L2 ネットワークアドレス変換(NAT)について
1 対 1(1:1)レイヤ 2 NAT は、固有のパブリック IP アドレスを既存のプライベート IP アドレス(エンド デバイス)に割り当てるサービスであり、エンド デバイスがプライベートとパブリック サブネット上で通信できるようになります。このサービスは、NAT 対応デバイスで設定され、エンドデバイスに物理的にプログラムされた IP アドレスのパブリックでの「エイリアス」です。これは、通常 NAT デバイスでテーブルとして表されます。
レイヤ 2 NAT には、プライベートからパブリックおよびパブリックからプライベートへサブネットの変換を定義できる 2 種類の変換テーブルがあります。レイヤ 2 NAT は、一貫した高レベルの(bump-in-the-wire)ワイヤスピードのパフォーマンスを提供するハードウェアベースの機能です。またこの機能は、拡張されたネットワーク セグメンテーション用の NAT 境界で複数の VLAN をサポートします。
次に、レイヤ 2 NAT で 192.168.1.x ネットワークのセンサーと 10.1.1.x ネットワークの通信制御装置間のアドレスを変換する例を示します。
-
192.168.1.x ネットワークは内部/内部 IP アドレス空間、10.1.1.x ネットワークは外部/外部 IP アドレス空間です。
-
192.168.1.1 のセンサーが、「内部」アドレス 192.168.1.100 を使用して通信制御装置に ping 要求を送信します。
-
パケットが内部ネットワークから送信される前に、レイヤ 2 NAT は送信元アドレス(SA)を 10.1.1.1 へ、宛先アドレス(DA)を 10.1.1.100 へと変換します。
-
通信制御装置は 10.1.1.1 へ ping 応答を送信します。
-
パケットが内部ネットワークで受信されると、レイヤ 2 NAT は送信元アドレスを 192.168.1.100 へ、宛先アドレスを 192.168.1.1 へ変換します。
多数のノードに対して、サブネット内のすべてのデバイスの変換をまとめて有効にできます。この場合、内部ネットワーク 1 からのアドレスは 10.1.1.0/28 サブネットで外部アドレスに変換することができ、内部ネットワーク 2 からのアドレスは 10.1.1.16/28 サブネットで外部アドレスに変換することができます。各サブネットのアドレスはすべて 1 つのコマンドを使って変換できます。
次の図に、配布レベルでの IE 3400 NAT の設定を示します。この例では、IE 3400 は Catalyst 2960 スイッチを介してプライベートネットワーク内のデバイスに接続します。Catalyst スイッチは、アクセスレイヤで NAT を実行していません。IE 3400 では、2 つの異なるアクセススイッチ用の 2 つのインターフェイスで L2 NAT を実行しています。IE スイッチでは、128 個の L2 NAT インスタンスをサポートできます。この例では、128 個のうち 3 個のみ表示されています。サブネット全体を 1 つの L2 NAT インスタンスで設定できます。
上の図に表示されている IE 3400 NAT の設定は次のとおりです。
Instance10:
inside from network 192.168.0.0 to 10.10.10.0 mask 255.255.255.0
outside from host 10.10.10.254 to 192.168.9.254 gateway
Instance11:
inside from network 192.168.0.0 to 10.10.11.0 mask 255.255.255.0
outside from host 10.10.11.254 to 192.168.9.254 gateway
.
.
.
Interface vlan 10
ip address 10.10.10.254 mask 255.255.255.0
Interface vlan 11
ip address 10.10.11.254 mask 255.255.255.0
Interface gig 1/1
switchport access vlan 10
l2nat instance10
Interface gig 1/2
switchport access vlan 11
l2nat instance11