-in-vrf キーワードを追加する必要があります。ただし、グローバル アドレスと VRF NAT アドレスはオーバーラッピングできません。

72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf

Q. レガシー NAT は VRF-Lite（特定の VRF から別の VRF への NAT）をサポートしていますか。

A. いいえ。異なる VRF 間で NAT を実行したい場合には、NVI を使用する必要があります。レガシーNATを使用して、VRFからグローバルへのNATまたは同じVRF内でのNATを実行できます。

NAT NVI

Q. NAT NVI とは何ですか。

A. NVI は NAT 仮想インターフェイスの略称です。NVI を使用することで、2 つの異なる VRF の間で NAT 変換を実行できます。このソリューションは、Network Address Translation on a Stickの代わりに使用する必要があります。

Q.グローバルのインターフェイスとVRFのインターフェイスの間でNATを行う場合、NAT NVIを使用する必要がありますか。

A. シスコではグローバル NAT に対する VRF（ip nat inside/out）と、同じ VRF 内のインターフェイス間でレガシー NAT を使用することを推奨しています。NVI は、異なる VRF 間での NAT に使用します。

Q. NAT-NVI での TCP セグメンテーションはサポートされていますか。

A. NAT-NVI での TCP セグメンテーションはサポートされていません。

Q. NVI は Skinny ALG、H323 ALG、TCP SIP ALG をサポートしていますか。

A. いいえ。ほとんどの導入では UDP SIP ALG が使用されているため、特にメリットがないことに注意してください。

Q. TCP セグメンテーションは SNAT でサポートされていますか。

A. SNAT は TCP ALG（SIP、SKINNY、H323、DNS など）をサポートしていません。 そのため、TCP セグメンテーションはサポートされません。ただし、UDP SIP と DNS はサポートされています。

SNAT

Q. ステートフル NAT（SNAT）とは何ですか。

A. SNAT では、2 つ以上のネットワーク アドレス トランスレータを 1 つの変換グループとして機能させることができます。変換グループのメンバの 1 つが、IP アドレス情報の変換が必要なトラフィックを処理します。さらに、アクティブなフローが生じたときに、バックアップ変換プロセスに通知します。バックアップ変換プロセスでは、アクティブな変換プロセスから送信された情報を使用して、変換テーブルのエントリを複製する準備を行います。そのため、アクティブな変換プロセスが重大なエラーによって実行不能になった場合でも、トラフィックを即座にバックアップに切り替えることができます。同じネットワーク アドレス変換と、エラー前に定義されていた変換の状態が使用されるため、トラフィック フローは継続されます。

Q. TCP セグメンテーションは SNAT でサポートされていますか。

A. SNAT は TCP ALG（SIP、SKINNY、H323、DNS など）をサポートしていません。 そのため、TCP セグメンテーションはサポートされません。ただし、UDP SIP と DNS はサポートされています。

Q. SNATは非対称ルーティングをサポートしていますか。

A. 非対称ルーティングでは、as-queuingをイネーブルにすることでNATをサポートします。デフォルトでは、as-queueing はイネーブルです。ただし、12.4(24)T 以降では、as-queuing はサポートされていません。そのため、非対称ルーティングが正しく動作するように、パケットが正しくルーティングされており、適切な遅延が追加されていることを確認する必要があります。

NAT-PT（v6 - v4 変換）

Q. NAT-PT とは何ですか。

A. NAT-PT は、NAT v4 を NAT v6 に変換する仕組みです。プロトコル変換(NAT-PT)は、RFC 2765 およびRFC 2766 で定義されたIPv6-IPv4変換メカニズムです。これにより、IPv6専用デバイスとIPv4専用デバイスが相互に通信できるようになります。

Q. NAT-PT は Cisco Express Forwarding（CEF）パスでサポートされていますか。

A. NAT-PT は CEF パスではサポートされていません。

Q. NAT-PT ではどの ALG がサポートされていますか。

A. NAT-PT は TFTP/FTP と DNS をサポートしています。NAT-PT では、音声および SNAT についてはサポートされません。

Q. ASR 1004 は NAT-PT をサポートしていますか。

A. アグリゲーション サービス ルータ（ASR）は NAT64 を使用します。

特定プラットフォーム（Cisco 7300/7600/6k）に関する質問

Q. Catalyst 6500 の SX トレインでステートフル NAT（SNAT）を使用できますか。

A. SNAT は Catalyst 6500 の SX トレインでは使用できません。

Q. VRF 対応 NAT は 6000 系のハードウェアでサポートされていますか。

A. このプラットフォームのハードウェアでは、VRF 対応 NAT はサポートされていません。

Q. 7600 シリーズおよび Cat6000 シリーズは VRF 対応 NAT をサポートしていますか。

A. 6500 系および 7600 系プラットフォームでは、VRF 対応 NAT はサポート対象外で、CLI はブロックされています。

注：FWSM を利用することで、仮想コンテキスト透過モードで動作する設計を実装できます。

特定プラットフォーム（Cisco 850）に関する質問

Q. Cisco 850 のリリース 12.4T では Skinny NAT ALG がサポートされますか。

A. いいえ。850 シリーズでは、12.4T の Skinny NAT ALG はサポートされません。

NAT の導入

Q. NAT を実装するにはどうすればよいですか。

A. NATでは、インターネットへの接続に、登録されていないIPアドレスを使用するプライベートIPインターネットワークがイネーブルになります。NAT は、パケットが他のネットワークに転送される前に、内部ネットワークのプライベート（RFC1918）アドレスを、正規のルーティング可能なアドレスに変換します。

Q. 音声機能に NAT を実装するにはどうすればよいですか。

A. NAT の音声機能サポートにより、ネットワークアドレス変換（NAT）が設定されたルータを通過する SIP 埋め込みメッセージを、変換でパケットに戻すことができます。音声パケットの変換には、アプリケーション レイヤ ゲートウェイ（ALG）が使用されます。

Q. NAT を MPLS VPN と統合するにはどうすればよいですか。

A. NAT と MPLS VPN 機能との統合により、複数の MPLS VPN を単一のデバイスに設定して連携させることができます。NAT を利用することによって、複数の MPLS VPN で同じ IP アドレッシング スキームが使用されている場合でも、IP トラフィックを受信できるようになります。このような機能強化によって、複数の MPLS VPN を利用するユーザは、それぞれの MPLS VPN の独立性を確保しながら、同時にサービスを共有できるようになります。

Q. NAT スタティックマッピングは、HSRP による高可用性をサポートしていますか。

A. ネットワークアドレス変換（NAT）のスタティックマッピングが構成された、ルータが保持するアドレスに対して Address Resolution Protocol（ARP）クエリがトリガーされると、NAT は ARP が指すインターフェイスの BIA MAC アドレスで応答します。2 つのルータは、それぞれ HSRP アクティブおよびスタンバイとして動作します。それぞれのインターフェイスの NAT Inside をイネーブルにし、グループに属するように設定する必要があります。

Q. NAT NVIを実装するにはどうすればよいのですか。

A. NAT 仮想インターフェイス（NVI）機能により、インターフェイスを NAT の内部または外部のいずれかとして設定する必要がなくなりました。

Q. NAT を使用した負荷分散を実装するにはどうすればよいですか。

A. NATでは、2種類のロードバランシングを実行できます。1組のサーバへの着信のロードバランシングを行ってサーバへの負荷を分散できます。また、2つ以上のISPを経由するインターネットへのユーザトラフィックのロードバランシングを行うことができます。

発信側のロードバランシングについての詳細は、『2つのISPの接続のためのCisco IOS NATのロードバランシング』を参照してください。

Q. IPSecとともにNATを実装するにはどうすればよいのですか。

A. NAT および IPSec の NAT 透過性を利用した IP Security（IPSec）のカプセル化セキュリティペイロード（ESP）がサポートされています。

NAT による IPSec ESP のサポート機能では、オーバーロードまたは PAT モードに設定された Cisco IOS NAT デバイスを通して、複数の IPSec ESP トンネルまたは接続の同時使用をサポートできます。

IPSec NAT 透過機能が導入されたことによって、NAT と IPSec の間に数多く存在した既知の非互換性が解決されたため、IPSec トラフィックがネットワークの NAT または PAT ポイントを通過できるようになりました。

Q. NAT-PT を実装するにはどうすればよいですか。

A. NAT-PT(Network Address Translation—Protocol Translation)は、RFC 2765およびRFC 2766で定義されたIPv6-IPv4変換メカニズムです。これにより、IPv6専用デバイスとIPv4専用デバイスが相互に通信できるようになります。

Q. マルチキャスト NAT を実装するにはどうすればよいですか。

A. マルチキャストストリームの送信元 IP を NAT 処理することができます。マルチキャストにダイナミック NAT を適用するときは、ルートマップは使用できません。この場合、アクセス リストだけがサポートされます。

詳細は、『マルチキャスト NAT はどのように Cisco ルータで機能するか』を参照してください。宛先マルチキャスト グループの NAT については、Multicast Service Reflection ソリューションを使用します。

Q. ステートフル NAT（SNAT）を実装するにはどうすればよいですか。

A. SNAT を利用すれば、ダイナミックマッピングによる NAT セッションを継続的に提供できます。SNAT が不要なスタティックに定義されるセッションの場合でも、導入することによって冗長性というメリットが得られます。SNAT が導入されていない環境では、重大なエラーが生じたときに、ダイナミック NAT マッピングを使用するセッションが中断してしまうため、セッションを再確立しなければなりません。現在、SNAT に関しては、最低限の設定だけがサポートされます。将来の導入は、現在の制限に関連する設計を検証するために、シスコアカウントチームと話をした後でのみ実行する必要があります。

次のシナリオではSNATを推奨：

• HSRP と比較した場合に、いくつかの機能が不足しているため、プライマリ/バックアップ モードが望ましくない。

• フェールオーバーを導入する予定があり、2 台のルータが構成される。つまり、1 台のルータがクラッシュしても、別のルータにシームレスに引き継がれるようにする場合（SNAT は、インターフェイスのフラップを処理するようには設計されていない）。

• 非対称ではないルーティングをサポートする予定がある。応答パケットの遅延が、2 台の SNAT ルータ間で SNAT メッセージを交換する時間より長くなる場合にだけ、非対称ルーティングを処理できる。

現在、SNATアーキテクチャは堅牢性を処理するように設計されていないため、次のテストが成功するとは限りません。

• トラフィックが存在する間に、NAT エントリをクリアする。

• トラフィックがある間にインターフェイスパラメータを変更する（IPアドレスの変更、shut/no-shutなど）。

• SNAT 固有の clear または show コマンドについては、正しく実行されるとはかぎらないため、使用を推奨しない。

SNATに関連するclear< /strong>およびshowコマンドの一部を次に示します。

clear ip snat sessions *
clear ip snat sessions 
clear ip snat translation distributed *
clear ip snat translation peer < IP address of SNAT peer>
sh ip snat distributed verbose
sh ip snat peer < IP address of peer>

エントリをクリアする場合は、clear ip nat trans forced< /strong>またはclear ip nat trans *コマンドを使用できます。

エントリを表示するには、< show ip nat translation 、show ip nat translations verbose、およびshow ip nat stats コマンドを使用できます。service internalが設定されている場合は、SNAT固有の情報も表示されます。

バックアップ ルータで NAT 変換をクリアすることは推奨されない。NAT エントリは常にプライマリ SNAT ルータでクリアする。

SNATはHAではないため、両方のルータの設定を同じにする必要があります。両方のルータで同じイメージが実行されている必要があります。さらに、両方の SNAT ルータに使用されている基本プラットフォームが同じでなければならない。

NAT のベスト プラクティス

Q. NAT のベストプラクティスはありますか。

A. あります。次に NAT のベスト プラクティスを示します。

• ダイナミックNATとスタティックNATの両方を使用する場合、ダイナミックNATのルールを設定するACLでは、オーバーラップが発生しないようにスタティックローカルホストを除外する必要があります。

• permit ip any any を設定した NAT で ACL を使用すると、予期しない動作をする場合があるため注意が必要です。12.4(20)T以降では、ローカルに生成されたHSRPと外部インターフェイスに送信されるルーティングプロトコルパケット、およびNATルールに一致するローカルに暗号化されたパケットがNATによって変換されます。

• オーバーラッピング ネットワークで NAT を使用するときには、match-in-vrf キーワードを使用します。

異なる複数の VRF でオーバーラップする VRF スタティック NAT エントリには、match-in-vrf キーワードを追加する必要がありますが、グローバル アドレスと vrf NAT アドレスではオーバーラップできません。

Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf

Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf

同じアドレス範囲が定義された NAT プールは、match-in-vrf キーワードを使用しないかぎり、異なる複数の VRF には使用できません。

例：

  ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24
  ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24
  ip nat inside source list 1 poolA vrf A match-in-vrf
  ip nat inside source list 2 poolB vrf B match-in-vrf 

注:CLIの設定は有効ですが、match-in-vrfキーワードを使用しない設定はサポートされません。

• NAT インターフェイスのオーバーロードを利用するときに、ISP のロードバランシングを導入する場合は、ACL マッチングで一致したインターフェイスで、ルートマップを使用するのがベスト プラクティスです。

• プールマッピングを使用する場合は、2つの異なるマッピング（ACLまたはルートマップ）を使用して同じNATプールアドレスを共有しないでください。

• フェールオーバーシナリオで2台の異なるルータに同じNATルールを展開する場合は、HSRPの冗長性を使用する必要があります。

• スタティック NAT とダイナミック プールで同じ内部グローバル アドレスを定義しないでください。これを行うと、望ましくない結果を招くことがあります。

関連情報

• シスコのテクニカルサポートとダウンロード