作成日 | 1999/Jan/20 |
最終変更日 | 2023/Aug/25 |
文書サイズ | 91KB |
LANインターフェースとPPインターフェースへの適用は、それぞれのコマンドで行
ないます。
しかし、NATディスクリプターの定義は、同じものが使えます。
[ NATディスクリプターの定義 ]
nat descriptor type 1 nat nat descriptor address outer 1 IPアドレス範囲のリスト nat descriptor address inner 1 IPアドレス範囲のリスト ...
[ LANインターフェースに適用 ]
ip lan nat descriptor 1 ... nat descriptor type 1 nat nat descriptor address outer 1 IPアドレス範囲のリスト nat descriptor address inner 1 IPアドレス範囲のリスト ...
[ PPインターフェースに適用 ]
nat descriptor type 1 nat nat descriptor address outer 1 IPアドレス範囲のリスト nat descriptor address inner 1 IPアドレス範囲のリスト ... pp select 1 ip pp nat descriptor 1 ... pp enable 1
[ ひとつの定義を複数のインターフェースに適用(することもできる) ]
ip lan nat descriptor 1 ... nat descriptor type 1 nat nat descriptor address outer 1 IPアドレス範囲のリスト nat descriptor address inner 1 IPアドレス範囲のリスト ... pp select 1 ip pp nat descriptor 1 ... pp enable 1
ip lan nat descriptor 1 ... nat descriptor type 1 nat nat descriptor address outer 1 IPアドレス範囲のリスト nat descriptor address inner 1 IPアドレス範囲のリスト nat descriptor static 1 1 外側アドレス1=内側アドレス1 nat descriptor static 1 2 外側アドレス2=内側アドレス2 nat descriptor static 1 3 外側アドレス3=内側アドレス3 nat descriptor static 1 4 外側アドレス4=内側アドレス4 ...
ip lan nat descriptor 1 ... nat descriptor type 1 nat nat descriptor address outer 1 外側アドレス1 nat descriptor address inner 1 内側アドレス1 nat descriptor static 1 1 外側アドレス1=内側アドレス1 ...
ip lan nat descriptor 1 ... nat descriptor type 1 masquerade nat descriptor address outer 1 IPアドレス nat descriptor address inner 1 IPアドレス範囲のリスト
ip lan nat descriptor 1 ... nat descriptor type 1 masquerade nat descriptor address outer 1 IPアドレス nat descriptor address inner 1 IPアドレス範囲のリスト nat descriptor static 1 1 外側アドレス1=内側アドレス1 nat descriptor static 1 2 外側アドレス2=内側アドレス2 nat descriptor static 1 3 外側アドレス3=内側アドレス3 nat descriptor static 1 4 外側アドレス4=内側アドレス4 ...
ip lan nat descriptor 1 ... nat descriptor type 1 masquerade nat descriptor address outer 1 IPアドレス nat descriptor address inner 1 IPアドレス範囲のリスト nat descriptor static 1 1 外側アドレス1=内側アドレス1 nat descriptor static 1 2 外側アドレス2=内側アドレス2 nat descriptor static 1 3 外側アドレス3=内側アドレス3 nat descriptor static 1 4 外側アドレス4=内側アドレス4 ... nat descriptor masquerade static 1 1 内側アドレス プロトコル ポート番号 nat descriptor masquerade static 1 2 内側アドレス プロトコル ポート番号 nat descriptor masquerade static 1 3 内側アドレス プロトコル ポート番号 nat descriptor masquerade static 1 4 内側アドレス プロトコル ポート番号 ...
ip lan nat descriptor 1 2 ... nat descriptor type 1 nat nat descriptor address outer 1 IPアドレス範囲のリスト nat descriptor address inner 1 IPアドレス範囲のリスト ... nat descriptor type 2 nat nat descriptor address outer 2 IPアドレス範囲のリスト nat descriptor address inner 2 IPアドレス範囲のリスト ...
「sho<TAB>n<TAB><TAB>」
「sho<TAB>n<TAB><TAB>i<TAB><TAB>」
「na<TAB><TAB>」
コンソールには便利な編集機能があります。
テキストエディタで事前に設計/編集しておいたconfigや、 show configしたものをCut & Pasteで設定したり編集したり できます。
NATディスクリプターやインターフェースの適用などの識別情報です。 識別のための情報ですので、どのような数値でもかまいません。 設計者の管理しやすい数値が自由に設定できます。
32ビット符号付き整数で管理されており、 そのうちの有効な数値は正の整数です。
つまり、「1〜2147483647」の整数値が有効なNATディスクリプター番号となります。
名称/意味 | 制限 |
---|---|
NATディスクリプターの定義関係 | メモリの許す限り |
各インターフェースへの適用可能数 | インターフェースごとに最大16個 |
静的NATや静的IPマスカレードの定義情報を設定/変更/削除するなどのための識別情報です。 識別のための情報ですので、どのような数値でもかまいません。 設計者の管理しやすい数値が自由に設定できます。
32ビット符号付き整数で管理されており、 そのうちの有効な数値は正の整数です。
つまり、「1〜2147483647」の整数値が有効なNATディスクリプター番号となります。
名称/意味 | 制限 |
---|---|
識別情報を使った設定の個数 | メモリの許す限り |
[ 説明のまえに ]
静的NAT関係 | |
---|---|
■ | 1組の静的NAT処理 |
★ | 外側アドレス |
● | 内側アドレス |
動的NAT関係 | |
□ | 1組の動的NAT処理 |
☆ | 外側アドレス |
○ | 内側アドレス(未使用,空き) |
◎ | 内側アドレス(使用中) |
IPマスカレード関係 | |
▲ | 1組のIPマスカレード処理 |
☆ | 外側アドレス |
○ | 内側アドレス(未使用,空き) |
◎ | 内側アドレス(使用中) |
[ 用語 ]
NAT処理の外側で使われるIPアドレスです。
nat descriptor address outerコマンドで設定
NAT処理の内側で使われるIPアドレスです。
nat descriptor address innerコマンドで設定
NAT処理する必要のある通信が始まった時、
外側アドレスで未使用のものと内側アドレスが自動的に結び付けられて、
NAT処理される。
NAT処理する必要が無くなった時、
外側アドレスは自動的に開放される。
アドレス変換 | する |
ポート番号変換 | しない |
<外側>…インターフェース側 +----+ | ☆ | …外側アドレス | ↑ | nat descriptor address outerで、固定割り付け | | | | □ | …1組の動的NAT処理 | | | | ↑ | | ○ | …内側アドレス +----+ nat descriptor address innerの範囲から必要に応じて動的割り付け <内側>…ルーティング側
外側アドレスと内側アドレスを1対1で固定したNAT処理
nat descriptor staticコマンドで1組づつ設定します。
アドレス変換 | する |
ポート番号変換 | しない |
<外側>…インターフェース側 +----+ | ★ | …外側アドレス | ↑ | nat descriptor staticで、固定割り付け | | | | ■ | …1組の静的NAT処理 | | | | ↑ | | ● | …内側アドレス +----+ nat descriptor staticで、固定割り付け <内側>…ルーティング側
ひとつの外側アドレスを複数の内側アドレス機器で共有します。
nat descriptor typeコマンドで選べます。
アドレス変換 | する |
ポート番号変換 | する |
<外側> …インターフェース側 +------------+ | ☆ | …外側アドレス | ↑ | nat descriptor address outerの最初のアドレスが固定割り付け | | | | ▲ | …1組のIPマスカレード変換 | / \ | | ↑↑↑↑↑ | | ○○○○○ | …内側アドレス +------------+ nat descriptor address innerの範囲から必要に応じて動的割り付け <内側> …ルーティング側
IPマスカレード動作時、特定のポートを特定の内側アドレスに固定します。
そのポートだけに注目すると「NAT処理」と等価です。
nat descriptor masquerade staticコマンドで設定します。
アドレス変換 | する |
ポート番号変換 | しない |
NAT機能動作の細部仕様が定義された情報。
nat descriptor系コマンドで設定される。
NATディスクリプター番号 | 1〜2147483647 | |||||||||
NAT処理タイプ | none, nat, masquerade, nat-masquerade | |||||||||
外側アドレス情報 (リスト) |
メモリの許す限り または 必要なだけ
| |||||||||
内側アドレス情報 (リスト) |
メモリの許す限り または 必要なだけ
| |||||||||
静的NATの情報 (リスト) |
メモリの許す限り または 必要なだけ
| |||||||||
静的IPマスカレードの情報 (リスト) |
メモリの許す限り または 必要なだけ
|
インターフェースに適用されているNATディスクリプター番号のリスト
適用インターフェース | 1番目の適用 | 2番目 | 3番目 | 4番目 |
---|---|---|---|---|
PP#1 | NATディスクリプター番号 | |||
PP#2 | ||||
.... | ||||
LAN1 | ||||
.... |
NATディスクリプターの「定義情報」と「適用情報」を元にして、 有効な適用に対して1個づつ生成される。
NATディスクリプター番号 |
NAT管理テーブル |
マスカレード管理テーブル |
ひとつのNAT変換処理の動作管理情報
[ NATの処理タイプ ]
静的NAT関係 | |
---|---|
■ | 1組の静的NAT処理 |
★ | 外側アドレス |
● | 内側アドレス |
動的NAT関係 | |
□ | 1組の動的NAT処理 |
☆ | 外側アドレス |
○ | 内側アドレス(未使用,空き) |
◎ | 内側アドレス(使用中) |
IPマスカレード関係 | |
▲ | 1組のIPマスカレード処理 |
☆ | 外側アドレス |
○ | 内側アドレス(未使用,空き) |
◎ | 内側アドレス(使用中) |
[NAT/IPマスカレードの管理テーブルイメージ (静的NAT:1個,NAT:3個)]
■:静的NAT | 1組 |
□:動的NAT | 3組 |
<外側> …インターフェース側 +----+----+----+----+ | ★ | ☆ | ☆ | ☆ | …外側アドレス | ↑ | ↑ | ↑ | ↑ | | | | | | | | | | | ■ | □ | □ | □ | …NAT変換 | | | | | | | | | | ↑ | ↑ | ↑ | ↑ | | ● | ○ | ○ | ○ | …内側アドレス +----+----+----+----+ <内側> …ルーティング側
[ 処理する内容 ]
[NAT/IPマスカレードの管理テーブルイメージ]
■:静的NAT | 1組 |
▲:IPマスカレード | 1組 |
<外側> …インターフェース側 +----+------------+ | ★ | ☆ | …外側アドレス | ↑ | ↑ | | | | | | | ■ | ▲ | …NAT変換 | | | / \ | | ↑ | ↑↑↑↑↑ | | ● | ○○○○○ | …内側アドレス +----+------------+ <内側> …ルーティング側
[ 処理する内容 ]
[NAT/IPマスカレードの管理テーブルイメージ]
■:静的NAT | 1組 |
□:動的NAT | 3組 |
▲:IPマスカレード | 1組 |
<外側> …インターフェース側 +----+----+----+----+------------+ | ★ | ☆ | ☆ | ☆ | ☆ | …外側アドレス | ↑ | ↑ | ↑ | ↑ | ↑ | | | | | | | | | | | | | ■ | □ | □ | □ | ▲ | …NAT変換 | | | | | | | | | / \ | | ↑ | ↑ | ↑ | ↑ | ↑↑↑↑↑ | | ● | ○ | ○ | ○ | ○○○○○ | …内側アドレス +----+----+----+----+------------+ <内側> …ルーティング側
+-----------------------------------+ | +-----------------------------+ | | | IPルーティング | | | +-----------------------------+ | | | | | 192.168.0.1 | | (インターフェースのIPアドレス) | | | | | +-----------------------------+ | | | IPパケットフィルタ | | | | +---(↑)----+----(↓)---+ | | ip {pp|lan|tunnel} secure filter in ... | | | IN | OUT | | | ip {pp|lan|tunnel} secure filter out ... | | +---(↑)----+----(↓)---+ | | | +-----------------------------+ | | | | | +-----------------------------+ |<内側> | | NATディスクリプター | | nat descriptor ... | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | | | | ● | ● | ● | ● | | | ip {pp|lan|tunnel} nat descriptor ... | | | ↓ | ↓ | ↓ | ↓ | | | | | | ★ | ★ | ★ | ★ | | | | | +-----+-----+-----+-----+ | | | +-----------------------------+ |<外側> | | | | +-----------------------------+ | | | パケット・キュー | | …優先制御や帯域制御を使う/使える時 | | (↑) +----(↓)---+ | | queue class filter ... | | | queue | | | {pp|lan} queue type ... | | (↑) +----(↓)---+ | | {pp|lan} queue class filter list ... | +-----------------------------+ | {pp|lan} queue class property ... | | | +-----------------+-----------------+ [LAN/PP/TUNNEL] | 192.168.0.0/24 --------------+---------------------+--------------------- |192.168.0.2
[注意] TUNNELインターフェースに優先制御や帯域制御機能はありません。
: [BRI] : ISDN回線 or 専用線 : +-----------------+-----------------+ | | | | +-----------------------------+ | | | PPPやISDN回線の処理 | | | +-----------------------------+ | | | | | +-----------------------------+ | | | パケット・キュー | | …優先制御や帯域制御を使う/使える時 | | (↓) +----(↑)----+ | | queue class filter ... | | | queue | | | pp queue type ... | | (↓) +----(↑)----+ | | pp queue class filter list ... | +-----------------------------+ | pp queue class property ... | | | | +-----------------------------+ |<外側> | | NATディスクリプター | | nat descriptor ... | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | ip pp nat descriptor ... | | | ★ | ★ | ★ | ★ | | | | | | ↑ | ↑ | ↑ | ↑ | | | | | | ● | ● | ● | ● | | | | | +-----+-----+-----+-----+ | | | +-----------------------------+ |<内側> | | | | +-----------------------------+ | | | IPフィルタ | | | | +----(↓)----+----(↑)----+ | | ip filter ... | | | in | out | | | ip pp secure filter in/out .... | | +----(↓)----+----(↑)----+ | | | +-----------------------------+ | | | | | (PP#n) | ip pp local address | | | | +-----------------------------+ | | | IPルーティング | | | +-----------------------------+ | | | | | (LAN) | ip lan address | | | | +-----------------------------+ | | | IPフィルタ | | | | +----(↑)----+----(↓)----+ | | ip filter ... | | | in | out | | | ip lan secure filter in/out .... | | +----(↑)----+----(↓)----+ | | | +-----------------------------+ | | | | | +-----------------------------+ |<内側> | | NATディスクリプター | | nat descriptor ... | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | ip lan nat descriptor ... | | | ● | ● | ● | ● | | | | | | ↓ | ↓ | ↓ | ↓ | | | | | | ★ | ★ | ★ | ★ | | | | | +-----+-----+-----+-----+ | | | +-----------------------------+ |<外側> | | | | +-----------------------------+ | | | パケット・キュー | | …優先制御や帯域制御を使う/使える時 | | (↑) +----(↓)----+ | | queue class filter ... | | | queue | | | lan queue type ... | | (↑) +----(↓)----+ | | lan queue class filter list ... | +-----------------------------+ | lan queue class property ... | | | | +-----------------------------+ | | | イーサネットの処理 | | | +-----------------------------+ | | | | +-----------------+-----------------+ | [LAN] | | ------------------+--------------------
[ 入ってくる (IPルーティング前) ]
※入ってくるときは、優先制御/帯域制御は、適用されない。
[ 出てゆく (IPルーティング後) ]
ひとつのインターフェースに異なるスタイルのNAT処理を 並列多重に適用することができます。適用可能な最大数は各インターフェースともに16個です。
+-----------------------------+ | | | NATディスクリプター | | | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | | | | | | | | +-----+-----+-----+-----+ | +-----------------------------+
NATディスクリプター番号 | 1 |
■:静的NAT | 1組 |
▲:IPマスカレード | 1組 |
+----+------------+ | ★1| ☆ | | ↑ | ↑ | | | | | | | ■ | ▲ | | | | / \ | | ↑ | ↑↑↑↑↑ | | ●1| ○○○○○ | +----+------------+
[ configイメージ ]
nat descriptor type 1 masquerade nat descriptor address outer 1 ☆1 nat descriptor address inner 1 ○s1-○e1 nat descriptor static 1 1 ★1=●1
NATディスクリプター番号 | 1 |
■:静的NAT | 1組 |
□:動的NAT | 3組 |
▲:IPマスカレード | 1組 |
+----+----+----+----+------------+ | ★2| ☆ | ☆ | ☆ | ☆ | | ↑ | ↑ | ↑ | ↑ | ↑ | | | | | | | | | | | | | ■ | □ | □ | □ | ▲ | | | | | | | | | | / \ | | ↑ | ↑ | ↑ | ↑ | ↑↑↑↑↑ | | ●2| ○ | ○ | ○ | ○○○○○ | +----+----+----+----+------------+
[ configイメージ ]
nat descriptor type 2 nat-masquerade nat descriptor address outer 1 ☆s2-☆e2 nat descriptor address inner 1 ○s2-○e2 nat descriptor static 2 1 ★2=●2
<LANインターフェース側> +---------------------------------------------------------------------+ | | | NATディスクリプター処理 | | | | (1) (2) (3) (4) | | +----+------------+ +----+----+----+----+------------+ : : | | | ★1| ☆ | | ★2| ☆ | ☆ | ☆ | ☆ | : : | | | ↑ | ↑ | | ↑ | ↑ | ↑ | ↑ | ↑ | : : | | | | | | | | | | | | | | | | | | : : | | | ■ | ▲ | | ■ | □ | □ | □ | ▲ | : : | | | | | / \ | | | | | | | | | | / \ | : : | | | ↑ | ↑↑↑↑↑ | | ↑ | ↑ | ↑ | ↑ | ↑↑↑↑↑ | : : | | | ●1| ○○○○○ | | ●2| ○ | ○ | ○ | ○○○○○ | : : | | +----+------------+ +----+----+----+----+------------+ : : | | | +------------------------------[LAN1]---------------------------------+ <IPルーティング側>
[ config ]
ip lan nat descriptor 1 2
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┃ ┃# show nat descriptor interface bind ┃NATディスクリプタ番号 OuterType Type ┃--------------------- --------- ---- ┃ 1 addresses IP Masquerade ┃LAN1(1) ┃ 2 addresses NAT+IP Masquerade ┃LAN1(2) ┃Binding:2 PP:0 LAN:2 ┃--------------------- --------- ---- ┃Defined NAT Descriptor:2 ┃ ┃# show nat descriptor address 1 ┃参照NATディスクリプタ : 1, 適用インタフェース : LAN1(1) ┃ 外側アドレス(Outer) 内側アドレス(Inner) TTL(秒) ┃ ★1 ●1 static ┃Masqueradeテーブル ┃ 外側アドレス: ☆ ┃プロトコル 内側アドレス 宛先 マスカレード TTL(秒) ┃.......... ............ .... ............ ....... ┃ ┃# ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<PPインターフェース側> +---------------------------------------+ | | | NATディスクリプター処理 | | | | (1) (2) (3) (4) | | +----+------------+ : : : | | | ★1| ☆ | : : : | | | ↑ | ↑ | : : : | | | | | | | : : : | | | ■ | ▲ | : : : | | | | | / \ | : : : | | | ↑ | ↑↑↑↑↑ | : : : | | | ●1| ○○○○○ | : : : | | +----+------------+ : : : | | | +----------------[PP#10]----------------+ <IPルーティング側>
[ config ]
pp select 10 ip pp nat descriptor 1
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┃ ┃# show nat descriptor interface bind ┃NATディスクリプタ番号 OuterType Type ┃--------------------- --------- ---- ┃ 1 addresses IP Masquerade ┃LAN1(1) PP[10](1) ┃ 2 addresses NAT+IP Masquerade ┃LAN1(2) ┃Binding:3 PP:1 LAN:2 ┃--------------------- --------- ---- ┃Defined NAT Descriptor:2 ┃ ┃# show nat descriptor address 1 ┃適用インタフェース : LAN1(1) ┃ 外側アドレス(Outer) 内側アドレス(Inner) TTL(秒) ┃ ★1 ●1 static ┃Masqueradeテーブル ┃ 外側アドレス: ☆ ┃プロトコル 内側アドレス 宛先 マスカレード TTL(秒) ┃.......... ............ .... ............ ....... ┃ ┃適用インタフェース : PP[10](1) ┃ 外側アドレス(Outer) 内側アドレス(Inner) TTL(秒) ┃ ★1 ●1 static ┃Masqueradeテーブル ┃ 外側アドレス: ☆ ┃プロトコル 内側アドレス 宛先 マスカレード TTL(秒) ┃.......... ............ .... ............ ....... ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
このとき、NATディスクリプターの「1」は、2つのインターフェースに適用さ れていますが、設定は1つです。
しかし、NAT/IPマスカレードの管理テーブルは2つ生成されます。
各インターフェースに適用されたNAT処理は、それぞれ独立して別々に動作します。
「同じ親(定義)を持つ、2つの子(テーブル)」
「show nat descriptor address 1」を実行すると2つのアドレステーブルが表示されます。(以下は、イメージ図です。)
# show nat descriptor address 1 適用インターフェース: LAN1(1) +----+------------+ | ★1| ☆ | | ↑ | ↑ | | | | | | | ■ | ▲ | …LAN1(1)のNAT/IPマスカレード・テーブル | | | / \ | | ↑ | ↑↑↑↑↑ | | ●1| ○○○○○ | +----+------------+ 適用インターフェース: PP[10](1) +----+------------+ | ★1| ☆ | | ↑ | ↑ | | | | | | | ■ | ▲ | …PP[10](1)のNAT/IPマスカレード・テーブル | | | / \ | | ↑ | ↑↑↑↑↑ | | ●1| ○○○○○ | +----+------------+
トンネル・インターフェースへも、他のインターフェースと同様にNATディスクリプターが適用可能です。
[ IPsecで規定されたパケット(AH,ESP)の特徴 ]
+--------------------------------------------------------------------------+ | +-----------------------------+ | | IKEパケット | セキュリティ・ゲートウェイ | IKEパケット | | IPsecパケット | | IPsecパケット | | ┏━━━━→ | +------------+------------+ | →━━━━┓ | | ┃ | | AH,ESP受信 | AH,ESP送信 | | ┃ | | ┃ | +----(↓)----+----(↑)----+ | ┃ | | ┃ | | 復号化 | 暗号化 | | ┃ | | ┃ | +----(↓)----+----(↑)----+ | ┃ | | ┃ +-----------------------------+ ┃ | | ┃ ↓ ↑ ┃ | | ┃ +-----------------------------+<外側> ┃ | | ┃ | NATディスクリプター | ┃ | | ┃ | +-(1)-+-(2)-+-(3)-+-(4)-+ | ┃ | | ┃ | | ★ | ★ | ★ | ★ | | ┃ | | ┃ | | ↑ | ↑ | ↑ | ↑ | | ┃ | | ┃ | | ● | ● | ● | ● | | ┃ | | ┃ | +-----+-----+-----+-----+ | ┃ | | ┃ +-----------------------------+<内側> ┃ | | ┃ ↓ ↑ ┃ | | ┃ +-----------------------------+ ┃ | | ┃ | IPフィルタ | ┃ | | ┃ | +----(↓)----+----(↑)----+ | ┃ | | ┃ | | in | out | | ┃ | | ┃ | +----(↓)----+----(↑)----+ | ┃ | | ┃ +-----------------------------+ ┃ | | ┃ ↓ ↑ ┃ | | ┃ ↓ (TUNNEL#m)↑ ┃ | | ↑ ↓ ↑ ↓ | | +------------------------------------------------------------------+ | | | IPルーティング | | | +------------------------------------------------------------------+ | | | | | | (LAN) (PP#n) | | | | | | +-----------------------------+ +-----------------------------+ | | | IPフィルタ | | IPフィルタ | | | | +----(↑)----+----(↓)----+ | | +----(↑)----+----(↓)----+ | | | | | in | out | | | | in | out | | | | | +----(↑)----+----(↓)----+ | | +----(↑)----+----(↓)----+ | | | +-----------------------------+ +-----------------------------+ | | | | | | | <内側> | <内側> | | +-----------------------------+ +-----------------------------+ | | | NATディスクリプター | | NATディスクリプター | | | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | | | | ● | ● | ● | ● | | | | ● | ● | ● | ● | | | | | | ↓ | ↓ | ↓ | ↓ | | | | ↓ | ↓ | ↓ | ↓ | | | | | | ★ | ★ | ★ | ★ | | | | ★ | ★ | ★ | ★ | | | | | +-----+-----+-----+-----+ | | +-----+-----+-----+-----+ | | | +-----------------------------+ +-----------------------------+ | | | <外側> | <外側> | | | | | | +-----------------------------+ +-----------------------------+ | | | パケット・キュー | | パケット・キュー | | | | (↑) +----(↓)----+ | | (↑) +----(↓)----+ | | | | | queue | | | | queue | | | | | (↑) +----(↓)----+ | | (↑) +----(↓)----+ | | | +-----------------------------+ +-----------------------------+ | | | | | | +-----------------------------+ +-----------------------------+ | | | イーサネットの処理 | | PPPやISDN回線の処理 | | | +-----------------------------+ +-----------------------------+ | | | | | +-----------------+------------------------------------+-------------------+ | : [LAN] | [BRI] : ISDN回線 or 専用線 | : ------------------+--------------------
いろいろな使い方ができます。
基本的な設定例/テンプレートをできるだけ多く用意しました。
ひとつのNATディスクリプターは、外側アドレスと内側アドレスと NAT変換タイプなどの指定により、NAT変換機能を定義します。
ひとつのインターフェースに複数のNATディスクリプターを適用する場合、 それぞれのアドレスが重複しないように設定する必要があります。
NAT動作中にNATディスクリプターの設定を行なった場合、 管理情報が初期化されます。
通信中に設定を行なった場合、通信が途切れる可能性があります。
LAN側にIPマスカレードを設定した場合、telnetによる設定操作やリビジョンアップ等が行なえなくなる可能性があり、 静的マスカレード設定やシリアルのコンソールによる設定が必要になる場合があります。 設置や設定は慎重に行なって下さい。
RIP,RIP2などのルーティング情報の内容は、NAT変換しません。
双方のネットワーク間にNAT変換を組み込まれた環境で、 ルーティング情報を相互に交換した(NATの内側から外側へ流す)場合、 ネットワークの経路情報が混乱する可能性があるので、 ルーティング設定やルーティング情報の処置は慎重に行ってください。
設定によっては、ルーターに設定されたIPアドレスが正しくNAT/IPマスカレード処理されない事が
ルーターに設定された自己IPアドレスとNAT処理の位置関係に注意
する必要があります。
例えば、primaryとsecondaryを利用した状況の設定など。
NATディスクリプターでは、LANインターフェースにNATが適用できるため、 ルーター自身のIPアドレスとNAT/IPマスカレード変換で用いるIPアドレスを区別して理解した上で設定しなければ、 期待通りの結果が得られないことがあります。
一般的なネットワーク構成図を書くとルーターの自己アドレスは、
LANインターフェースにあるようなイメージを持ってしまいます。
しかし、ヤマハルーターの実装では、IPルーティングで自己アドレスを
判別し、自己アドレスの処理を行ないます。
この時、ルーターの自己アドレスは、NAT/IPマスカレード変換の内側に
ありますので、この点を配慮して設定して頂く必要があります。
NAT/IPマスカレード変換としては、変換するアドレスがグローバルアドレスが、 プライベートアドレスであるかは重要ではなく、 NAT処理の外側で利用するアドレスであるか、内側で利用するアドレスであるか、 であることが重要である。そのような、概念の勘違いを防ぐために NATディスクリプターでは、関連する仕様/用語を「外側」と「内側」に統一している。
[ 通常のネットワーク構成図 ]
WAN接続相手 # # ISDN回線や専用線 # +----+----------------+ | [BRI1] | | | | ルーター | | | | [LAN1] [LAN2] | +----+-----------+----+ | | | |192.168.0.1 192.168.0.0/24 | ====+============================== | |172.16.184.33 172.16.184.32/28 ====+==========================================
[ 記述されている内部機能 ]
LANインターフェースが2つ書かれたルーターの図ですが、 LANインターフェースが1つのモデルでは、LAN2を無視する。
[ 内部機能を含んだネットワーク構成図 ]
: [BRI] : ISDN回線や専用線 : +-----------------+-----------------------------------------------------+ | | | | +-----------------------------+ | | | PPPやISDN回線の処理 | | | +-----------------------------+ | | | | | +-----------------------------+ | | | パケット・キュー | | | | (↓) +----(↑)----+ | | | | | queue | | | | | (↓) +----(↑)----+ | | | +-----------------------------+ | | | | | | <外側> | | +-----------------------------+ | | | NATディスクリプター | | | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | | | | ▲ | ▲ | ▲ | ▲ | | | | | +-----+-----+-----+-----+ | | | +-----------------------------+ | | | <内側> | | | | | +-----------------------------+ +-----------------------------+ | | | IPフィルタ | | 自己アドレスの処理 | | | | +----(↓)----+----(↑)----+ | | | | | | | in | out | | | telnetサーバ, tftpサーバ, | | | | +----(↓)----+----(↑)----+ | | SGW, など | | | +-----------------------------+ +-----------------------------+ | | | | 172.16.184.33 | | (PP#1) | 192.168.0.1 | | | | | | +-----------------------------------------------------------------+ | | | IPルーティング | | | +-----------------------------------------------------------------+ | | | | | | | | (LAN1/Primary) (LAN1/Secondary) (LAN2/Primary) (LAN2/Secondary) | | 172.16.184.32/28 未使用 192.168.0.0/24 未使用 | | | | | | | | +-----------------------------+ +-----------------------------+ | | | IPフィルタ | | IPフィルタ | | | | +----(↑)----+----(↓)----+ | | +----(↑)----+----(↓)----+ | | | | | in | out | | | | in | out | | | | | +----(↑)----+----(↓)----+ | | +----(↑)----+----(↓)----+ | | | +-----------------------------+ +-----------------------------+ | | | | | | | | | <内側> | | <内側> | | | +-----------------------------+ +-----------------------------+ | | | NATディスクリプター | | NATディスクリプター | | | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | +-(1)-+-(2)-+-(3)-+-(4)-+ | | | | | ▼ | ▼ | ▼ | ▼ | | | | ▼ | ▼ | ▼ | ▼ | | | | | +-----+-----+-----+-----+ | | +-----+-----+-----+-----+ | | | +-----------------------------+ +-----------------------------+ | | | <外側> | | <外側> | | | | | | | | | +-----------------------------+ +-----------------------------+ | | | パケット・キュー | | パケット・キュー | | | | (↑) +----(↓)----+ | | (↑) +----(↓)----+ | | | | | queue | | | | queue | | | | | (↑) +----(↓)----+ | | (↑) +----(↓)----+ | | | +-----------------------------+ +-----------------------------+ | | | | | | | | +-----------------------------+ +-----------------------------+ | | | イーサネットの処理 | | イーサネットの処理 | | | +-----------------------------+ +-----------------------------+ | | | | | +-----------------+-----------------------------------+-----------------+ [LAN1] | [LAN2] | | 172.16.184.32/28 | 192.168.0.0/24 =================+================= =================+=================
本格運用前の設計ミスは最小限に抑える為にも、色々な情報を事前に用意して おきます。
試験環境が用意可能でしたら、実際に設定してテストしてみましょう。
NATやIPマスカレードの変更を行なう場合、
telnetやリモートセットアップで設定すると、
イザという時、遠隔操作不能になる可能性があります。
特に、LAN側にNATやIPマスカレードを適用すると打つ手なし!という事態も起るかもしれません。
設定用シリアルコンソールで設定できる環境を用意しておくと安心です。
適用設定を保存しなければ、NAT変換は有効になりません。 動作確認が取れてから適用設定を保存する方が、 設定不具合によるトラブルを回避できます。
設定を有効にしたら、動作がおかしくなるような場合の緊急措置は、
ネットワーク設計情報やconfigの机上設計情報などが用意してあると 間違いが発見しやすです。
適用されたインターフェースを通過するパケットに対して、リストに定義された順番で NAT ディスクリプタによって定義された NAT 変換を順番に処理する。
reverse の後ろに記述した NAT ディスクリプタでは、通常処理される IP アドレス、ポート番号とは逆向きの IP アドレス、ポート番号に対して NAT 変換を施す。
LAN インターフェースの場合、NAT ディスクリプターの外側アドレスに対しては、同一 LAN の ARP 要求に対して応答する。
reverse を指定できるのは Rev.8.03 系以降のリビジョンである。
WAN インターフェースを指定できるのは Rev.10.01.32 以降の RTX1200、Rev.10.00.60 以降の SRT100、RTX810 である。
設定値 | 説明 |
---|---|
none | NAT 変換機能を利用しない |
nat | 動的 NAT 変換と静的 NAT 変換を利用 |
masquerade | 静的 NAT 変換と IP マスカレード変換 |
nat-masquerade | 動的 NAT 変換と静的 NAT 変換と IP マスカレード変換 |
NAT 変換の動作タイプを指定する。
nat-masquerade は、動的 NAT 変換できなかったパケットを IP マスカレード変換で救う。例えば、外側アドレスが 16 個利用可能の場合は先勝ちで 15 個 NAT 変換され、残りは IP マスカレード変換される。
設定値 | 説明 |
---|---|
IP アドレス | 1 個の IP アドレスまたは間に - をはさんだ IP アドレス ( 範囲指定 )、およびこれらを任意に並べたもの |
ipcp | PPP の IPCP の IP-Address オプションにより接続先から通知される IP アドレス用 |
primary | ip interface address コマンドで設定されている IP アドレス |
secondary | ip interface secondary address コマンドで設定されている IP アドレス |
動的 NAT 処理の対象である外側の IP アドレスの範囲を指定する。IP マスカレードでは、先頭の 1 個の外側の IP アドレスが使用される。
ニーモニックをリストにすることはできない。
適用されるインタフェースにより使用できるパラメータが異なる。
適用インターフェース | LAN | PP | トンネル |
---|---|---|---|
ipcp | × | ○ | × |
primary | ○ | × | × |
secondary | ○ | × | × |
IP アドレス | ○ | ○ | ○ |
設定値 | 説明 |
---|---|
IP アドレス | 1 個の IP アドレスまたは間に - をはさんだ IP アドレス ( 範囲指定 )、およびこれらを任意に並べたもの |
auto | すべて |
NAT/IP マスカレード処理の対象である内側の IP アドレスの範囲を指定する。
NAT 変換で固定割り付けする IP アドレスの組み合せを指定する。個数を同時に指定すると指定されたアドレスを始点とした範囲指定とする
外側アドレスが NAT 処理対象として設定されているアドレスである必要は無い。
静的 NAT のみを使用する場合には、nat descriptor address outer コマンドとnat descriptor address inner コマンドの設定に注意する必要がある。
初期値がそれぞれ ipcp と auto であるので、例えば何らかの IP アドレスをダミーで設定しておくことで動的動作しないようにする。
ネットマスクによる範囲指定方式は、RTX1200 の Rev.10.01.42 以降、RTX810 の Rev.11.01.09以降のファームウェア、および、Rev.14.00 系以降のすべてのファームウェアで使用可能である。
設定値 | 説明 |
---|---|
on | 使用する |
off | 使用しない |
IP マスカレード使用時に rlogin、rcp、ssh の使用を許可するか否かを設定する。
on にすると、rlogin、rcp と ssh のトラフィックに対してはポート番号を変換しなくなる。 また on の場合に rsh は使用できない。
設定値 | 説明 |
---|---|
esp | ESP |
tcp | TCP プロトコル |
udp | UDP プロトコル |
icmp | ICMP プロトコル |
プロトコル番号 | IANA で割り当てられている protocol numbers |
IP マスカレードによる通信でポート番号変換を行わないようにポートを固定する。
outer_port とinner_port を指定した場合には IP マスカレード適用時にインタフェースの外側から内側へのパケットはouter_port からinner_port
に、内側から外側へのパケットはinner_port からouter_port へとポート番号が変換される。
outer_port を指定せず、inner_port のみの場合はポート番号の変換はされない。
NAT や IP マスカレードのセッション情報を保持する期間を表す NAT タイマーを設定する。
IP マスカレードの場合には、プロトコルやポート番号別の NAT タイマーを設定することもできる。
指定されていないプロトコルの場合は、第一の形式で設定した NAT タイマーの値が使われる。
IP マスカレードの場合には、TCP/FIN 通過後の NAT タイマーを設定することができる。
TCP/FIN が通過したセッションは終了するセッションなので、このタイマーを短くすることで NAT テーブルの使用量を抑えることができる。
第 3、第 6 書式は以下のリビジョンで使用可能。
Rev.8.03.75 以降、Rev.9.00.37 以降、Rev.10.00.31 以降、Rev.10.01 系以降
設定値 | 説明 |
---|---|
through | 変換せずに通す |
reject | 破棄して、TCP の場合は RST を返す |
discard | 破棄して、何も返さない |
forward | 指定されたホストに転送する |
IP マスカレードで外側から受信したパケットに該当する変換テーブルが存在しないときの動作を設定する。
action が forward のときにはip_address を設定する必要がある。
IP マスカレードで利用するポート番号の範囲を設定する。
ポート番号は、まず最初に port_range1 の範囲から利用される。 port_range1 のポート番号がすべて使用中になったら、port_range2 の範囲のポート番号を使い始める。 このように、port_range1 から port_rangeN の範囲まで、小さい番号のポート範囲から順番にポート番号が利用される。
RTX5000 / RTX3500 は NAT の最大同時セッション数が 65534 であるが、初期設定ではウェルノウンポートを除いた 64511 個のポートしか使用できないため、 同時セッション数を 65534 まで拡張する場合は、本コマンドで 65534 個のポートを使用できるようにポート範囲を広げる、 あるいは nat descriptor backward-compatibility コマンドで type パラメーターを 2 に設定する必要がある。
RTX5000 / RTX3500 Rev.14.00.32 以降、および、Rev.14.01 系以降では、同一のポート番号を使用して複数の接続先とのセッションを確立できるため、
本コマンドで設定したポート数を超えるセッションの確立が可能である。
RTX5000 / RTX3500 Rev.14.00.32 以降、および、Rev.14.01 系以降では、最大セッション数は nat descriptor masquerade session limit total コマンドで設定する。
詳細は、NAT動作タイプの変更機能を参照。
ただし、RTX5000 / RTX3500 Rev.14.00.32 以降、および、Rev.14.01 系以降においても nat descriptor backward-compatibility コマンドの type パラメーターが
1に設定されている場合は、最大セッション数は本コマンドで設定したポート数と同等となるため、最大セッション数を変更する場合は本コマンドの設定を変更する必要がある。
機種ごとの最大使用ポート数と利用可能なポート範囲の個数を下表に示す。
機種 | 最大使用ポート数 | ポート範囲の個数 |
---|---|---|
RTX1210 Rev.14.01.34 以降、RTX830 Rev.15.02.10 以降、RTX1220、RTX1300、RTX3510 | 65534 | 64 |
RTX1210 Rev.14.01.26 以降、RTX830 Rev.15.02.03 以降 | 65534 | 16 |
RTX1210 Rev.14.01.20 以前、RTX830 Rev.15.02.01 以降 | 65534 | 4 |
RTX5000 / RTX3500 Rev.14.00.32 以降 | 65534 | 64 |
RTX5000 / RTX3500 Rev.14.00.29 以前 | 65534 | 4 |
RTX3000 | 40000 | 3 |
RTX1200 | 20000 | 3 |
RTX810 | 10000 | 2 |
上記以外 | 4096 | 1 |
TCP で、このコマンドにより設定されたポート番号を FTP の制御チャネルの通信だとみなして処理をする。
設定値 | 説明 |
---|---|
tcp | TCP |
udp | UDP |
IP マスカレードで変換しないポート番号の範囲を設定する。
if-possible が指定されている時には、処理しようとするポート番号が他の通信で使われていない場合には値を変換せずそのまま利用する。
設定値 | 説明 |
---|---|
on | 記録する |
off | 記録しない |
NAT のアドレス割当などの動作情報をログに記録するか否かを設定する。
設定値 | 説明 |
---|---|
on | 変換する |
off | 変換しない |
auto | sip use コマンドの設定値に従う |
静的 NAT や静的 IP マスカレードで SIP メッセージに含まれる IP アドレスを書き換えるか否かを設定する。
Rev.8.02.35 以降で初期値が off から on に変更された。
auto は RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.24 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。
設定値 | 説明 |
---|---|
on | IP マスカレード変換時に DF ビットを削除する |
off | IP マスカレード変換時に DF ビットを削除しない |
IP マスカレード変換時に DF ビットを削除するか否かを設定する。
DF ビットは経路 MTU 探索のために用いるが、そのためには長すぎるパケットに対する ICMP エラーを正しく発信元まで返さなくてはいけない。 しかし、IP マスカレード処理では IP アドレスなどを書き換えてしまうため、ICMP エラーを正しく発信元に返せない場合がある。 そうなると、パケットを永遠に届けることができなくなってしまう。このように、経路 MTU 探索のための ICMP エラーが正しく届かない状況を、経路 MTU ブラックホールと呼ぶ。
IP マスカレード変換時に同時に DF ビットを削除してしまうと、この経路 MTU ブラックホールを避けることができる。 その代わりに、経路 MTU 探索が行われないことになるので、通信効率が下がる可能性がある。
設定値 | 説明 |
---|---|
1..2147483647 | NATディスクリプター番号 |
all | すべてのNATディスクリプター番号 |
動的な NAT ディスクリプタのアドレスマップを表示する。
nat_descriptor を省略した場合はすべての NAT ディスクリプター番号について表示する。
detail オプションは Rev.10.01 系以降で使用可能である。 Rev.10.01 系以降では、detail オプションを省略した場合、動的 IP マスカレードエントリは内側 IP アドレスごとに集約して表示され、 また、静的 IP マスカレードエントリから派生して生成された IP マスカレードエントリは表示されない。 そのため、それ以前の全エントリ表示形式で表示させるためのオプションとして detail オプションが同系列から追加されている。
IP マスカレードで大量にポートを使用している場合は、detail オプションを指定すると全エントリの表示に時間がかかり通信に影響を及ぼすことがあるため、
IP マスカレードで使用中のポートの個数を確認したいときは、detail オプションを指定しないようにするか、
show nat descriptor masquerade port summary コマンドを使うことを推奨する。
なお、show nat descriptor masquerade port summary コマンドは Rev.10.01 系以降で、
show nat descriptor masquerade session summary コマンドは RTX5000 / RTX3500 Rev.14.00.32 以降、および、Rev.14.01 系以降で使用可能である。
NAT ディスクリプターと適用インターフェースのリストを表示する。
RT250i では show nat descriptor interface bind tunnel コマンドは使用できない。
WAN インタフェースは Rev.10.01.32 以降の RTX1200、Rev.10.00.60 以降の SRT100、RTX810 で指定可能。
インタフェースに適用されている NAT ディスクリプターのアドレスマップを表示する。
RT250i では show nat descriptor interface address tunnel コマンドは使用できない。
Rev.10.01.09以降では、動的IPマスカレードエントリは内側IPアドレスごとに集約して表示され、
また、静的IPマスカレードエントリから派生して生成されたIPマスカレードエントリは表示されない。
WAN インタフェースは Rev.10.01.32 以降の RTX1200、Rev.10.00.60 以降の SRT100、RTX810 で指定可能。
動的IPマスカレードで使用しているポート番号の個数を表示する。静的IPマスカレードで確保されているポート番号の個数は含まれない。
本コマンドは、Rev.10.01 系以降で使用可能である。
RTX5000 / RTX3500 Rev.14.00.32 以降、および、Rev.14.01 系以降において、nat descriptor backward-compatibility コマンドで、type パラメーターを 2 に設定した場合は本コマンドは使用できない。
代わりに、show nat descriptor masquerade session summary コマンドで、管理しているセッション数を表示することができる。
nat descriptor backward-compatibility コマンドおよびshow nat descriptor masquerade session summary コマンドについては、NAT動作タイプの違いについてを参照。
設定値 | 説明 |
---|---|
1..2147483647 | NATディスクリプター番号 |
all | すべてのNATディスクリプター番号 |
NAT アドレステーブルをクリアする。
通信中にアドレス管理テーブルをクリアした場合、通信が一時的に不安定になる可能性がある。
インタフェースに適用されている NAT アドレステーブルをクリアする。
RT250i では show nat descriptor interface address tunnel コマンドは使用できない。
WAN インタフェースは SRT100 Rev.10.00.60 以降、RTX1200 Rev.10.01.32 以降のファームウェア、および、RTX3510、RTX1300、RTX1220、RTX1210、RTX830、RTX810 で指定可能。