ビギナーのための実践

作成日	1999/Jan/20
最終変更日	2018/Nov/06
文書サイズ	19KB

ネットワーク設計をする

NATとしてどのような機能が必要なのか見極める為にも、ネットワーク設計は重要です。

機器やTCP/IPネットワークの構成図を検討します。

[ ネットワーク構成 ]

      プロバイダ
          #
          # 128K専用線
          #
 +--------+--------+
 |     [BRI1]      |
 |        |        |
 |      [NAT]      |
 |        |        |
 |     ROUTER(C)   |
 |        |        |
 |     [LAN1]      |
 +--------+--------+
          |172.16.184.33          
          |                                            172.16.184.32/28
 ---------+-------------------------+--------------------+-------------
          |                         |                    |
          |172.16.184.34            |172.16.184.35       | 172.16.184.36
 +--------+--------+       +--------+--------+ +---------+---------+
 |     [LAN2]      |       |      [LAN2]     | |      サーバー     |
 |        |        |       |        |        | | DNS/WWW/SMTP/POP  |
 |    ROUTER(A)    |       |     ROUTER(B)   | +-------------------+
 |        |        |       |        |        |
 |     [LAN1]      |       |      [LAN1]     |
 +--------+--------+       +--------+--------+
          |192.168.0.1              |192.168.1.1
          |                         |
          | 192.168.0.0/24          | 192.168.1.0/24
   -------+---------------    ------+---------------
          |                         |
          |192.168.0.2              |192.168.1.2
       [ PC ]                     [ PC ]

ネットワーク設計に従って、各機器にIPアドレスを割り当てます。

[ アドレス割当 ]

IPアドレス	用途
172.16.184.32/28ネットワーク
172.16.184.32	ネットワークアドレス
172.16.184.33	ROUTER(C)
172.16.184.34	ROUTER(A)
172.16.184.35	ROUTER(B)
172.16.184.36	サーバー
172.16.184.37～172.16.184.42	空き
172.16.184.43～172.16.184.44	NAT用(192.168.0.0/24)
172.16.184.45～172.16.184.46	NAT用(192.168.1.0/24)
172.16.184.47	ブロードキャストアドレス
192.168.0.0/24ネットワーク
192.168.0.1	ROUTER(A)
192.168.0.2～192.168.0.254	端末(A)
192.168.1.0/24ネットワーク
192.168.1.1	ROUTER(A)
192.168.1.2～192.168.1.254	端末(B)

TCP/IPネットワークの設計できると個々のルーターに設定されるべき、ルーティング情報が確定します。
これは、スタティックルーティングでも、ダイナミックルーティングでも、同様に必要になります。

[ ルーティング設計例 ]

宛先/ネットマスク	次のホップ	staticの生成コマンド
ROUTER(C)
default	PP[LEASED]	ip pp route add net
172.16.184.32/28	LAN1(172.16.184.33)	ip lan1 address
192.168.0.0/24	LAN1(172.16.184.34)	ip lan roue add net
192.168.1.0/24	LAN1(172.16.184.35)	ip lan route add
ROUTER(A)
default	LAN2(172.16.184.33)	ip lan2 route add net
172.16.184.32/28	LAN2(172.16.184.34)	ip lan2 address
192.168.0.0/24	LAN1(192.168.0.1)	ip lan1 address
192.168.1.0/24	LAN2(172.16.184.35)	ip lan2 route add net
ROUTER(B)
default	LAN2(172.16.184.33)	ip lan2 route add net
172.16.184.32/28	LAN2(172.16.184.35)	ip lan2 address
192.168.0.0/24	LAN2(172.16.184.34)	ip lan2 route add net
192.168.1.0/24	LAN1(192.168.1.1)	ip lan1 address

ルーティング情報とDCHPサーバーを考慮したconfigを設計します。(骨組み)

ROUTER(C)

pp line l128
ip lan address 172.16.184.33/28
ip lan route add net 192.168.0.0/24 172.16.184.34 1
ip lan route add net 192.168.1.0/24 172.16.184.35 1
ip lan routing protocol none
pp select leased
ip pp route add net default 1
pp enable leased

ROUTER(A)

ip lan1 address 192.168.0.1/24
ip lan1 routing protocol none
ip lan2 address 172.16.184.34/28
ip lan2 route add net default 172.16.184.33 1
ip lan2 route add net 192.168.1.0/24 172.16.184.35 1
ip lan2 routing protocol none
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24

ROUTER(B)

ip lan1 address 192.168.1.1/24
ip lan1 routing protocol none
ip lan2 address 172.16.184.35/28
ip lan2 route add net default 172.16.184.33 1
ip lan2 route add net 192.168.0.0/24 172.16.184.34 1
ip lan2 routing protocol none
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.254/24

ルーティングの設定ができたら、動作確認します。
- ルーターで、ルーティング情報が正しく設定しているか確認します。
```
RT: show ip route
UNIX: netstat -r
Windows: route print, netstat -r
```
- ルーターやPC間で、pingやtracerouteを実行して応答があるか確認します。
```
RT: ping, traceroute
UNIX: ping, traceroute
Windows: ping.exe, tracert.exe
```
- ルーターやPCのARPテーブルが正しく学習しているか確認します。
```
RT: show arp
UNIX: arp -a
Windows: arp -a
```
- 各TCP/IPネットワークにLANアナライザーを設置して、流れるパケットを観測します。
- WWWブラウザーやtelnetやftpといったネットワークアプリケーションを使ってみる。
DNSサーバーを設定します。
ここは、ルーターとNATの説明なので省略します。

nslookupなどを使って、DNSサーバーの動作確認をします。
DNSサーバーの情報をDHCPサーバーに設定します。
DHCPクライアントに通知するDNSサーバーアドレスをDHCPサーバーに設定します。
- ROUTER(A), ROUTER(B), ROUTER(C)の追加設定の例
  1) プライベートアドレス関係のDNS情報もしっかり設定できてる場合。
```
dns server 172.16.184.36
dns domain XYZ.gr.jp
```
  2) プライベートアドレス関係のDNS情報が用意できてない場合。
```
dns server 172.16.184.36
dns domain XYZ.gr.jp
dns private address spoof on
```
各ルーターのIPパケットフィルターを設計します。
ここは、NATの説明なので省略します。

NATディスクリプターを定義する

NATの動作仕様を決め、NATディスクリプターを使ったconfigを設定します。

ネットワーク設計に従って、NATの動作仕様を設計します。
要望も、設定も、千差万別。

(例) ROUTER(C): 1個のアドレスでIPマスカレード

ROUTER(C)
NATディスクリプター番号	1
タイプ	masquerade
外側アドレス	172.16.184.46
内側アドレス	192.168.0.1～192.168.0.254 192.168.1.1～192.168.1.254
静的NAT	なし
静的IPマスカレード	なし
適用インタフェース	PP[LEASED](1)

追加設定のconfig例

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.46
nat descriptor address inner 1 192.168.0.1-192.168.0.254 192.168.1.1-192.168.1.254
pp select leased
ip pp nat descriptor 1

(例) ROUTER(C): 4個のアドレスでNATとIPマスカレード

ROUTER(C)
NATディスクリプター番号	1
タイプ	nat-masquerade
外側アドレス	172.16.184.43～172.16.184.46
内側アドレス	192.168.0.1～192.168.0.254 192.168.1.1～192.168.1.254
静的なNAT設定	なし
静的IPマスカレード	なし
適用インタフェース	PP[LEASED](1)

追加設定のconfig例

nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 172.16.184.43-172.16.184.46
nat descriptor address inner 1 192.168.0.1-192.168.0.254 192.168.1.1-192.168.1.254
pp select leased
ip pp nat descriptor 1

(例) ROUTER(C): 2個の静的NATと2個のアドレスでNATとIPマスカレード

ROUTER(C)
NATディスクリプター番号	1
タイプ	nat-masquerade
外側アドレス	172.16.184.45～172.16.184.46
内側アドレス	192.168.0.1～192.168.0.254 192.168.1.1～192.168.1.254
静的NAT	172.16.184.43=192.168.0.2 172.16.184.44=192.168.1.2
静的IPマスカレード	なし
適用インタフェース	PP[LEASED]

追加設定のconfig例

nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 172.16.184.45-172.16.184.46
nat descriptor address inner 1 192.168.0.1-192.168.0.254 192.168.1.1-192.168.1.254
nat descriptor static 1 1 172.16.184.43=192.168.0.2
nat descriptor static 1 2 172.16.184.44=192.168.1.2
pp select leased
ip pp nat descriptor 1

(例) ROUTER(C): 2組のNATディスクリプター

ROUTER(C) (192.168.0.0/24)
NATディスクリプター番号	1
タイプ	masquerade
外側アドレス	172.16.184.43
内側アドレス	192.168.0.1～192.168.0.254
静的NAT	172.16.184.44=192.168.0.2 172.16.184.44=192.168.0.3
静的IPマスカレード	なし
適用インタフェース	PP[LEASED](1)
ROUTER(C) (192.168.1.0/24)
NATディスクリプター番号	2
タイプ	masquerade
外側アドレス	172.16.184.46
内側アドレス	192.168.1.1～192.168.1.254
静的NAT	なし
静的IPマスカレード	なし
適用インタフェース	PP[LEASED](2)

追加設定のconfig例

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.43
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor static 1 1 172.16.184.44=192.168.0.2
nat descriptor static 1 2 172.16.184.45=192.168.0.3
nat descriptor type 2 masquerade
nat descriptor address outer 2 172.16.184.46
nat descriptor address inner 2 192.168.1.1-192.168.1.254
pp select leased
ip pp nat descriptor 1 2

(例) ROUTER(A), (B)でIPマスカレード(2個のグローバルアドレス)

ROUTER(A)
NATディスクリプター番号	1
タイプ	masquerade
外側アドレス	172.16.184.43
内側アドレス	192.168.0.1～192.168.0.254
静的NAT	なし
静的IPマスカレード	なし
適用インタフェース	LAN2(1)
ROUTER(B)
NATディスクリプター番号	1
タイプ	masquerade
外側アドレス	172.16.184.45
内側アドレス	192.168.1.1～192.168.1.254
静的NAT	なし
静的IPマスカレード	なし
適用インタフェース	LAN2(1)

ROUTER(A)の追加設定のconfig例

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.43
nat descriptor address inner 1 192.168.0.1-192.168.0.254
ip lan2 nat descriptor 1

ROUTER(B)の追加設定のconfig例

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.45
nat descriptor address inner 1 192.168.1.1-192.168.1.254
ip lan2 nat descriptor 1

(例) ROUTER(A), (B)でIPマスカレード(1個のグローバルアドレス)

ROUTER(A)
NATディスクリプター番号	1
タイプ	masquerade
外側アドレス	172.16.184.34
内側アドレス	172.16.184.34 192.168.0.1～192.168.0.254
静的NAT	なし
静的IPマスカレード	なし
適用インタフェース	LAN2(1)
ROUTER(B)
NATディスクリプター番号	1
タイプ	masquerade
外側アドレス	172.16.184.35
内側アドレス	172.16.184.35 192.168.1.1～192.168.1.254
静的NAT	なし
静的IPマスカレード	なし
適用インタフェース	LAN2(1)

ROUTER(A)の追加設定のconfig例

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.34
nat descriptor address inner 1 172.16.184.34 192.168.0.1-192.168.0.254
ip lan2 nat descriptor 1

ROUTER(B)の追加設定のconfig例

nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.35
nat descriptor address inner 1 172.16.184.35 192.168.1.1-192.168.1.254
ip lan2 nat descriptor 1

NATディスクリプターをインタフェースに適用する

実際にNATディスクリプターによるNAT処理を有効にするには、必要なインタフェースにNATディスクリプターを適用する設定をします。

NATディスクリプターの定義を設定し保存します。
ひとまず、保存するのは、定義だけにしましょう。
適用前にNATディスクリプターの定義を確認し、設定を保存します。
定義が間違ったまま適用されると予想外の事態になるわけです。困らないように注意してください。

適用するまえに、一旦、設定を保存しておきましょう。適用しなければ、設定が誤っていても害はありません。
```
show config
```
正しく適用されているか確認します。
間違っていた場合を考慮して、設定をすぐに保存しないようにしましょう。保存してなければ、再起動(電源のOFF→ONなど)で元の状態に復帰します。
```
show nat descriptor interface bind
```
適用されるとNAT変換機能が有効になります。
設定を保存しないまま、動作確認してみましょう。

動作確認ができたら適用設定も保存しときましょう。
動作確認します。
- PCでIPアドレスやDNS関係の設定ができているか確認します。
```
UNIX: ifconfig -a
Windows: ipconfig, route print, netstat -r
Macintosh: MacTCPのコントロールパネル, TCP/IPのコントロールパネル
```
- ルーターで、ルーティング情報が正しく設定しているか確認します。
```
RT: show ip route
UNIX: netstat -r
Windows: route print, netstat -r
```
- ルーターやPC間で、pingやtracerouteを実行して応答があるか確認します。
```
RT: ping, traceroute
UNIX: ping, traceroute
Windows: ping.exe, tracert.exe
Macintosh: WhatRouteなどのフリーウェア/シェアウェア
```
- ルーターやPCのARPテーブルが正しく学習しているか確認します。
```
RT: show arp
UNIX: arp -a
Windows: arp -a
```
- 各TCP/IPネットワークにLANアナライザーを設置して、流れるパケットを観測します。
- WWWブラウザーやtelnetやftpといったネットワークアプリケーションを使ってみる。
NATの動作確認をします。
- 各種動作確認に並行して、ルーターのNATテーブルの状態を監視します。
```
show nat descriptor address
```

動作状況を確認する・把握する

動作確認をしながら、 NATディスクリプターの適用状態やNAT処理の状態などチェックしたりします。

[ 参考情報 ]

動作状況を確認する・把握する