NATディスクリプター コマンド仕様

作成日1999/Jan/20
最終変更日2021/Apr/14
文書サイズ 90KB


1. 基本情報

1-1. configスタイル

  1. NATの基本

    LANインターフェースとPPインターフェースへの適用は、それぞれのコマンドで行 ないます。
    しかし、NATディスクリプターの定義は、同じものが使えます。

    [ NATディスクリプターの定義 ]

    nat descriptor type 1 nat
    nat descriptor address outer 1 IPアドレス範囲のリスト
    nat descriptor address inner 1 IPアドレス範囲のリスト
    ...
    

    [ LANインターフェースに適用 ]

    ip lan nat descriptor 1
    ...
    nat descriptor type 1 nat
    nat descriptor address outer 1 IPアドレス範囲のリスト
    nat descriptor address inner 1 IPアドレス範囲のリスト
    ...
    

    [ PPインターフェースに適用 ]

    nat descriptor type 1 nat
    nat descriptor address outer 1 IPアドレス範囲のリスト
    nat descriptor address inner 1 IPアドレス範囲のリスト
    ...
    pp select 1
    ip pp nat descriptor 1
    ...
    pp enable 1
    

    [ ひとつの定義を複数のインターフェースに適用(することもできる) ]

    ip lan nat descriptor 1
    ...
    nat descriptor type 1 nat
    nat descriptor address outer 1 IPアドレス範囲のリスト
    nat descriptor address inner 1 IPアドレス範囲のリスト
    ...
    pp select 1
    ip pp nat descriptor 1
    ...
    pp enable 1
    
  2. 動的NAT+静的NAT設定
    ip lan nat descriptor 1
    ...
    nat descriptor type 1 nat
    nat descriptor address outer 1 IPアドレス範囲のリスト
    nat descriptor address inner 1 IPアドレス範囲のリスト
    nat descriptor static 1 1 外側アドレス1=内側アドレス1
    nat descriptor static 1 2 外側アドレス2=内側アドレス2
    nat descriptor static 1 3 外側アドレス3=内側アドレス3
    nat descriptor static 1 4 外側アドレス4=内側アドレス4
    ...
    
  3. 1組の静的NAT
    ip lan nat descriptor 1
    ...
    nat descriptor type 1 nat
    nat descriptor address outer 1 外側アドレス1
    nat descriptor address inner 1 内側アドレス1
    nat descriptor static 1 1 外側アドレス1=内側アドレス1
    ...
    
  4. masqueradeの基本
    ip lan nat descriptor 1
    ...
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 IPアドレス
    nat descriptor address inner 1 IPアドレス範囲のリスト
    
  5. masqueradeの基本+静的NAT
    ip lan nat descriptor 1
    ...
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 IPアドレス
    nat descriptor address inner 1 IPアドレス範囲のリスト
    nat descriptor static 1 1 外側アドレス1=内側アドレス1
    nat descriptor static 1 2 外側アドレス2=内側アドレス2
    nat descriptor static 1 3 外側アドレス3=内側アドレス3
    nat descriptor static 1 4 外側アドレス4=内側アドレス4
    ...
    
  6. masqueradeの基本+静的NAT+静的IPマスカレード
    ip lan nat descriptor 1
    ...
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 IPアドレス
    nat descriptor address inner 1 IPアドレス範囲のリスト
    nat descriptor static 1 1 外側アドレス1=内側アドレス1
    nat descriptor static 1 2 外側アドレス2=内側アドレス2
    nat descriptor static 1 3 外側アドレス3=内側アドレス3
    nat descriptor static 1 4 外側アドレス4=内側アドレス4
    ...
    nat descriptor masquerade static 1 1 内側アドレス プロトコル ポート番号
    nat descriptor masquerade static 1 2 内側アドレス プロトコル ポート番号
    nat descriptor masquerade static 1 3 内側アドレス プロトコル ポート番号
    nat descriptor masquerade static 1 4 内側アドレス プロトコル ポート番号
    ...
    
  7. ひとつのIFに複数のNAT(masquerade)処理を適用
    ip lan nat descriptor 1 2
    ...
    nat descriptor type 1 nat
    nat descriptor address outer 1 IPアドレス範囲のリスト
    nat descriptor address inner 1 IPアドレス範囲のリスト
    ...
    nat descriptor type 2 nat
    nat descriptor address outer 2 IPアドレス範囲のリスト
    nat descriptor address inner 2 IPアドレス範囲のリスト
    ...
    

▲ このドキュメントの先頭へ


1-2. コマンド、長いんですけど....

  1. コンソールの<TAB>キーによる補完機能をご利用下さい。
  2. 同じ入力が続く?

    コンソールには便利な編集機能があります。

  3. telnetやターミナルソフトで、Cut & Paste機能が利用できませんか?

    テキストエディタで事前に設計/編集しておいたconfigや、 show configしたものをCut & Pasteで設定したり編集したり できます。

▲ このドキュメントの先頭へ


1-3. NATディスクリプター番号

▲ このドキュメントの先頭へ


1-4. 識別情報(ID)

▲ このドキュメントの先頭へ


1-5. 用語

[ 説明のまえに ]

[ 用語 ]

▲ このドキュメントの先頭へ


1-6. 設定情報、適用情報、管理情報、など

▲ このドキュメントの先頭へ


1-7. NATの処理タイプ

[ NATの処理タイプ ]

▲ このドキュメントの先頭へ


1-8. インターフェースへの適用について

▲ このドキュメントの先頭へ


1-9. トンネル・インターフェースへの適用について

トンネル・インターフェースへも、他のインターフェースと同様にNATディスクリプターが適用可能です。

▲ このドキュメントの先頭へ


1-10. 注意事項

▲ このドキュメントの先頭へ


1-11. ルーターの自己アドレスとNATの関係

▲ このドキュメントの先頭へ


1-12. 困らない為のアドバイス (困った時の?)

▲ このドキュメントの先頭へ


2. 詳細

2-1. インターフェースへの適用コマンド

▲ このドキュメントの先頭へ


2-2. NATディスクリプターの定義コマンド

2-2-1. NATディスクリプターの変換タイプの設定

[書式]
nat descriptor type nat_descriptor type
no nat descriptor type nat_descriptor [type]
[設定値及び初期値]
[説明]

NAT 変換の動作タイプを指定する。

[ノート]

nat-masquerade は、動的 NAT 変換できなかったパケットを IP マスカレード変換で救う。例えば、外側アドレスが 16 個利用可能の場合は先勝ちで 15 個 NAT 変換され、残りは IP マスカレード変換される。


2-2-2. NAT処理の外側IPアドレスの設定

[書式]
nat descriptor address outer nat_descriptor outer_ipaddress_list
no nat descriptor address outer nat_descriptor [outer_ipaddress_list]
[設定値及び初期値]
[説明]

動的 NAT 処理の対象である外側の IP アドレスの範囲を指定する。IP マスカレードでは、先頭の 1 個の外側の IP アドレスが使用される。

[ノート]

ニーモニックをリストにすることはできない。
適用されるインタフェースにより使用できるパラメータが異なる。

適用インターフェースLANPPトンネル
ipcp ××
primary ××
secondary ××
IP アドレス

2-2-3. NAT処理の内側IPアドレスの設定

[書式]
nat descriptor address inner nat_descriptor inner_ipaddress_list
no nat descriptor address inner nat_descriptor [inner_ipaddress_list]
[設定値及び初期値]
[説明]

NAT/IP マスカレード処理の対象である内側の IP アドレスの範囲を指定する。


2-2-4. 静的NATエントリの設定

[書式]
nat descriptor static nat_descriptor id outer_ip=inner_ip [count]
nat descriptor static nat_descriptor id outer_ip=inner_ip/netmask
no nat descriptor static nat_descriptor id [outer_ip=inner_ip [count]]
[設定値及び初期値]
[説明]

NAT 変換で固定割り付けする IP アドレスの組み合せを指定する。個数を同時に指定すると指定されたアドレスを始点とした範囲指定とする

[ノート]

外側アドレスが NAT 処理対象として設定されているアドレスである必要は無い。
静的 NAT のみを使用する場合には、nat descriptor address outer コマンドとnat descriptor address inner コマンドの設定に注意する必要がある。 初期値がそれぞれ ipcp と auto であるので、例えば何らかの IP アドレスをダミーで設定しておくことで動的動作しないようにする。
ネットマスクによる範囲指定方式は、RTX1200 の Rev.10.01.42 以降、RTX810 の Rev.11.01.09以降のファームウェア、および、Rev.14.00 系以降のすべてのファームウェアで使用可能である。


2-2-5. IPマスカレード使用時のrlogin,rcp,sshの使用許可設定

[書式]
nat descriptor masquerade rlogin nat_descriptor use
no nat descriptor masquerade rlogin nat_descriptor [use]
[設定値及び初期値]
[説明]

IP マスカレード使用時に rlogin、rcp、ssh の使用を許可するか否かを設定する。

[ノート]

on にすると、rlogin、rcp と ssh のトラフィックに対してはポート番号を変換しなくなる。 また on の場合に rsh は使用できない。


2-2-6. 静的IPマスカレードエントリの設定

[書式]
nat descriptor masquerade static nat_descriptor id inner_ip protocol [outer_port=]inner_port
no nat descriptor masquerade static nat_descriptor id [inner_ip protocol [outer_port=]inner_port]
[設定値及び初期値]
[説明]

IP マスカレードによる通信でポート番号変換を行わないようにポートを固定する。

[ノート]

outer_portinner_port を指定した場合には IP マスカレード適用時にインタフェースの外側から内側へのパケットはouter_port からinner_port に、内側から外側へのパケットはinner_port からouter_port へとポート番号が変換される。
outer_port を指定せず、inner_port のみの場合はポート番号の変換はされない。


2-2-7. NAT の IP アドレスマップの消去タイマーの設定

[書式]
nat descriptor timer nat_descriptor time
nat descriptor timer nat_descriptor protocol=protocol [port=port_range] time
nat descriptor timer nat_descriptor tcpfin time2
no nat descriptor timer nat_descriptor [time]
no nat descriptor timer nat_descriptor protocol=protocol [port=port_range] [time]
no nat descriptor timer nat_descriptor tcpfin [time2]
[設定値及び初期値]
[説明]

NAT や IP マスカレードのセッション情報を保持する期間を表す NAT タイマーを設定する。 IP マスカレードの場合には、プロトコルやポート番号別の NAT タイマーを設定することもできる。 指定されていないプロトコルの場合は、第一の形式で設定した NAT タイマーの値が使われる。
IP マスカレードの場合には、TCP/FIN 通過後の NAT タイマーを設定することができる。 TCP/FIN が通過したセッションは終了するセッションなので、このタイマーを短くすることで NAT テーブルの使用量を抑えることができる。

[ノート]

第 3、第 6 書式は以下のリビジョンで使用可能。
Rev.8.03.75 以降、Rev.9.00.37 以降、Rev.10.00.31 以降、Rev.10.01 系以降


2-2-8. 外側から受信したパケットに該当する変換テーブルが存在しないときの動作の設定

[書式]
nat descriptor masquerade incoming nat_descriptor action [ip_address]
no nat descriptor masquerade incoming nat_descriptor
[設定値及び初期値]
[説明]

IP マスカレードで外側から受信したパケットに該当する変換テーブルが存在しないときの動作を設定する。
actionforward のときにはip_address を設定する必要がある。


2-2-9. IP マスカレードで利用するポートの範囲の設定

[書式]
nat descriptor masquerade port range nat_descriptor port_range1 [port_range2 [port_range3 [port_range4]]]
no nat descriptor masquerade port range nat_descriptor [port_range1 [port_range2 [port_range3 [port_range4]]]]
[設定値及び初期値]
[説明]

IP マスカレードで利用するポート番号の範囲を設定する。

ポート番号は、まず最初に port_range1 の範囲から利用される。 port_range1 のポート番号がすべて使用中になったら、port_range2 の範囲のポート番号を使い始める。 このように、port_range1 から port_rangeN の範囲まで、小さい番号のポート範囲から順番にポート番号が利用される。

RTX5000 / RTX3500 は NAT の最大同時セッション数が 65534 であるが、初期設定ではウェルノウンポートを除いた 64511 個のポートしか使用できないため、 同時セッション数を 65534 まで拡張する場合は、本コマンドで 65534 個のポートを使用できるようにポート範囲を広げる必要がある。

Rev.14.01 系以降では、同一のポート番号を使用して複数の接続先とのセッションを確立できるため、本コマンドで設定したポート数を超えるセッションの確立が可能である。 Rev.14.01 系以降では、最大セッション数は nat descriptor masquerade session limit total コマンドで設定する。
詳細は、NAT動作タイプの変更機能を参照。
ただし、Rev.14.01 系以降においても nat descriptor backward-compatibility コマンドで type パラメーターを 1 に変更した場合は、最大セッション数は本コマンドで設定したポート数と同等となるため、最大セッション数を変更する場合は本コマンドの設定を変更する必要がある。

[ノート]

機種ごとの最大使用ポート数と利用可能なポート範囲の個数を下表に示す。

機種最大使用ポート数ポート範囲の個数
RTX5000、RTX3500、RTX1210、RTX830、RTX1220655344
RTX3000400003
RTX1200200003
RTX810100002
上記以外40961

2-2-10. FTP として認識するポート番号の設定

[書式]
nat descriptor ftp port nat_descriptor port [port ...]
no nat descriptor ftp port nat_descriptor [port ...]
[設定値及び初期値]
[説明]

TCP で、このコマンドにより設定されたポート番号を FTP の制御チャネルの通信だとみなして処理をする。


2-2-11. IP マスカレードで変換しないポート番号の範囲の設定

[書式]
nat descriptor masquerade unconvertible port nat_descriptor if-possible
nat descriptor masquerade unconvertible port nat_descriptor protocol port
no nat descriptor masquerade unconvertible port nat_descriptor protocol [port]
[設定値及び初期値]
[説明]

IP マスカレードで変換しないポート番号の範囲を設定する。
if-possible が指定されている時には、処理しようとするポート番号が他の通信で使われていない場合には値を変換せずそのまま利用する。


2-2-12. NAT のアドレス割当をログに記録するか否かの設定

[書式]
nat descriptor log switch
no nat descriptor log
[設定値及び初期値]
[説明]

NAT のアドレス割当などの動作情報をログに記録するか否かを設定する。


2-2-13. SIP メッセージに含まれる IP アドレスを書き換えるか否かの設定

[書式]
nat descriptor sip nat_descriptor sip
no nat descriptor sip nat_descriptor
[設定値及び初期値]
[説明]

静的 NAT や静的 IP マスカレードで SIP メッセージに含まれる IP アドレスを書き換えるか否かを設定する。

[ノート]

Rev.8.02.35 以降で初期値が off から on に変更された。
auto は RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.24 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで指定可能。


2-2-14. IP マスカレード変換時に DF ビットを削除するか否かの設定

[書式]
nat descriptor masquerade remove df-bit remove
no nat descriptor masquerade remove df-bit [remove]
[設定値及び初期値]
[説明]

IP マスカレード変換時に DF ビットを削除するか否かを設定する。

DF ビットは経路 MTU 探索のために用いるが、そのためには長すぎるパケットに対する ICMP エラーを正しく発信元まで返さなくてはいけない。 しかし、IP マスカレード処理では IP アドレスなどを書き換えてしまうため、ICMP エラーを正しく発信元に返せない場合がある。 そうなると、パケットを永遠に届けることができなくなってしまう。このように、経路 MTU 探索のための ICMP エラーが正しく届かない状況を、経路 MTU ブラックホールと呼ぶ。

IP マスカレード変換時に同時に DF ビットを削除してしまうと、この経路 MTU ブラックホールを避けることができる。 その代わりに、経路 MTU 探索が行われないことになるので、通信効率が下がる可能性がある。

▲ このドキュメントの先頭へ


2-3. NATディスクリプターの管理関係操作コマンド

2-3-1. 動的 NAT ディスクリプターのアドレスマップの表示

[書式]
show nat descriptor address [nat_descriptor] [detail]
[設定値及び初期値]
[説明]

動的な NAT ディスクリプタのアドレスマップを表示する。
nat_descriptor を省略した場合はすべての NAT ディスクリプター番号について表示する。

[ノート]

detail オプションは Rev.10.01 系以降で使用可能である。 Rev.10.01 系以降では、detail オプションを省略した場合、動的 IP マスカレードエントリは内側 IP アドレスごとに集約して表示され、 また、静的 IP マスカレードエントリから派生して生成された IP マスカレードエントリは表示されない。 そのため、それ以前の全エントリ表示形式で表示させるためのオプションとして detail オプションが同系列から追加されている。

IP マスカレードで大量にポートを使用している場合は、detail オプションを指定すると全エントリの表示に時間がかかり通信に影響を及ぼすことがあるため、 IP マスカレードで使用中のポートの個数を確認したいときは、detail オプションを指定しないようにするか、 show nat descriptor masquerade port summary コマンドを使うことを推奨する。
なお、show nat descriptor masquerade port summary コマンドは Rev.10.01 系以降で使用可能である。


2-3-2. 動作中の NAT ディスクリプターの適用リストの表示

[書式]
show nat descriptor interface bind interface
show nat descriptor interface bind pp
show nat descriptor interface bind tunnel
[設定値及び初期値]
[説明]

NAT ディスクリプターと適用インターフェースのリストを表示する。

[ノート]

RT250i では show nat descriptor interface bind tunnel コマンドは使用できない。
WAN インタフェースは Rev.10.01.32 以降の RTX1200、Rev.10.00.60 以降の SRT100、RTX810 で指定可能。


2-3-3. インターフェース毎の NAT ディスクリプターのアドレスマップの表示

[書式]
show nat descriptor interface address interface
show nat descriptor interface address pp peer_num
show nat descriptor interface address tunnel tunnel_num
[設定値及び初期値]
[説明]

インタフェースに適用されている NAT ディスクリプターのアドレスマップを表示する。

[ノート]

RT250i では show nat descriptor interface address tunnel コマンドは使用できない。
Rev.10.01.09以降では、動的IPマスカレードエントリは内側IPアドレスごとに集約して表示され、 また、静的IPマスカレードエントリから派生して生成されたIPマスカレードエントリは表示されない。
WAN インタフェースは Rev.10.01.32 以降の RTX1200、Rev.10.00.60 以降の SRT100、RTX810 で指定可能。


2-3-4. IP マスカレードで使用しているポート番号の個数の表示

[書式]
show nat descriptor masquerade port [nat_descriptor] summary
[設定値及び初期値]
[説明]

動的IPマスカレードで使用しているポート番号の個数を表示する。静的IPマスカレードで確保されているポート番号の個数は含まれない。

[ノート]

本コマンドは、Rev.10.01 系以降で使用可能である。

Rev.14.01 系以降において、nat descriptor backward-compatibility コマンドで、type パラメーターを 2 に設定した場合は本コマンドは使用できない。 代わりに、show nat descriptor masquerade session summary コマンドで、管理しているセッション数を表示することができる。
nat descriptor backward-compatibility コマンドおよびshow nat descriptor masquerade session summary コマンドについては、NAT動作タイプの違いについてを参照。


2-3-5. NAT アドレステーブルのクリア

[書式]
clear nat descriptor dynamic nat_descriptor
[設定値及び初期値]
[説明]

NAT アドレステーブルをクリアする。

[ノート]

通信中にアドレス管理テーブルをクリアした場合、通信が一時的に不安定になる可能性がある。


2-3-6. インターフェース毎の NAT アドレステーブルのクリア

[書式]
clear nat descriptor dynamic interface
clear nat descriptor dynamic pp [peer_num]
clear nat descriptor dynamic tunnel [tunnel_num]
[設定値及び初期値]
[説明]

インタフェースに適用されている NAT アドレステーブルをクリアする。

[ノート]

RT250i では show nat descriptor interface address tunnel コマンドは使用できない。
WAN インタフェースは SRT100 Rev.10.00.60 以降、RTX1200 Rev.10.01.32 以降のファームウェア、および、RTX1220、RTX1210、RTX830、RTX810 で指定可能。

▲ このドキュメントの先頭へ


3. 関連技術資料