今までのNATとどう違うの？

作成日	1999/Jan/20
最終変更日	2018/Nov/06
文書サイズ	19KB

一言で言って！

[ 設定のしかた(手順や使い方など)が変ります。 ]

NAT (Rev.3以前)
インタフェース(PP)に組み込まれたNAT機能を設定する。
NATディスクリプタ (Rev.4以降)
NAT機能を定義して、インタフェース(PPとLANとTUNNEL)に適用する。

[ configが変ります。でも安心？ ]

上位互換性があります。
→リビジョンアップの場合は、configの自動変換機能が働きます。
→移行した場合の設定例を用意しました。
下位互換性はありません。
→リビジョンダウンした場合は、configが消えます。

[ 使えるインターフェースが増えました。 ]

PPに加えて、LANにも使えます。
Rev.4.00.07以降なら、TUNNELインタフェースにも使えます。

[ 用語が変ります。 ]

グローバルアドレス→外側アドレス
プライベートアドレス→内側アドレス
....

[ NAT/IPマスカレードの機能や仕組は変りません。 ]

NATの状態テーブル
IPマスカレードの状態テーブル
....
ルータのIPアドレスとNAT機能の外側IPアドレスが同じ場合は、設定を注意すべき。

[ 制限をどんどん減らしました。 ]

メモリの許す限り....

用語について

外側アドレス (外側IPアドレス)
NAT処理の外側で使われるIPアドレスです。

[従来の表現]
グローバルIPアドレス
内側アドレス (内側IPアドレス)
NAT処理の内側で使われるIPアドレスです。

[従来の表現]
プライベートIPアドレス
動的NAT (NAT)
NAT処理する必要のある通信が始まった時、外側アドレスで未使用のものと内側アドレスが自動的に結び付けられて、 NAT処理される。
NAT処理する必要が無くなった時、外側アドレスは自動的に開放される。

[従来の表現]
NAT
静的NAT
外側アドレスと内側アドレスを1対1で固定したNAT処理

[従来の表現]
グローバルIPアドレスとプライベートIPアドレスを固定して結びつける
nat address globalコマンドの引数として8組固定できます。
IPマスカレード (動的IPマスカレード)
ひとつの外側アドレスを複数の内側アドレス機器で共有します。

[従来の表現]
変りありません。(IPマスカレード)
静的IPマスカレード
IPマスカレード動作時、特定のポートを特定の内側アドレスに固定します。
そのポートだけに注目すると「NAT処理」と等価です。

[従来の表現]
変りありません。

NATの処理タイプについて

nat
[ 処理する内容 ]
1. 静的NAT
2. 動的NAT
[従来の設定]
```
nat use on
nat masquerade off
```
masquerade
[ 処理する内容 ]
1. 静的NAT
2. 静的IPマスカレード
3. IPマスカレード
[従来の設定]
```
nat use on
nat masquerade on
```
nat-masquerade
[ 処理する内容 ]
1. 静的NAT
2. 動的NAT
3. 静的IPマスカレード
4. IPマスカレード
[従来の設定]
```
該当する機能がありません。
```

概念について

[ 新規の概念、変更された概念 ]

NATディスクリプタの定義情報 (config)

NAT機能動作の細部仕様が定義された情報。

NATディスクリプタ番号

NAT処理タイプ

外側アドレス情報 (リスト)

内側アドレス情報 (リスト)

静的NATの情報 (リスト)

静的IPマスカレードの情報 (リスト)

[従来の概念]

PPインタフェースに付き1組に限定されていた。

NAT使用フラグ

マスカレード使用フラグ

グローバルアドレスとプライベートアドレスの固定割付情報
(8組)

グローバルアドレスの範囲

プライベートアドレスの範囲

NATディスクリプタのインタフェース適用情報 (config)
インタフェースに適用されているNATディスクリプタ番号のリスト

ひとつのインタフェースにNATディスクリプタ番号により4個まで適用できる。

[従来の概念]
PPインタフェースに付き1組に限定されていた。
NATディスクリプタの管理情報
NATディスクリプタの「定義情報」と「適用情報」を元にして、有効な適用に対して1個づつ生成される。

NATディスクリプタ番号

NAT管理テーブル

マスカレード管理テーブル

[従来の概念]
PPインタフェースに付き1個に限定されていた。

[ 従来と互換性のある概念 ]

NAT変換機能
従来と互換性のあるNAT変換

[従来の概念]
基本的に変化なし。
NAT管理テーブル/マスカレード管理テーブル
ひとつのNAT変換処理の動作管理情報

[従来の概念]
PPインタフェースに付き1個に限定されていた。

多重適用について

ひとつのインタフェースへの多重適用
ひとつのインタフェースに異なるスタイルのNAT処理を並列多重に適用することができます。

リビジョン最大適用可能数

Rev.4.00.02～Rev.4.00.05 4個

Rev.4.00.07～ 16個

リビジョン	最大適用可能数
Rev.4.00.02～Rev.4.00.05	4個
Rev.4.00.07～	16個

多重適用のイメージ図 (図で表記するときは4個とします)

+-----------------------------+    
|                             |    
|      NATディスクリプタ      |    
|                             |    
|  +-(1)-+-(2)-+-(3)-+-(4)-+  |    
|  |     |     |     |     |  |    
|  +-----+-----+-----+-----+  |    
+-----------------------------+

どのように適用されるの？ (説明の適用数は4個とします)
1. 1個目の適用で、NAT処理可能か判断する。
  - 処理できる→1個目のパターンで処理し、NAT処理を終る。
  - 処理できない→次を試す。
2. 2個目の適用で、NAT処理可能か判断する。
  - 処理できる→2個目のパターンで処理し、NAT処理を終る。
  - 処理できない→次を試す。
3. 3個目の適用で、NAT処理可能か判断する。
  - 処理できる→3個目のパターンで処理し、NAT処理を終る。
  - 処理できない→次を試す。
4. 4個目の適用で、NAT処理可能か判断する。
  - 処理できる→4個目のパターンで処理し、NAT処理を終る。
  - 処理できない→NAT処理をあきらめる。
5. 「NAT処理をあきらめた」場合の措置
  - パケットの書き換え処理は行なわず、そのまま通過させる。
制約
- 多重に適用されるNATディスクリプタの外側アドレスと内側アドレスは、重複してはいけない。

インタフェースへの適用について

インタフェースへのNAT適用構成図 (従来, Rev.3系以前)

PPインタフェース(PP側/BRI側)
1組のNAT/IPマスカレード変換が適用できる
LANインタフェースやTUNNELインタフェース
適用できない。

                    :
             [BRI]  : ISDN回線 or 専用線
                    :
  +-----------------+-------------------+
  |                 |                   |
  |  +-----------------------------+    |
  |  |     PPPやISDN回線の処理     |    |
  |  +-----------------------------+    |
  |                 |                   |
  |  +-----------------------------+    |
  |  |       パケット・キュー      |    | …優先制御や帯域制御を使う/使える時
  |  |      (↓)    +----(↑)----+ |    | queue class filter ...
  |  |              |   queue    | |    | pp queue type ...
  |  |      (↓)    +----(↑)----+ |    | pp queue class filter list ...
  |  +-----------------------------+    | pp queue class property ...
  |                 |                   |
  |                 |       ＜外側＞    |
  |  +-----------------------------+    |
  |  |             NAT             |    |
  |  |  +----------(1)----------+  |    |
  |  |  |          ▲           |  |    |
  |  |  |      管理テーブル     |  |    |
  |  |  +-----------------------+  |    |
  |  +-----------------------------+    |
  |                 |       ＜内側＞    |
  |                 |                   |
  |  +-----------------------------+    |
  |  |         IPフィルタ          |    |
  |  | +----(↓)----+----(↑)----+ |    | ip filter ...
  |  | |     in     |    out     | |    | ip pp secure filter in/out ....
  |  | +----(↓)----+----(↑)----+ |    | 
  |  +-----------------------------+    |
  |                 |                   |
  |              (PP#n)                 | ip pp local address
  |                 |                   |
  |  +-----------------------------+    |
  |  |       IPルーティング        |    |
  |  +-----------------------------+    |
  |                 |                   |
  |               (LAN)                 | ip lan address
  |                 |                   |
  |  +-----------------------------+    |
  |  |         IPフィルタ          |    |
  |  | +----(↑)----+----(↓)----+ |    | ip filter ...
  |  | |     in     |    out     | |    | ip lan secure filter in/out ....
  |  | +----(↑)----+----(↓)----+ |    | 
  |  +-----------------------------+    |
  |                 |                   |
  |  +-----------------------------+    |
  |  |       パケット・キュー      |    | …優先制御や帯域制御を使う/使える時
  |  |      (↑)    +----(↓)----+ |    | queue class filter ...
  |  |              |   queue    | |    | lan queue type ...
  |  |      (↑)    +----(↓)----+ |    | lan queue class filter list ...
  |  +-----------------------------+    | lan queue class property ...
  |                 |                   |
  |  +-----------------------------+    |
  |  |     イーサネットの処理      |    |
  |  +-----------------------------+    |
  |                 |                   |
  +-----------------+-------------------+
                    |
             [LAN]  |
                    |
  ------------------+--------------------

インタフェースへのNATディスクリプタの適用構成図 (Rev.4系以降)

PPインタフェース(PP側/BRI側)
PP側に適用された場合、多重適用可能である事以外の大きな変更はない。
LANインタフェース(LAN側)
PP側と変りなく、LAN側に適用できる。
TUNNELインタフェース (VPN)
Rev.4.00.07以降より、他のインタフェースと同等に適用できる。

                    :
             [BRI]  : ISDN回線 or 専用線
                    :
  +-----------------+-------------------+
  |                 |                   |
  |  +-----------------------------+    |
  |  |     PPPやISDN回線の処理     |    |
  |  +-----------------------------+    |
  |                 |                   |
  |  +-----------------------------+    |
  |  |       パケット・キュー      |    | …優先制御や帯域制御を使う/使える時
  |  |      (↓)    +----(↑)----+ |    | queue class filter ...
  |  |              |   queue    | |    | pp queue type ...
  |  |      (↓)    +----(↑)----+ |    | pp queue class filter list ...
  |  +-----------------------------+    | pp queue class property ...
  |                 |                   |
  |                 |       ＜外側＞    |
  |  +-----------------------------+    |
  |  |      NATディスクリプタ      |    | nat descriptor ...
  |  |  +-(1)-+-(2)-+-(3)-+-(4)-+  |    | ip pp nat descriptor ...
  |  |  | ▲  | ▲  | ▲  | ▲  |  |    |
  |  |  +-----+-----+-----+-----+  |    |
  |  +-----------------------------+    |
  |                 |       ＜内側＞    |
  |                 |                   |
  |  +-----------------------------+    |
  |  |         IPフィルタ          |    |
  |  | +----(↓)----+----(↑)----+ |    | ip filter ...
  |  | |     in     |    out     | |    | ip pp secure filter in/out ....
  |  | +----(↓)----+----(↑)----+ |    | 
  |  +-----------------------------+    |
  |                 |                   |
  |              (PP#1)                 | ip pp local address
  |                 |                   |
  |  +-----------------------------+    |
  |  |       IPルーティング        |    |
  |  +-----------------------------+    |
  |      |                     |        |
  | (LAN1/Primary)    (LAN1/Secondary)  | ip lan address
  | 133.176.200.68         192.168.0.1  | ip lan secondary address
  |      |                     |        |
  |  +-----------------------------+    |
  |  |         IPフィルタ          |    |
  |  | +----(↑)----+----(↓)----+ |    | ip filter ...
  |  | |     in     |    out     | |    | ip lan secure filter in/out ....
  |  | +----(↑)----+----(↓)----+ |    | 
  |  +-----------------------------+    |
  |      |                     |        |
  |      |       ＜内側＞      |        |
  |  +-----------------------------+    |
  |  |      NATディスクリプタ      |    | nat descriptor ...
  |  |  +-(1)-+-(2)-+-(3)-+-(4)-+  |    | ip lan nat descriptor ...
  |  |  | ▼  | ▼  | ▼  | ▼  |  |    |
  |  |  +-----+-----+-----+-----+  |    |
  |  +-----------------------------+    |
  |      |       ＜外側＞      |        |
  |      |                     |        |
  |  +-----------------------------+    |
  |  |       パケット・キュー      |    | …優先制御や帯域制御を使う/使える時
  |  |      (↑)    +----(↓)----+ |    | queue class filter ...
  |  |              |   queue    | |    | lan queue type ...
  |  |      (↑)    +----(↓)----+ |    | lan queue class filter list ...
  |  +-----------------------------+    | lan queue class property ...
  |      |                     |        |
  |  +-----------------------------+    |
  |  |     イーサネットの処理      |    |
  |  +-----------------------------+    |
  |      |                     |        |
  +------+---------------------+--------+
         |        [LAN]        |       
         |                     |                  192.168.0.0/24
         |                  ---+----------+---------------------
         |                                |
         |                                |192.168.0.2
         |
         |                                      133.176.200.0/24
      ---+--------------------------------+---------------------
                                          |
                                          |133.176.200.47

コマンドの相関について

リビジョンアップでconfigが書き換えられた状態での関係を示します。
→「PPインタフェースの番号とNATディスクリプタ番号がたまたま一致している状態」

NAT型 NATディスクリプタ型

「pp select 1」された情報

# pp select 1
pp1# NATディスクリプタ番号:1

# pp select 1
pp1# ip pp nat descriptor 1

「pp select 2」された情報

# pp select 2
pp2# NATディスクリプタ番号:2

# pp select 2
pp2# ip pp nat descriptor 2

pp1# nat use { on | off }
pp1# nat masquerade { on | off } nat descriptor type

pp1# nat address global # nat descriptor address outer 1
# nat address static 1

pp1# nat address private # nat descriptor address inner 1

pp1# nat masquerade rlogin # nat descriptor masquerade rlogin 1

pp1# nat masquerade static # nat descriptor masquerade static 1

pp1# nat timer # nat descriptor timer 1

# show nat config # show nat descriptor config

# show nat address # show nat descriptor address

# clear nat dynamic # clear nat descriptor dynamic

NAT型	NATディスクリプタ型

「pp select 1」された情報 # pp select 1 pp1#	NATディスクリプタ番号:1 # pp select 1 pp1# ip pp nat descriptor 1
「pp select 2」された情報 # pp select 2 pp2#	NATディスクリプタ番号:2 # pp select 2 pp2# ip pp nat descriptor 2
pp1# nat use { on \| off } pp1# nat masquerade { on \| off }	nat descriptor type
pp1# nat address global	# nat descriptor address outer 1 # nat address static 1
pp1# nat address private	# nat descriptor address inner 1
pp1# nat masquerade rlogin	# nat descriptor masquerade rlogin 1
pp1# nat masquerade static	# nat descriptor masquerade static 1
pp1# nat timer	# nat descriptor timer 1

# show nat config	# show nat descriptor config
# show nat address	# show nat descriptor address
# clear nat dynamic	# clear nat descriptor dynamic