ネットワーク アドレス変換（NAT）は、IP アドレスの節約を目的として設計されています。NAT によって、未登録 IP アドレスを使用するプライベート IP ネットワークをインターネットに接続できます。NAT はデバイス（通常、2 つのネットワークを接続するもの）上で動作し、内部ネットワークのプライベート（グローバルに一意ではない）アドレスをグローバルにルート可能なアドレスに変換します。これは、パケットが別のネットワークに転送される前に行われます。

NAT は、ネットワーク全体に対して 1 つのアドレスだけを外部にアドバタイズするように設定できます。この機能により、そのアドレスの後ろにある内部ネットワーク全体を効果的に隠すことができ、セキュリティが強化されます。NAT には、セキュリティおよびアドレス節約の二重の機能性があり、一般的にリモート アクセス環境で実装されます。

NAT は、エンタープライズ エッジでも使用され、内部ユーザーのインターネットへのアクセスを許可し、メール サーバーなど内部デバイスへのインターネット アクセスを許可します。

NAT を設定すると、次の利点があります。

• NAT は IP が枯渇する問題を解決します。

  組織が NAT を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。ネットワーク インフォメーション センター（NIC）登録 IP アドレスをまだ所有していないサイトは、IP アドレスを取得する必要があります。このような場合、254 を超えるクライアントが存在するか、または計画されている場合、クラス B アドレスの不足が深刻な問題になります。NAT はこのような問題に対応するために、隠された数千の内部アドレスを、取得の容易な Class C アドレスの範囲にマップします。

• NAT はクライアント IP アドレスを外部ネットワークから隠すことで、セキュリティレイヤも提供します。

  内部ネットワークのクライアントの IP アドレスをすでに登録しているサイトでも、ハッカーがクライアントを直接攻撃できないように、これらのアドレスをインターネットから隠すことができます。クライアント アドレスを隠すことにより、セキュリティがさらに強化されます。NAT により LAN 管理者は、インターネット割り当て番号局の予備プールを利用して、Class A アドレスを自由に拡張することができます。Class A アドレスの拡張は組織内で行われ、LAN またはインターネット インターフェイスでアドレッシングの変更に配慮する必要はありません。

• Cisco ソフトウェアは、選択的、または動的に NAT を実行できます。この柔軟性により、ネットワーク管理者は RFC 1918 アドレスまたは登録したアドレスを使用することができます。

• NAT は、IP アドレスの簡略化や節約のためにさまざまなデバイス上で使用できるように設計されています。また、NAT により、変換に使用できる内部ホストを選択することもできます。

• NAT は、NAT を設定する若干のデバイス以外には、何ら変更を加えずに設定できるという大きな利点があります。

NAT が設定されたデバイスには、少なくとも内部ネットワークに対して 1 つ、外部ネットワークに対して 1 つのインターフェイスがあります。標準的な環境では、NAT はスタブ ドメインとバックボーン間の出口デバイスに設定されます。パケットがドメインから出て行くとき、NAT はローカルで意味のある送信元 アドレスをグローバルで一意の アドレスに変換します。パケットがドメインに入ってくる際は、NAT はグローバルに一意な宛先アドレスをローカル アドレスに変換します。

複数の内部ネットワークをデバイスに接続でき、同様にデバイスから外部ネットワークへと複数の出口となる点が存在する場合があります。アドレスが足りなくなって、パケットにアドレスを割り当てられなくなった場合、NAT はそのパケットを破棄し、Internet Control Message Protocol（ICMP）ホスト到達不能パケットをその接続先に送信します。

変換および転送は、ハードウェアのスイッチングプレーンで実行されるため、全体的なスループットの性能が改善されます。性能の詳細については、「NAT の性能とスケール数」セクションを参照してください。

NAT は次のシナリオで使用できます。

• ホストのごく少数しかグローバルな一意の IP アドレスを持っていない状況でインターネットに接続する場合。

  NAT はスタブ ドメイン（内部ネットワーク）と、インターネットなどのパブリック ネットワーク（外部ネットワーク）との境界にあるデバイス上に設定されます。NAT はパケットを外部ネットワークに送信する前に、内部のローカル アドレスをグローバルに一意の IP アドレスに変換します。

  接続性の問題への解決策として NAT が役立つのは、スタブ ドメイン内の比較的少数のホストが同時にドメインの外部と通信する場合のみです。この場合、外部との通信が必要なときに、グローバルに一意な IP アドレスに変換する必要があるのはこのドメインにある IP アドレスのごく一部のみです。また、これらのアドレスは再利用できます。

• 番号の付け直しを行う場合：

  内部アドレスの変更には相当の工数がかかるため、変更する代わりに NAT を使用して変換することができます。

NAT において、内部という用語は、組織が所有し変換が必要なネットワークを表します。NAT が設定されている場合、このネットワーク内のホストは、ある空間（ローカルアドレス空間として知られている）内にアドレスを持ち、それが別の空間（グローバルアドレス空間として知られている）にあるものとしてネットワークの外側に現れることになります。

同様に、外部という用語は、スタブ ネットワークの接続先で、通常、その組織の制御下にはないネットワークを表します。外部ネットワーク内のホストを変換の対象にすることもできるため、これらのホストはローカル アドレスとグローバル アドレスを持つことができます。

NAT では、次の定義が使用されます。

• 内部ローカルアドレス：内部ネットワーク上のホストに割り当てられた IP アドレス。このアドレスは、多くの場合、NIC やサービス プロバイダーにより割り当てられたルート可能な IP アドレスではありません。

• 内部グローバルアドレス：外部に向けて、1 つまたは複数の内部ローカル IP アドレスを表すグローバルなルート可能な IP アドレス（NIC またはサービスプロバイダーにより割り当てられたもの）。

• 外部ローカルアドレス：内部ネットワークから見た外部ホストの IP アドレス。必ずしもルート可能な IP アドレスでありません。内部でルート可能なアドレス空間から割り当てられたものです。

• 外部グローバルアドレス：外部ネットワークに存在するホストに対して、ホストの所有者により割り当てられた IP アドレス。このアドレスは、グローバルにルート可能なアドレス、またはネットワーク空間から割り当てられます。

• 内部送信元アドレス変換：内部ローカルアドレスを内部グローバルアドレスに変換します。

• 外部送信元アドレス変換：外部グローバルアドレスを外部ローカルアドレスに変換します。

• 静的ポート変換：内部/外部ローカルアドレスの IP アドレスとポート番号を、対応する内部/外部グローバルアドレスの IP アドレスとポート番号に変換します。

• 特定のサブネットの静的変換：内部/外部ローカルアドレスの指定された範囲のサブネットを対応する内部/外部グローバルアドレスに変換します。

• ハーフエントリ：ローカルおよびグローバルのアドレス/ポート間のマッピングを表し、NAT モジュールの変換データベースで維持されます。ハーフ エントリは、設定されている NAT 規則に基づいて、静的または動的に作成され得ます。

• フルエントリ/フローエントリ：特定のセッションに対応する一意のフローを表します。ローカルからグローバルへのマッピングに加えて、指定したフローを完全修飾する接続先情報も維持されます。フル エントリは常に動的に作成されて NAT モジュールの変換データベースで維持されます。

ネットワーク全体を表す 1 つのアドレスのみを外部にアドバタイズするように NAT を設定できます。この設定で、内部ネットワークを外部から効果的に隠すことができるため、セキュリティがさらに強化されます。

NAT には次のタイプがあります。

• 静的アドレス変換（静的 NAT）：ローカルアドレスとグローバルアドレスを 1 対 1 でマッピングします。

• 動的アドレス変換（動的 NAT）：未登録の IP アドレスを、登録済み IP アドレスのプールから取得した登録済み IP アドレスにマップします。

• オーバーロード/PAT：複数の未登録 IP アドレスを、複数の異なるレイヤ 4 ポートを使用して、1 つの登録済み IP アドレスにマップ（多対 1）します。この方法は、ポート アドレス変換（PAT）とも呼ばれます。オーバーロードを使用することにより、使用できる正規のグローバル IP アドレスが 1 つのみでも、数千のユーザーをインターネットに接続することができます。

自分が属するネットワークの外部と通信するときに、未登録の IP アドレスをグローバルで一意な IP アドレスに変換できます。

静的または動的内部送信元アドレス変換は、次のようにして設定できます。

• 静的変換は、内部ローカル アドレスと内部グローバル アドレスの間に 1 対 1 のマッピングを設定します。外部から固定アドレスを使って内部のホストにアクセスする必要がある場合には、静的変換が便利です。静的変換は、x セクションで説明されているように、静的 NAT 規則を設定して有効にできます。

• 動的変換は、内部ローカル アドレスとグローバル アドレスのプールの間にマッピングを動的に設定します。動的変換は、動的 NAT 規則を設定することで有効にできます。マッピングは、設定されている規則を実行時に評価した結果に基づいて設定されます。内部ローカルアドレスの指定には、標準と拡張の両方のアクセス制御リスト（ACL）を使用できます。内部グローバル アドレスはアドレス プールまたはインターフェイスから指定できます。動的変換は、「内部送信元アドレスの動的変換の設定」セクションで説明されているように動的規則を設定して有効にできます。

次の図には、ネットワーク内の送信元アドレスを、ネットワーク外の送信元アドレスに変換するデバイスが示されています。

次のプロセスは、上の図の内部送信元アドレス変換を示しています。

1. ホスト 10.1.1.1 のユーザーは、外部ネットワークのホスト B との接続を開きます。

2. NAT モジュールは、対応するパケットを横取りし、パケットを変換しようとします。

   一致する NAT 規則の有無に基づいて、次のシナリオが考えられます。

   • 一致する静的変換規則が存在する場合、パケットは対応する内部グローバル アドレスに変換されます。存在しない場合、パケットは動的変換規則に対して照合され、一致した場合は対応する内部グローバルアドレスに変換されます。NAT モジュールは、変換したパケットに対応する完全修飾フロー エントリを変換データベースに挿入します。これにより、このフローに対応するパケットの高速変換および転送が双方向で促進されます。

   • 一致する規則がない場合、パケットはアドレス変換を行わずに転送されます。

   • 有効な内部グローバルアドレスを取得できない場合は、たとえ一致する規則があってもパケットは破棄されます。

     （注）	動的変換に ACL が使用される場合、NAT は ACL を評価し、特定の ACL で許可されているパケットのみが変換の対象になるようにします。

3. デバイスはホスト 10.1.1.1 の内部ローカル送信元アドレスを、この変換の内部グローバル アドレス 203.0.113.2 で置き換え、パケットを転送します。

4. ホスト B はこのパケットを受信し、内部グローバル IP 宛先アドレス（DA）203.0.113.2 を使用して、ホスト 10.1.1.1 に応答します。

5. ホスト B からの応答パケットは、内部グローバルアドレスに送信されます。NAT モジュールはこのパケットを横取りし、変換データベースにセットアップされているフローエントリを使って対応する内部ローカルアドレスに変換し直します。

ホスト 10.1.1.1 はパケットを受信し、会話を続けます。デバイスは、受信する各パケットについて手順 2 ～ 5 を実行します。

ネットワークの外部から内部に移動する IP パケットの送信元アドレスを変換できます。通常、このタイプの変換は、重複しているネットワークを相互接続するために、内部送信元アドレスの変換と組み合わせて使用されます。

このプロセスについては、「重複するネットワークの変換の設定」セクションで説明します。

デバイスで、多くのローカルアドレスに 1 つのグローバルアドレスを使用できるようにすることで、内部グローバルアドレスプールのアドレスを節約できます。このタイプの NAT 設定は、オーバーロードまたはポートアドレス変換（PAT）と呼ばれます。

オーバーロードが設定されている場合、デバイスは、より高いレベルのプロトコルから十分な情報（たとえば、TCP または UDP ポート番号）を保持して、グローバル アドレスを正しいローカル アドレスに戻します。複数のローカル アドレスが 1 つのグローバル アドレスにマッピングされる場合、各内部ホストの TCP または UDP ポート番号によりローカル アドレスが区別されます。

次の図は、1 つの内部グローバルアドレスが複数の内部ローカルアドレスを表すときの NAT の動作を示しています。区別は、TCP ポート番号により行われます。

このデバイスは、上の図に示すように、内部グローバル アドレスのオーバーロードで次の処理を行います。ホスト B およびホスト C はいずれも、アドレス 203.0.113.2 にある 1 つのホストと通信していると信じています。ただし、実際には、異なるホストと通信しています。区別にはポート番号が使用されます。つまり、多数の内部ホストは、複数のポート番号を使用して、内部グローバル IP アドレスを共有することができます。

1. ホスト 10.1.1.1:1723 のユーザはホスト B への接続を開き、ホスト 10.1.1.2:1723 のユーザはホスト C への接続を開きます。

2. NAT モジュールは、対応するパケットを横取りし、パケットの変換を試みます。

   一致する NAT 規則の有無に基づいて、次のシナリオが考えられます。

   • 一致する静的変換規則が存在する場合はその規則が優先され、パケットは対応するグローバル アドレスに変換されます。存在しない場合、パケットは動的変換規則に対して照合され、一致した場合は対応するグローバル アドレスに変換されます。NAT モジュールは、変換したパケットに対応する完全修飾フロー エントリを変換データベースに挿入し、このフローに対応するパケットの高速変換および転送を双方向で促進します。

   • 一致する規則がない場合、パケットはアドレス変換を行わずに転送されます。

   • 有効な内部グローバルアドレスを取得できない場合は、一致する規則があってもパケットは破棄されます。

   • これは PAT 設定であるため、トランスポートのポートにより複数のフローを 1 つのグローバルアドレスに変換できます。（送信元アドレスに加えて送信元ポートも変換されるため、関連付けられているフロー エントリは対応する変換マッピングを維持します。）

3. デバイスは、内部ローカル送信元アドレス/ポート 10.1.1.1/1723 および 10.1.1.2/1723 を対応する選択されたグローバル アドレス/ポート 203.0.113.2/1024 および 203.0.113.2/1723 にそれぞれ置き換えてパケットを転送します。

4. ホスト B はこのパケットを受信し、ポート 1024 で内部グローバル IP アドレス 203.0.113.2 を使用してホスト 10.1.1.1 に応答します。ホスト C はこのパケットを受信し、ポート 1723 で内部グローバル IP アドレス 203.0.113.2 を使用してホスト 10.1.1.2 に応答します。

5. デバイスは、内部グローバル IP アドレスを持つパケットを受信すると、内部グローバル アドレスとポート、および外部アドレスとポートをキーとして NAT テーブル検索を実行します。次に、アドレスを内部ローカル アドレス 10.1.1.1:1723/10.1.1.2:1723 に変換し、パケットをホスト 10.1.1.1 および 10.1.1.2 にそれぞれ転送します。

ホスト 10.1.1.1 および 10.1.1.2 はパケットを受信し、通信を続行します。デバイスは、受信する各パケットについて手順 2 ～ 5 を実行します。

使用する IP アドレスが正当でない、または正式に割り当てられていない場合、IP アドレスを変換するには NAT を使用します。すでに合法的に所有されインターネットまたは外部ネットワーク上のデバイスに割り当てられている IP アドレスを、独自のネットワーク上の別のデバイスに割り当てると、ネットワークの重複が発生します。

次の図は重複したネットワークを示しています。内部ネットワークと外部ネットワークの両方のローカル IP アドレスが同じです（10.1.1.x）。そのように重複しているアドレス空間の間のネットワーク接続を確立するには NAT デバイスを使用して遠隔にある対向のアドレス（10.1.1.3）を内部から見た別のアドレスに変換する必要があります。

内部ローカルアドレス（10.1.1.1）および外部グローバルアドレス（10.1.1.3）が同じサブネットにあることに注意してください。重複するアドレスを変換するために、まず、内部送信元アドレスの変換によって内部ローカル アドレスが 203.0.113.2 に変換され、NAT テーブルにハーフ エントリが作成されます。受信側では、外部送信元アドレスが 172.16.0.3 に変換され、ハーフ エントリがもう 1 つ作成されます。すべての変換を完了し、NAT テーブルがフル エントリで更新されます。

次の手順は、重複するアドレスをデバイスが変換する方法を示します。

1. ホスト 10.1.1.1 は 172.16.0.3 への接続を開きます。

2. NAT モジュールは、内部ローカルアドレスと内部グローバルアドレスを相互に、また外部グローバルアドレスと外部ローカルアドレスを相互にマップする変換マッピングをセットアップします。

3. 送信元アドレス（SA）は、内部グローバル アドレスで置き換えられ、宛先アドレス（DA）は外部グローバル アドレスで置き換えられます。

4. ホスト C はパケットを受信し、会話を続けます。

5. デバイスは NAT テーブルの検索を行い、DA を内部ローカル アドレスで、SA を外部ローカル アドレスで置き換えます。

6. この変換プロセスを使用して、パケットがホスト 10.1.1.1 により受信され、会話が続けられます。

ハードウェアでサポートされる双方向 NAT フローの最大数は 192 に制限されています。

（注）	アドレスのみの変換を使用すると、フローの処理が最適化され、NAT 機能のスケールが拡張されます。

アドレスのみの変換（AOT）機能は、トランスポートのポートではなくアドレスフィールドのみを変換する必要がある状況で使用できます。そのような状況で AOT 機能を有効にすると、ハードウェアにおいてラインレートで変換および転送できるフローの数が大幅に増加します。この改善は、変換および転送に関連したさまざまなハードウェアリソースの使用を最適化することによって実現されます。

一般的な NAT 集中型リソース割り当て方式では、ハードウェア変換を実行するために 384 個の TCAM エントリが確保されます。その結果、ラインレートで変換および転送できるフローの数に厳密な上限が設定されます。AOT スキームでは、TCAM リソースの使用が高度に最適化されるため、TCAM テーブルでより多くのフローに対応できるようになり、ハードウェア変換および転送の規模が大幅に拡大します。

AOT は、フローの大部分が単一または少数の宛先に送信される場合に非常に効果的です。そのような良好な条件下では、AOT により、特定の 1 つまたは複数のエンドポイントから発信されるすべてのフローのラインレート変換および転送が有効になる可能性があります。AOT 機能は、デフォルトでは無効になっています。no ip nat create flow-entries コマンドを使用して有効にできます。既存の動的フローは、clear ip nat translation コマンドを使用してクリアできます。AOT 機能は、ip nat create flow-entries コマンドを使用して無効にできます。

このセクションで説明するタスクを使用して、NAT を効果的に設定できます。設定によっては、複数の作業を実行する必要があります。

NAT は、アプリケーション データ ストリームで送信元および宛先 IP アドレスを伝送しない TCP/UDP トラフィックにおいて変換サービスを実行します。送信元および宛先 IP アドレスを伝送しないプロトコルには、次のものがあります。

• HTTP

• TFTP

• Telnet

• Archie

• Finger

• ネットワーク タイム プロトコル（NTP）

• ネットワーク ファイル システム（NFS）

• リモートログイン（rlogin）

• リモートシェル（rsh）

• リモートコピー（rcp）

アドレス/ポート情報をペイロードで搬送するアプリケーションは、NAT アプリケーション レベル ゲートウェイ（ALG）により、NAT ドメイン全体で正しく機能できます。パケット ヘッダ内のアドレス/ポートの通常の変換に加えて、ALG はペイロードに存在するアドレス/ポートの変換も処理し、一時マッピングを設定します。

• 静的規則と動的規則の両方が設定されている場合は、規則に指定されているローカル アドレスが重複していないことを確認してください。このような重複の可能性がある場合は、静的規則が使用するアドレスを動的規則に関連付けられている ACL で除外してください。同様に、グローバル アドレス間の重複もなくす必要があります。重複していると、望ましくない動作が生じることがあります。

• NAT 規則に関連付けられている ACL では、permit ip any any などの範囲の広いフィルタリングを使用しないでください。このようなフィルタリングは、必要のないパケットを変換することがあります。

• 複数の NAT 規則でアドレス プールを共有しないでください。

• 静的 NAT と動的プールで同じ内部グローバル アドレスを定義しないでください。これを行うと、望ましくない結果を招くことがあります。

• NAT に関連付けられているデフォルトのタイムアウト値を変更する場合は、慎重に行ってください。タイムアウト値を短くすると、CPU の使用率が高くなることがあります。

• 変換エントリを手動でクリアする場合は、アプリケーション セッションが中断されることがあるため、慎重に行ってください。

• NAT 対応インターフェイスを通過する ALG パケットは、パケットが変換されるかどうかに関係なく、CPU にパントされます。そのため、NATトラフィック専用のインターフェイスを使用することをお勧めします。NAT 変換する必要がない他のタイプのトラフィックにはすべて、別のインターフェイスを使用します。

ここでは、NAT のトラブルシューティングと確認のための基本的な手順について説明します

• NAT で実現できることを明確に定義する。

• show ip nat translation コマンドで、正しい変換テーブルが存在していることを確認する。

• show ip nat translation verbose コマンドで、タイマーの値が正しく設定されていることを確認する。

• show ip access-list コマンドで、NAT の ACL 値をチェックする。

• show ip nat statistics コマンドで、NAT の全体的な設定をチェックする。

• clear ip nat translation コマンドで、タイマーの期限が切れるより早く NAT 変換テーブルのエントリをクリアする。

• debug nat ip と debug nat ip detailed コマンドを使用して、NAT 設定をデバッグする。

NAT のトラブルシューティングの詳細については、Cisco.com の「Verifying NAT Operation and Basic NAT Troubleshooting」を参照してください。