解説書 Vol.1
NAT-PT機能を使用するときの注意事項を次に示します。
- <この項の構成>
- (1) パケットの変換
- (2) フラグメントパケット
- (3) IPv6送信時のMTU長
- (4) TCP通信中のバインディングエントリ削除
- (5) 動的NAPT-PTでのFTP通信
- (6) Ping6およびPing使用時の動作
- (7) Traceroute6およびTraceroute使用時の動作
- (8) DNSによる名前解決
- (9) 変換ルールとバインディングエントリ
- (10) 高負荷での通信
- (11) 他機能との同時動作
- (12) 複数のNAT-PTルータの使用
- (13) 静的NAT-PT使用時の注意
(1) パケットの変換
NAT-PT機能を使用して,本装置宛てのパケットへ変換することや,本装置から送信されるパケットを変換することはできません。
(2) フラグメントパケット
NAT-PT機能がICMPまたはTCPのフラグメントパケットを受信した場合,パケットをリアセンブルした後に変換を行います。その後,パケット送信時にMTU長よりもサイズが大きい場合には,フラグメントして送信します。なお,ICMPとTCP以外のフラグメントパケットについては,リアセンブルを行わないで変換します。
(3) IPv6送信時のMTU長
IPv4パケットをIPv6パケットに変換して送信する場合,NAT-PT機能はそのMTU長に構成定義で設定されたMTU長を使用します。初期値は1280バイトです。通信先のIPv6端末と本装置間のPathMTU値に設定すると,最も効率よくパケットを送信できます。PathMTU値よりも大きく値を設定すると通信ができなくなるので注意してください。
(4) TCP通信中のバインディングエントリ削除
TCP通信中に,運用コマンドのclear ipv6 natpt translationコマンドや,構成定義コマンドのdelete natptコマンドで通信に使用しているバインディングエントリを削除すると変換不可能になり,TCPのコネクションが切断されます。バインディングエントリを削除するときには注意してください。また,set calendarコマンドを使用して現時刻よりも未来に設定した場合,エージングによってバインディングエントリを削除するので注意してください。
(5) 動的NAPT-PTでのFTP通信
動的NAPT-PTでFTP通信を行う場合は,変換ルールオプションのプールポート番号範囲の上限を1024以上に設定してください。これはPORT制御コマンドとEPRT制御コマンドの引数のポート番号が1023以下の場合,FTPサーバはコマンド受付を拒否してしまうためです。
また,FTPサーバによっては,FTPクライアントからls,get,putなどのコマンドを実行したときに"435 Can't build data connection"というエラーメッセージが表示され,コマンドが実行できない場合があります。このような場合は,変換ルールオプションのプールポート番号範囲の下限を1024以上に設定してください。
(6) Ping6およびPing使用時の動作
IPv6端末からIPv4端末に対してPing6を実行した場合や,IPv4端末からIPv6端末に対してPingを実行した場合,echoパケットによって生成したバインディングエントリは,echo replayのパケットを変換後に,エージング時間とは無関係に削除します。
また,echoパケットの変換時に,バインディングエントリにはICMPのIDおよびシーケンス番号を保持しています。echo replayパケット受信時にIDおよびシーケンス番号が一致すれば変換します。一致しなければ変換しません。
(7) Traceroute6およびTraceroute使用時の動作
IPv6端末からIPv4端末に対してTraceroute6を実行した場合,IPv4ネットワーク内の経路は,すべてNAT-PTプレフィックスを付与したアドレスで表示されます。Traceroute6・Traceroute実行例を次の図に示します。なお,実行結果は端末にFreeBSDを使用したときの結果です。
図14-31 Traceroute6・Traceroute実行例
(8) DNSによる名前解決
IPv6端末がIPv4端末との通信を行うに当たって,IPv4ネットワーク内のDNSサーバによって名前解決を行うには,IPv6端末のネームサーバアドレスを本装置に設定し,本装置にDNSリレーの設定を行う必要があります。DNSリレーの設定についてはマニュアル「構成定義コマンドレファレンス Vol.2」のdns-resolver(DNSリゾルバ情報)コマンドを参照してください。
(9) 変換ルールとバインディングエントリ
バインディングエントリは,通信に該当するバインディングエントリが存在しないで,構成定義のnatpt ruleで定義した変換ルールに一致した場合に作成されます。変換ルールを変更した場合,バインディングエントリには反映されないので注意してください。変換ルールの変更内容をバインディングエントリに反映するには,いったん通信を停止後に,運用コマンドのclear ipv6 natpt translationコマンドか,エージング時間が過ぎるのを待って,バインディングエントリを削除し,再度通信を行ってください。通信中に運用コマンドのclear ipv6 natpt translationコマンドでバインディングエントリを削除すると,通信が切断されます。
また,TCP通信の場合,TCPの制御フラグのSYNフラグがONだけになっている場合にバインディングエントリを作成します。SYNフラグがON以外の場合には,バインディングエントリを作成できないので,通信を開始できません。
(10) 高負荷での通信
NAT-PTによる変換処理はRMで行っています。そのため,高負荷で通信を行うとRMのCPU使用率が上がり,コマンド入力や表示が遅くなる場合があるので注意してください。運用コマンドのshow rm cpuコマンドでRMのCPU使用率を確認し,RMの負荷が高い場合には負荷を下げてください。
なお,構成定義コマンドのdefaultコマンドでtunnel_optimizeオプションを指定することによって,高負荷でもRMのCPU使用率を抑えることができます。この場合,IPv4からIPv6への変換で10Mbit/sを超える負荷についてはRMのCPU使用率を下げるために,パケットを廃棄するので注意してください。
(11) 他機能との同時動作
NAT-PT機能と他機能との同時動作可否を次の表に示します。
区分 機能 同時動作可否 備考 IPv4 ユニキャスト通信 ○ − マルチキャスト通信 ○ − フィルター ○ − ロードバランス ○ − NULLインタフェース ○ − ポリシールーティング × 「(d) ポリシールーティングとの同時動作」を参照。 QoS ○ 「(c) QoSとの同時動作」を参照。 Diff-Serv ○ − VRRP ○ 「(e) VRRPとの同時動作」を参照。 DHCP/BOOTPリレーエージェント ○ − DHCPサーバ ○ − DHCPクライアント ○ − DNSリレー △ 「(f) DNSリレーとの同時動作」を参照。 NAT,NAPT △ 「(a) NATとの同時動作」を参照。 IPv6 ユニキャスト通信 ○ − マルチキャスト通信 ○ − フィルター ○ − ロードバランス ○ − NULLインタフェース ○ − ポリシールーティング × 「(d) ポリシールーティングとの同時動作」を参照。 QoS ○ − Diff-Serv ○ − VRRP ○ 「(e) VRRPとの同時動作」を参照。 トンネル × 「(b) トンネルとの同時動作」を参照。 運用 リモートログイン(rlogin) △ 「(g) 運用機能との同時動作」を参照。 リモートログイン(telnet) △ 「(g) 運用機能との同時動作」を参照。 FTP △ 「(g) 運用機能との同時動作」を参照。 SNMP △ 「(g) 運用機能との同時動作」を参照。 RADIUS認証 ○ − E-mail通知 ○ − (凡例) ○:同時動作できる △:条件によっては同時動作できない ×:同時動作できない −:該当しない
(a) NATとの同時動作
「表14-27 NATとNAT-PTで同時動作できない設定条件」に示す条件でNAT機能とNAT-PT機能を同時動作した場合,NATは動作しないので注意してください。これはNATよりも先にNAT-PTが処理するためです。なお,動的NAPTまたは動的NAPT-PTと組み合わせた場合には,使用ポート番号の排他制御を行いますので,同時動作できます。
表14-27 NATとNAT-PTで同時動作できない設定条件
NAT-PTの変換ルール NATの変換ルール プールアドレス・プールポート 静的NAT-PT 静的NAT プールアドレスが同じ 静的NAT-PT 静的NAPT プールアドレスが同じ 静的NAPT-PT 静的NAT プールアドレスが同じ 静的NAPT-PT 静的NAPT プールアドレスとプールポートが同じ (b) トンネルとの同時動作
トンネルインタフェース上で,NAT-PTは使用できません。別のインタフェースで使用してください。
(c) QoSとの同時動作
NAT-PTによって変換されたIPv4パケットを送信するときにQoSを使用する場合には,flowコマンドでclassify-allパラメータの設定を行ってください。flowコマンドについてはマニュアル「構成定義コマンドレファレンス Vol.2」を参照してください。
(d) ポリシールーティングとの同時動作
NAT-PTの変換後にポリシールーティングでルーティングすることはできません。これは自発パケットに対してポリシールーティングを行うことができないためです。
(e) VRRPとの同時動作
NAT-PT機能を有効にした2台のルータ間でVRRPを使用し,TCP通信中にVRRPによる切り替えが発生した場合,コネクションは切断されます。クライアントやサーバからの再接続操作を行うことによって通信が再開します。
また,VRRPの仮想アドレスをプールアドレスとして使用できません。
(f) DNSリレーとの同時動作
静的NAT-PTを使用した場合と,静的NAPT-PTでプールポート番号に53を設定した場合,DNSリレーをNAT-PT使用インタフェースに設定したインタフェースで使用できません。これはDNSリレー機能がDNSクエリーやDNSレスポンスをリレーするよりも先に,NAT-PT機能が動作してパケット変換するためです。
(g) 運用機能との同時動作
静的NAT-PTを使用した場合,各運用機能をプールアドレスで使用できません。また,静的NAPT-PTを使用した場合には,指定したポート番号に対応した各運用機能をプールアドレスで使用できません。これは本装置のサービスよりも先に,NAT-PT機能が動作し,パケット変換するためです。本装置のサービスを使用する場合には,プールアドレス以外の宛先を使用するか,静的NAPT-PTを使用して必要なプロトコル・ポートだけを変換するように設定してください。各運用機能と静的NAPT-PTで同時動作できない設定条件を次の表に示します。
表14-28 各運用機能と静的NAPT-PTで同時動作できない設定条件
運用機能 プロトコル プールポート番号 リモートログイン(rlogin) TCP 514 リモートログイン(telnet) TCP 23 FTP TCP 21 SNMP UDP 161
(12) 複数のNAT-PTルータの使用
NAT-PTはバインディングエントリによって,その通信の状態を監視しています。このため,通信の往路と復路で別のNAT-PTルータを使用して変換できません。
(13) 静的NAT-PT使用時の注意
本装置のNAT-PTではプールアドレスに自装置のIPアドレスを使用するため,静的NAT-PTを使用した場合,自装置宛てのパケットはすべて静的NAT-PTルールに従って変換します。このため,自装置宛てのルーティングプロトコルパケットも変換し,ルーティング情報が交換できないことがありますので,静的NAT-PTへ使用時には,特に注意してください。
また,静的NAT-PTは一つのIPv6アドレスに対して,一つのIPv4アドレス(プールアドレス)を割り当てて使用します。複数の静的NAT-PTルールでプールアドレスを重複して使用した場合,意図した通りに変換できない場合がありますので注意してください。
Copyright (c)2005 ALAXALA Networks Corporation. All rights reserved.