![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
構成定義コマンドレファレンス Vol.1
NAT,およびNAPTの対象となるISP回線側のインタフェースと,変換ルールに関するパラメータを設定します。
[入力モード]
グローバルコンフィグモード
[入力形式]
- 情報の設定
- 静的NATの変換ルール設定
nat outside_interface <Interface Name> static_nat
{ <IP Address> | <IP Address Range> }/<MaskLen>
{ <IP Address> | <IP Address Range> }/<MaskLen>
- 動的NATの変換ルール設定
nat outside_interface <Interface Name> nat
{ <IP Address> | <IP Address Range> }/<MaskLen>
{ {<IP Address> | <IP Address Range> }/<MaskLen> | auto }
- 静的NAPTの変換ルール設定
nat outside_interface <Interface Name> static_napt auto <IP Address>/<MaskLen>
[port <Port No.> [<Port No.>]] [protocol { udp | tcp }]
- 動的NAPTの変換ルール設定
nat outside_interface <Interface Name> napt
{ <IP Address> | <IP Address Range> }/<MaskLen> auto
[port_range <Port No.> <Port No.>] [protocol { udp | tcp }]
- proxyの変換ルール設定
nat outside_interface <Interface Name> proxy
{ <IP Address> | <IP Address Range> }/<MaskLen>
{ {<IP Address> | <IP Address Range> }/<MaskLen> | auto }
[service <Service name>] [port <Port No.>]
- 情報の変更
- nat outside_interface <Interface Name> new_interface <Interface Name>
- 情報の削除
- Outside Interface全体の削除
delete nat outside_interface <Interface Name>
- 静的NATのルール削除
delete nat outside_interface <Interface Name> static_nat
{ <IP Address> | <IP Address Range> }/<MaskLen>
{ <IP Address> | <IP Address Range> }/<MaskLen>
- 動的NATのルール削除
delete nat outside_interface <Interface Name> nat
{ <IP Address> | <IP Address Range> }/<MaskLen>
{ {<IP Address> | <IP Address Range> }/<MaskLen> | auto }
- 静的NAPTの変換ルール削除
delete nat outside_interface <Interface Name> static_napt auto
<IP Address>/<MaskLen> [port <Port No.> [<Port No.>]] [protocol { udp | tcp }]
- 動的NAPTの変換ルール削除
delete nat outside_interface <Interface Name> napt
{ <IP Address> | <IP Address Range> }/<MaskLen> auto
[port_range <Port No.> <Port No.>] [protocol { udp | tcp }]
- proxyの変換ルール削除
delete nat outside_interface <Interface Name> proxy
{ <IP Address> | <IP Address Range> }/<MaskLen>
{ {<IP Address> | <IP Address Range> }/<MaskLen> | auto }
[service <Service name>] [port <Port No.>]
- 情報の表示
- show nat
[サブコマンド入力形式]
なし
[モード階層]
なし
[パラメータ]
- <Interface Name>
- ISP回線のインタフェース名称(ipコマンドで設定したインタフェース名称)を設定します。
- 変更の場合は,変更前のISP回線のインタフェース名称を設定します。
- { static_nat | nat | static_napt | napt | proxy }
- NAT,およびNAPTの種別を設定します。
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
static_nat:静的NAT
nat:動的NAT
static_napt:静的NAPT
napt:動的NAPT
proxy:静的NAT,動的NAT,および動的NAPT使用時にProxyを併用する場合
- 注意事項
proxyの設定は,併用する静的NAT,動的NAT,および動的NAPTと同じ変換前後のIPアドレスを指定します。また,併用する静的NAT,動的NAT,および動的NAPTより前に設定してください。
- 影響範囲
なし
- { { <IP Address> | <IP Address Range> }/<MaskLen> | auto }
- 変換前のIPアドレスとマスク長を設定します。
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
auto:ISP回線に設定したグローバルIPアドレスを自動的に仮定します。
静的NAPTの場合に指定します。
<IP Address>:プライベート側のIPアドレスを直接指定します。
静的NAT,動的NAT,および動的NAPTの場合に指定します。
本指定か<IP Address Range>指定のいずれかを選択してください。
<IP Address Range>:プライベート側のIPアドレスを範囲で指定します。
範囲の先頭IPアドレスと末尾IPアドレスをハイフン(-)で接続します。
静的NAT,動的NAT,および動的NAPTの場合に指定します。
本指定か<IP Address>指定のいずれかを選択してください。
<MaskLen>:8〜32
範囲指定の場合は32を指定します。
静的NATで一つのIPアドレスだけ1対1変換を行う場合は32を指定します。
静的NATでサブネットワーク単位に1対1変換を行う場合は8〜30を指定します。
動的NAT,および動的NAPTで範囲指定しない場合は32以外を指定します。
32以外を指定した場合はサブネットワーク単位で指定したことになります。
- 注意事項
・proxyの指定は,併用する静的NAT,動的NAT,および動的NAPTの指定に合わせます。
・静的NATで範囲指定する場合は,変換前後でIPアドレス数が等しくなるように,それぞれを範囲指定にしてください。また,変換前後のIPアドレスの対応付けは,それぞれの範囲で指定された先頭と先頭,先頭+1と先頭+1,…末尾と末尾となります。
・静的NATを指定する場合は,変換前後のマスク長は同じ値を指定してください。
- 影響範囲
なし
- { auto | { <IP Address> | <IP Address Range> }/<MaskLen> }
- 変換後のIPアドレスとマスク長を設定します。
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
auto:ISP回線に設定したグローバルIPアドレスを自動的に仮定します。
動的NAPTの場合に指定します。
<IP Address>:IPアドレスを直接指定します。
静的NAPTの場合はプライベート側のIPアドレスを指定します。
動的NAT,および動的NAPTの場合はグローバル側のIPアドレスを指定します。
本指定か<IP Address Range>指定のいずれかを選択してください。
<IP Address Range>:IPアドレスを範囲で指定します。
範囲の先頭IPアドレスと末尾IPアドレスをハイフン(-)で接続します。
範囲指定されたグローバル側のIPアドレス数は,すべての範囲指定の合計で256までになります。
静的NAPTでは範囲指定はできません。
動的NAT,および動的NAPTの場合はグローバル側のIPアドレスを指定します。
本指定か<IP Address>指定のいずれかを選択してください。
<MaskLen>:8〜32(31は除く)
静的NAPT,範囲指定の場合は32を指定します。
静的NATで一つのIPアドレスだけ1対1変換を行う場合は32を指定します。
静的NATでサブネットワーク単位に1対1変換を行う場合は8〜30を指定します。
動的NATで範囲指定しない場合は32以外を指定します。
32以外を指定した場合はサブネットワーク単位で指定したことになります。
- 注意事項
・proxyの指定は,併用する静的NAT,動的NAT,および動的NAPTの指定に合わせます。
・静的NATで範囲指定する場合は,変換前後でIPアドレス数が等しくなるように,それぞれを範囲指定にしてください。また,変換前後のIPアドレスの対応付けは,それぞれの範囲で指定された先頭と先頭,先頭+1と先頭+1,…末尾と末尾となります。
・サブネットワーク単位でアドレスプールを指定する場合は,先頭アドレス(ホストアドレスがオール0 )と末尾アドレス(ホストアドレスがオール1)は使用しません。したがって,変換後のIPアドレスのマスク長に31は指定できません。また,プールアドレスにISP回線と同じアドレスが含まれる場合は使用しません。
・静的NAT,および動的NATで誤ってISP回線と同じIPアドレスを指定した場合,NATとしてのアドレス変換機能は動作しません。
・静的NATを指定する場合は,変換前後のマスク長は同じ値を指定してください。
- 影響範囲
なし
- service <Service Name>
- プロキシでの変換が必要なサービスを使用する場合に設定します。
- Telnet等のペイロードにIPアドレスとポート番号を含まないサービスの場合は設定不要です。
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
ftp:アクティブモードのFTP(デフォルトポート番号:21)
netbios_ns:NetBIOS Name Service(デフォルトポート番号:137)
netbios_dgm:NetBIOS Datagram Service(デフォルトポート番号:138)
netbios_ssn:NetBIOS Session Service(デフォルトポート番号:139)
rlogin:rlogin(デフォルトポート番号:513)
rsh:rsh(デフォルトポート番号:514)
h323_gatedisc:NetMeeting(デフォルトポート番号:1718)
h323_gatestat:NetMeeting(デフォルトポート番号:1719)
h323_hostcall:NetMeeting(デフォルトポート番号:1720)
- 注意事項
ftpを使用する場合には以下の点に注意してください。
プライベート側にFTPサーバを設置する場合,静的NATを使用するか,次のようにproxy,動的NAPT,および静的NAPTを定義します。
proxy 192.168.2.2/32 auto service ftp;
napt 192.168.2.2/32 auto;
static_napt auto 192.168.2.2/32 port 21;
また,FTPでの接続には,PORTコマンドを使用する場合と,EPRTコマンドを使用する場合がありますが,本proxyではPORTコマンドはサポートしますが,EPRTコマンドはサポートしません。FTPクライアントの仕様を確認してください。
- 影響範囲
なし
- port <Port No.> [<Port No.>]
- 静的NAPTまたはproxyで使用するポート番号を設定します。
- 静的NAPTでポート番号を変換する場合は,変換前ポート番号と変換後ポート番号を設定してください。
- proxyを設定した場合,サービスがデフォルトポート番号を使用するならば本パラメータは省略できます。
- 本パラメータ省略時の初期値
proxyの場合はサービスのデフォルトポート番号。
proxy以外の場合はなし。
- 値の設定範囲
1〜65535
- 注意事項
静的NAPTを定義する場合は設定が必要です。
proxyで設定できるのは一つだけです。また,この場合同一変換前IPアドレスに対して,同一ポート番号の指定があってはなりません。同一ポート番号が指定された場合の動作は保証されません。
- 影響範囲
なし
- port_range <Port No.> <Port No.>
- 動的NAPTで使用する変換後ポート番号の範囲を限定する場合に設定します。
- 本パラメータ省略時の初期値
動的NAPT の場合は1025〜65535の範囲で自動採番。
動的NAPT以外の場合はなし。
- 値の設定範囲
<Port No.> <Port No.>:
ポート番号の範囲。1〜65535だけ有効。(範囲指定の後に指定したポート番号が前に指定したポート番号より大きくなければなりません。)
- 注意事項
なし
- 影響範囲
なし
- protocol { udp | tcp }
- 静的NAPTまたは動的NAPTで変換対象プロトコルを限定する場合に設定します。
- 本パラメータ省略時の初期値
UDPプロトコルとTCPプロトコル両方を変換対象とします。
- 値の設定範囲
udp:UDPプロトコル
tcp:TCPプロトコル
- 注意事項
なし
- 影響範囲
なし
- new_interface <Interface Name>
- 変更後のISP回線のインタフェース名称(ipコマンドで設定したインタフェース情報)を設定します。本パラメータはISP回線のインタフェース名称を変更する場合に設定します。
[サブコマンド]
なし
[入力例]
- 情報の設定
PPPoEで設定したセッション名称TokyoISP01を動的NAPT対象として変換ルールを設定します。
- 情報の設定(追加)
TokyoISP01を静的NAPT,および静的NAT対象として変換ルールを追加設定します。
- 情報の変更
ISP回線側のインタフェースを別なISP回線のインタフェース名称に変更します。
すべてのoutside_intafaceのインタフェース名称が変更されます。
- 情報の削除
ISP回線側のインタフェースisp01に関する動的NAPTの変換ルールを一つ削除します。
[関連コマンド]
ip(ip情報)flow,flow filter,flow qos
[注意事項]
- nat outside_interface の最大登録可能件数は以下の通りです。
また,変換後のIPアドレスに範囲指定をする場合,すべての範囲指定に含まれる変換後IPアドレス数の合計は最大256です。
- インバウンド:(静的NAT 定義件数+静的NAPT 定義件数)≦ 100
- アウトバウンド:(静的NAT 定義件数+動的NAT+動的NAPT 定義件数+proxy定義件数)≦ 100
- NATの変換ルールの検索方法を以下に示します。
1. パケット受信時,nat outside_interface で定義したルールを先頭から検索します。
この時,ネットワークマスク長が長いものが優先されます(=Longest Match )。
例えば,以下の定義の場合,送信元IPアドレスが192.168.1.2 であれば2番目のルール定義が適用され,送信元IPアドレスが192.168.1.33 であれば,1番目のルール定義が,送信元IPアドレスが192.168.1.65 であれば,3番目のルール定義が,それぞれ適用されます。
nat 192.168.1.0/26 200.200.1.0/26
nat 192.168.1.0/28 200.200.2.0/28
nat 192.168.1.0/25 200.200.3.0/25
2. ルールに該当しなければ次のルールを見に行きます。ルールが見つかればそれに従ってIPアドレスおよびポート番号を変換してパケットを送出します。
3. 最終行まで検索してルールが見つからなければ,受信したパケットは変換されずに通過します。通過させたくないパケットは別にフィルタの定義を行ってください。その他の要因(例えば,プールのIPアドレスが不足など)で変換に失敗したパケットは破棄します。
- ISP回線にATMやWAN回線を使用する場合について次に示します。
静的NATおよび動的NATでISP回線をATMやWAN回線を使用したポイント−ポイント型で接続する場合は,ISP側のルータで経路解決が必要です。変換後の固定IPアドレスやプールアドレス宛のインバウンドパケットがISP回線宛になるように,ISP側のルータでスタティック経路やスタティックARPの設定を行ってください。
- 構成情報の変更によるバインディング情報の扱いは以下の通りです。
1. delete natでNAT機能を削除した場合は,その時点でバインディング情報は無効になります。
2. delete nat outside_interfaceでISP回線を削除した場合は,その時点でバインディング情報は無効になります。
3. delete nat outside_interfaceで変換ルールを削除しても,即時にはバインディング情報から削除されません。通信が継続する限り残るため,必要ならclear ip nat translationコマンドでバインディング情報を削除してください。
4. nat outside_interfaceのnew_interfaceでISP回線名を変更した場合は,その時点でバインディング情報は無効になります。
- NAPTでICMP (Ping)を通過するようにする場合は,NATを併用し以下のように定義します。
napt 192.168.1.0/26 auto
nat 192.168.1.0/26 auto
- 本コマンド設定時フロー情報のエントリ数がすべてのRPに対して200エントリ消費されます。よってフロー情報のRP当たりの空きエントリ数が200エントリ以下の場合,本コマンドは設定できません。また,空きエントリ数が200エントリある場合でも,フロー情報がアドレス変換情報用エントリを使用していた場合設定できません。この場合はcopy startup-configコマンド,copy backup-configコマンド,または装置再起動による,フロー情報のエントリ再配置機能を実施後,アドレス変換情報を再設定してください。
- proxy定義と各種NAT/NAPT定義を併用した場合の構成変更はセットで行い,proxyの定義が前になるようにしてください。
- 動的NATで不足する変換後プールIPアドレスを補うため,変換前のIPアドレスを同じにした動的NATと動的NAPTを併用する場合,変換後のIPアドレスの割り当ては以下のようになります。
(1)接続時に動的NATのプール不足によって,動的NAPTでISP回線アドレスに変換され接続する。
(2)その後,動的NATのプールIPアドレスに空きが出る。
(3)動的NAPTで接続している(1)の接続元の装置より追加の接続を行う。
上記の場合,(3)で割り当てられる変換後IPアドレスは動的NATのプールIPアドレスとなるため,同じ装置からの接続で異なるIPアドレスが割り当てられる可能性があります。(3)の後で(1)を接続し直すことで,同じプールIPアドレスが割り当てられます。
Copyright (c)2005 ALAXALA Networks Corporation. All rights reserved.