この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、ネットワークアドレス変換(NAT)に関してよく寄せられる質問について説明します。
A. ネットワークアドレス変換(NAT)は、IP アドレスの節約を目的として設計されています。登録されていない IP アドレスを使用したプライベート IP ネットワークがインターネットに接続できるようになります。NAT はルータ(通常、2 つのネットワークどうしを接続するもの)で動作し、パケットを別のネットワークに転送する前に、社内ネットワークの(グローバルに一意のアドレスではなく)プライベート アドレスを正規のアドレスに変換します。
この機能の一部として、ネットワーク全体に対して 1 つのアドレスだけを外部にアドバタイズするように NAT を設定できます。これにより、内部ネットワーク全体がそのアドレスに効果的に隠されるため、セキュリティが高まります。NAT には、セキュリティとアドレス保全の 2 つの機能があり、一般にリモート アクセス環境に実装されます。
A. ルータなどの単一のデバイスを、インターネット(またはパブリックネットワーク)とローカルネットワーク(またはプライベートネットワーク)を仲介するエージェントとして機能させるのが、NAT の基本的な仕組みです。これにより、そのデバイスが属するネットワークの外部に対しては、一意の IP アドレス 1 つでコンピュータのグループ全体を表せます。
A. 従来の NAT を構成するには、ルータ上に最低でも 1 つのインターフェイス(NAT 外部)を作成し、さらにそれとは別のインターフェイス(NAT 内部)を作成した上で、パケットヘッダー(および必要に応じてペイロード)の IP アドレスを変換するためのルールセットを設定する必要があります。NAT 仮想インターフェイス(NVI)を設定するには、NAT が有効に設定された少なくとも 1 つのインターフェイスと、前述と同じルールのセットが必要です。
詳細については、『Cisco IOS® IPアドレッシングサービス設定ガイド』または『NAT仮想インターフェイスの設定』を参照してください。
A. Cisco IOS ソフトウェアベースの NAT と、Cisco PIX セキュリティアプライアンスの NAT 機能には、基本的に違いはありません。主な違いは、実装でサポートされているトラフィックの種類などです。Cisco PIX デバイスでの NAT 設定の詳細については、NAT の設定例(サポートされているトラフィックのタイプを含む)を参照してください。
A. Cisco Feature Navigatorツールを使用すると、機能(NAT)を識別して、このCisco IOSソフトウェア機能が使用可能なリリースとハードウェアバージョンを調べることができます。このツールを使用するには、『Cisco Feature Navigator』を参照してください。
注:シスコの内部ツールおよび情報にアクセスできるのは、登録ユーザのみです。
A. NAT を利用してトランザクションが処理される順序は、パケットがネットワークの内部から外部に向かうか、逆に外部から内部に向かうかで異なります。内部から外部への変換はルーティングの後に行われ、外部から内部への変換はルーティングの前に行われます。詳細については、「NAT の処理順序」を参照してください。
A. あります。NAT スタティック IP サポート機能は、スタティック IP アドレスを持つユーザがパブリック ワイヤレス LAN 環境で IP セッションを確立できるようにサポートします。
A. あります。NAT を使用して、複数の実ホストの間でのロード シェアリングを調整する仮想ホストを内部ネットワークに設定することができます。
A. あります。レート制限 NAT 変換機能によって、ルータ上で同時に処理される NAT の数を制限できます。これにより、ユーザが NAT アドレスの使用方法をより詳細に管理できるようになるだけでなく、NAT 変換のレート制限機能を使用して、ウイルスやワーム、サービス拒絶攻撃の影響を制限できるようになります。
A. NAT によって作成された IP アドレスのルーティングは、次の場合に学習が行われます。
内部グローバル アドレス プールが、ネクストホップ ルータのサブネットから取得される場合。
スタティック ルート エントリがネクストホップ ルータで設定されて、ルーティング ネットワーク内に再配布される場合。
内部グローバルアドレスがローカルインターフェイスと一致すると、NATはIPエイリアスとARPエントリをインストールします。この場合、ルータはこれらのアドレスに対するプロキシARPを実行できます。この動作が望ましくない場合は、no-alias キーワードを使用します。
NAT プールを設定するとき、add-route オプションを使用して自動ルート注入を行うことができます。
A. NAT セッションの上限数は、ルータに搭載されている DRAM の使用可能量によって制限されます。各 NAT 変換は、約 312 バイトの DRAM を消費します。その結果、10,000 変換(一般に 1 つのルータで処理されるより多い数)では約 3 MB が消費されます。そのため、標準的なルーティング ハードウェアは、数千の NAT 変換をサポートするのに十分なメモリを備えています。
A. Cisco IOS の NAT 機能では、Cisco Express Forwarding スイッチング、ファストスイッチング、プロセススイッチングがサポートされます。12.4T リリース以降では、ファスト スイッチング パスはサポートされなくなります。Cat6k プラットフォームでは、スイッチングの順序は Netflow(HW スイッチング パス)、CEF、プロセス パスです。
パフォーマンスは、いくつかの要因によって異なります。
アプリケーションの種類とそのトラフィックの種類
IP アドレスが組み込みかどうか
複数のメッセージの交換と検査
必要な送信元ポート
変換の数
同時に動作している他のアプリケーション
ハードウェアおよびプロセッサの種類
A. あります。送信元および送信先 NAT 変換は、IP アドレスを持つ任意のインターフェイスまたはサブインターフェイスに適用できます(ダイヤラ インターフェイスなど)。NAT をワイヤレス仮想インターフェイスに設定することはできません。ワイヤレス仮想インターフェイスは、NVRAM への書き込みの時点では存在しません。したがって、再起動すると、ルータはワイヤレス仮想インターフェイスでの NAT の設定を失います。
A. あります。NAT は HSRP の冗長性を提供します。ただし、SNAT(ステートフル NAT)とは異なります。NAT での HSRP はステートレス システムです。障害が発生した場合、現在のセッションは維持されません。スタティック NAT の設定時に(パケットがどの STATIC ルール設定とも一致しない場合)、パケットは変換されずに送信されます。
A. あります。NAT の場合、カプセル化は問題ではありません。インターフェイスに IP アドレスがあり、インターフェイスが NAT 内部または NAT 外部であれば、NAT を行うことができます。NAT が機能するには、内部と外部が必要です。NVI を使用する場合は、NAT 対応のインターフェイスが少なくとも 1 つ必要です。詳細は、「NAT を設定するにはどうすればよいのですか」の項を参照してください。
A. あります。これは、NAT を必要とするホストまたはネットワークの設定が記述されているアクセス リストを使用して実現できます。
アクセス リスト、拡張アクセス リスト、およびルート マップを使用して、IP デバイスが変換されるルールを定義することができます。ネットワークアドレスと適切なサブネットマスクを常に指定する必要があります。ネットワークアドレスまたはサブネットマスクの代わりにキーワードanyを使用しないでください。スタティックNATでは、パケットがどのSTATICルール設定とも一致しない場合、パケットは変換されずに送信されます。
A.PAT(オーバーロード)は、グローバルIPアドレスごとに、使用可能なポートを0 ~ 511、512 ~ 1023、1024 ~ 65535の3つの範囲に分割します。PAT は、各 UDP または TCP セッションに一意の送信元ポートを割り当てます。PAT は、元の要求と同じ値のポートを割り当てようとしますが、元の送信元ポートがすでに使用されている場合は、特定のポート範囲を先頭からスキャンして、最初に使用できるポートをカンバセーションに割り当てます。12.2S コード ベースは例外です。12.2S コード バースは異なるポート ロジックを使用しており、ポートの予約はありません。
A. PAT は 1 つのグローバル IP アドレスで機能する場合と、複数のアドレスで機能する場合があります。
1 つの IP アドレスを使用する PAT
条件 説明 1 NAT/PAT は、トラフィックを調べて、変換ルールと照合します。 2 ルール が PAT の設定と一致します。 3 PATは、トラフィックタイプに関する情報を持っていて、そのトラフィックタイプで使用される「特定のポートまたはネゴシエートするポートのセット」が存在する場合、それらのポートを除外し、一意のIDを割り当てません。 4 特別なポート要件のないセッションが発信接続を試みた場合、PAT は IP の送信元アドレスを変換し、発信した送信元ポート(たとえば 433)の使用可能性を調べます。 注:Transmission Control Protocol(TCP;伝送制御プロトコル)およびUser Datagram Protocol(UDP;ユーザデータグラムプロトコル)の場合、範囲は1 ~ 511、512 ~ 1023、1024 ~ 65535です。Internet Control Message Protocol(ICMP)の場合、最初のグループは 0 から始まります。
5 要求された送信元ポートが使用可能な場合、PAT は送信元ポートを割り当て、セッションが続行されます。 6 要求された送信元ポートが使用可能ではない場合、PAT は関連するグループの最初から検索を始めます(TCP または UDP アプリケーションの場合は 1 から開始し、ICMP の場合は 0 から開始します)。 7 ポートが使用可能な場合はそれが割り当てられて、セッションが続行されます。 8 使用可能なポートがない場合、パケットは破棄されます。 複数の IP アドレスを使用する PAT
条件 説明 1-7 最初の 7 つの条件は、単一 IP アドレスと同じです。 8 最初の IP アドレスの関連グループに使用可能なポートがない場合、NAT はプールの次の IP アドレスに進み、要求された元の送信元ポートの割り当てを試みます。 9 要求された送信元ポートが使用可能な場合、NAT は送信元ポートを割り当て、セッションが続行されます。 10 要求された送信元ポートが使用可能ではない場合、NAT は関連するグループの最初から検索を始めます(TCP または UDP アプリケーションの場合は 1 から開始し、ICMP の場合は 0 から開始します)。 11 ポートが使用可能な場合はそれが割り当てられて、セッションが続行されます。 12 使用可能なポートがなく、プールで別の IP アドレスを使用できない場合、パケットは破棄されます。
A. NAT IP プールとは、必要に応じて割り当てられる NAT 変換用の IP アドレス範囲のことです。プールを定義するには、次のコンフィギュレーション コマンドを使用します。
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]例 1
次の例では、内部ホストのアドレスが192.168.1.0または192.168.2.0ネットワークからグローバルに一意な10.69.233.208/28ネットワークに変換されています。
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255例 2
この例の目標は、一連の実ホスト間に接続を分散する仮想アドレスを定義することです。このプールは実ホストのアドレスを定義します。アクセス リストは仮想アドレスを定義します。変換がまだ存在しない場合、シリアル インターフェイス 0(外部インターフェイス)からの TCP パケットのうち、アクセス リストと一致する宛先を持つものは、このプールに含まれるアドレスに変換されます。
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
A. 実際に使用するときは、設定可能な IP プールの最大数は個々のルータで使用できる DRAM の量によって上限が変わります。(Cisco はプール サイズを 255 に設定することを推奨します)。 各プールは16ビット以下にする必要があります。12.4(11)T以降では、Cisco IOSにCCE(Common Classification Engine)が導入されています。そこでは、NAT のプール数が 255 以下に制限されています。12.2S コード ベースでは、最大プール数の制限はありません。
A. ルートマップは望ましくない外部ユーザーが内部のユーザーやサーバーにアクセスするのを防ぎます。また、ルールに基づいて単一の内部 IP アドレスを別の内部グローバル アドレスにマップする機能もあります。詳細については、『ルート マップを使用する複数プールの NAT サポート』を参照してください。
A. IPアドレスの重複とは、相互接続を行おうとする2つの場所が、同じIPアドレス方式を使用している状況を指します。これは珍しいことではなく、企業の合併や買収の際によく発生します。特別なサポートがなければ、2つの場所は接続できず、セッションを確立できません。重複するIPアドレスは、別の会社に割り当てられたパブリックアドレスや、別の会社に割り当てられたプライベートアドレス、あるいはRFC 1918で定義されているプライベートアドレスという場合もあります
プライベート IP アドレスはルーティング不可能であり、外界に接続するには NAT 変換が必要です。これを解決するには、外部から内部へのドメイン ネーム システム(DNS)名前クエリ応答をインターセプトし、外部アドレスの変換を設定して、DNS 応答を再構成してから内部のホストに転送する必要があります。両方のネットワーク間を接続するには、NAT デバイスの両側に DNS サーバが必要です。
「オーバーラップしているネットワークでの NAT の使用」で示されているように、NAT は DNS の A レコードと PTR レコードの内容を調べてアドレス変換を行うことができます。
A. 静的 NAT 変換は、ローカルアドレスとグローバルアドレスを 1 対 1 でマッピングします。ユーザは、ポート レベルでスタティック アドレス変換を設定し、残りの IP アドレスを他の変換に使用することもできます。これは通常、ポート アドレス変換(PAT)を実行している場所で行われます。
次の例は、スタティックNATで外部から内部への変換を許可するようにルートマップを設定する方法を示しています。
ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 10.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
A. あります。NAT オーバーロードは、1 つ以上の一連のアドレスが含まれているプールを使用するか、またはポートとインターフェイス IP アドレスの組み合わせを使用する PAT です。オーバーロードでは完全に拡張された変換が作成されます。これは IP アドレスおよび送信元ポートと送信先ポートの情報を含む変換テーブル エントリであり、一般に PAT またはオーバーロードと呼ばれます。
PAT(またはオーバーロード)はCisco IOS NATの機能であり、内部(内部ローカル)のプライベートアドレスを1つ以上の外部(内部グローバル、通常は登録済み)のIPアドレスに変換するために使用されます。各変換の一意の送信元ポート番号が、カンバセーションの区別に使用されます。
A. 動的 NAT 変換では、ユーザーはローカルアドレスとグローバルアドレスの間でダイナミックマッピングを確立できます。ダイナミック マッピングを実現するには、変換されるローカル アドレスと、グローバル アドレスの割り当て元となるアドレスまたはインターフェイス IP アドレスのプールを定義して、この 2 つを関連付けます。
A. ALG とはアプリケーション層ゲートウェイ(ALG)のことです。NAT は、アプリケーション データ ストリームで送信元 IP アドレスおよび送信先 IP アドレスの両方またはいずれかが送信されない Transmission Control Protocol/User Datagram Protocol(TCP/UDP)トラフィックで、変換サービスを実行します。
このようなプロトコルとしては、FTP、HTTP、SKINNY、H232、DNS、RAS、SIP、TFTP、telnet、archie、finger、NTP、NFS、rlogin、rsh、rcp などがあります。IP アドレス情報をペイロードに埋め込む特定のプロトコルには、アプリケーション レベル ゲートウェイ(ALG)のサポートが必要です。
詳細については、『NAT でのアプリケーション レベル ゲートウェイの使用』を参照してください。
A. あります。ただし、同じ IP アドレスを、NAT スタティック設定と NAT ダイナミック設定プールの両方に使用することはできません。すべてのパブリック IP アドレスは一意である必要があります。スタティック変換で使用されるグローバル アドレスは、同じグローバル アドレスを含むダイナミック プールで自動的に除外されないことに注意してください。ダイナミック プールは、スタティック エントリによって割り当てられるアドレスを除外して作成する必要があります。詳細については、『スタティック NAT とダイナミック NAT の同時設定』を参照してください。
A. 外部からのtracerouteは、常にグローバルアドレスを返す必要があります。
A. NATでは、フルレンジとポートマップというポート機能が追加されています。
全範囲では、NAT はデフォルトのポート範囲に関係なくすべてのポートを使用できます。
ポートマップでは、NAT はユーザ定義のポート範囲を特定のアプリケーションに予約できます。
詳細については、『PAT に対するユーザ定義の送信元ポート範囲』を参照してください。
12.4(20)T2 以降の NAT には、L3/L4 のポート ランダム化および対称ポートが導入されています。
ポートのランダム化により、NAT は送信元ポート要求に対して任意のグローバル ポートをランダムに選択できます。
対称ポートにより、NATは独立したポイントをサポートできます。
A. IPフラグメンテーションはレイヤ3(IP)で発生し、TCPセグメンテーションはレイヤ4(TCP)で発生します。IP フラグメンテーションは、インターフェイスの最大伝送ユニット(MTU)より大きいパケットがそのインターフェイスから送信されるときに発生します。これらのパケットは、インターフェイスから送信されるときに、フラグメント化されるか、廃棄される必要があります。パケットのIPヘッダーでDo not Fragment(DF)ビットが設定されていない場合、パケットはフラグメント化されます。パケットのIPヘッダーにDFビットが設定されている場合、パケットは廃棄され、ネクストホップのMTU値を示すICMPエラーメッセージが送信元に返されます。IP パケットのすべてのフラグメントは、IP ヘッダーに同じ ID が定義されています。そのため、最終的な受信者は、フラグメントを再構成することによって、元の IP パケットを再現できます。詳細については、『GRE および IPSec による IP フラグメンテーション、MTU、MSS、および PMTUD の問題の解決』を参照してください。
TCP のセグメンテーションは、エンド ステーションのアプリケーションがデータを送信するときに発生します。アプリケーション データは、TCP が送信に最適であると考えるサイズのチャンクに分割されます。TCP から IP に渡されるこのデータの単位が、セグメントと呼ばれます。TCP セグメントは、IP データグラムで送信されます。これらの IP データグラムは、ネットワークを通過する際に通り抜けられない低い MTU のリンクがあると、IP フラグメント化されます。
TCPは、最初にこのデータを(TCP MSS値に基づいて)TCPセグメントにセグメント化し、TCPヘッダーを追加して、このTCPセグメントをIPに渡します。次に、IPプロトコルはIPヘッダーを追加して、パケットをリモートエンドホストに送信します。TCPセグメントを含むIPパケットが、TCPホスト間のパス上にある発信インターフェイスのIP MTUよりも大きい場合、IPはIP/TCPパケットをフラグメント化して収まるようにします。これらのIPパケットフラグメントは、IPレイヤによってリモートホスト上で再構成され、(最初に送信された)完全なTCPセグメントがTCPレイヤに渡されます。TCP層は、転送中にIPによってパケットがフラグメント化されたことを認識しません。NATはIPフラグメントをサポートしますが、TCPセグメントはサポートしません。
A. NAT を有効にすると ip virtual-reassembly が設定されるため、IP フラグメントのアウトオブオーダーにのみ対応できます。
A. NATでは、IPフラグメンテーションとTCPセグメンテーションのデバッグに、同じデバッグCLIコマンドdebug ip nat fragを使用します。
A. いいえ。CISCO-IETF-NAT-MIB も含め、サポートされている NAT MIB はありません。
A. 3ウェイハンドシェイクが完了していないのに、NATでTCPパケットが検出された場合は、60秒のタイマーが開始されます。3 ウェイ ハンドシェイクが完了すると、NAT は NATエントリに対してデフォルトで 24 時間のタイマーを使用します。エンド ホストが RESET を送信した場合、NAT はデフォルトのタイマーを 24 時間から 60 秒に変更します。FIN の場合は、NAT は FIN と FIN-ACK を受信した時点でデフォルトのタイマーを 24 時間から 60 秒に変更します。
A. あります。すべてのエントリ、または異なるタイプのNAT変換(udp-timeout、dns-timeout、tcp-timeout、finrst-timeout、icmp-timeout、pptp-timeout、syn-timeout、port-timeout、arp-ping-timeoutなど)のNATタイムアウト値を変更できます。
A. LDAP 設定では、Search-Res-Entry タイプのメッセージを処理する際に、追加のバイト(LDAP の検索結果)が付加されます。LDAP は、10 バイトの検索結果を各 LDAP 応答パケットに追加します。この余分な 10 バイトのデータが原因で、パケットがネットワークの最大伝送ユニット(MTU)を超えると、パケットは破棄されます。このような場合は、パケットが送受信されるように、CLI の no ip nat service append-ldap-search-res コマンドを使用して LDAP のこの動作をオフにすることをお勧めします。
A. NAT 機能が設定されているボックスでは、NAT-NVI などの機能に対応した内部グローバル IP アドレスのルートを指定する必要があります。同様に、外部ローカルIPアドレスのルートもNATボックスで指定する必要があります。この場合、外部スタティックルールを使用したinからout方向のパケットには、この種のルートが必要です。このようなシナリオでは、IG/OLのルートを指定する際に、ネクストホップIPアドレスも設定する必要があります。ネクストホップ設定がない場合は、設定エラーと見なされ、未定義の動作が発生します。
NVI-NAT は出力機能パスにだけ存在します。NAT-NVI で直接接続されたサブネットがある場合、またはボックスで外部 NAT 変換ルールが設定されている場合、これらのシナリオでは、ダミーのネクスト ホップ IP アドレスおよびネクスト ホップに関連付けられた ARP を提供する必要があります。これは、基盤となるインフラストラクチャが変換のためパケットを NAT に渡すために必要です。
A. Cisco IOS の NAT 機能でダイナミック NAT 変換を設定すると、変換可能なパケットを識別するために ACL が使用されます。現在のNATアーキテクチャでは、log キーワードを使用するACLはサポートされていません。
A. CUCM 7およびCUCM 7のすべてのデフォルトの電話ロードでは、SCCPv17がサポートされています。使用される SCCP のバージョンは、電話登録の時点で CUCM と電話に共通する最も高いバージョン番号によって決まります。
このドキュメントが作成された時点では、NATはまだSCCP v17をサポートしていません。SCCP v17のNATサポートが実装されるまでは、SCCP v16がネゴシエートされるように、ファームウェアをバージョン8-3-5以前にダウングレードする必要があります。CUCM6では、SCCP v16を使用している限り、どの電話ロードでもNAT問題は発生しません。現在、Cisco IOS は SCCP バージョン 17 をサポートしていません。
A. NAT は CUCM バージョン 6.x 以前のリリースをサポートしています。これらの CUCM バージョンは、SCCP v15(またはそれ以前)をサポートするデフォルトの 8.3.x(またはそれ以前の)電話ファームウェア ロードでリリースされます。
NAT は、CUCM バージョン 7.x 以降のリリースをサポートしていません。これらの CUCM バージョンは、SCCP v17(またはそれ以降)をサポートするデフォルトの 8.4.x 電話ファームウェア ロードでリリースされます。
CUCM 7.x 以降を使用する場合は、NAT によるサポートが得られるように、電話機では SCCP v15 以前のバージョンのファームウェア ロードが使用される必要があります。そのため、CUCM TFTP サーバには、古いバージョンのファームウェア ロードをインストールする必要があります。
A. サービスプロバイダーが提供する RTP および RTCP 機能への PAT ポート割り当て拡張は、SIP、H.323、Skinny の各プロトコルによる音声コールを保証する機能です。RTP ストリームに使用されるポート番号は偶数のポート番号で、RTCP ストリームはその次の奇数のポート番号です。ポート番号は、RFC-1889 で指定された範囲内の番号に準拠するように変換されます。範囲内のポート番号を持つコールは、この範囲内の別のポート番号へのPAT変換を行います。同様に、この範囲外のポート番号に対するPAT変換では、特定の範囲内の番号への変換は行われません。
A. Session Initiation Protocol(SIP)は、アプリケーション層の ASCII ベースの制御プロトコルであり、2 つ以上のエンドポイント間でコールを確立、維持、および終了するために使用できます。SIP は、インターネット技術特別調査委員会(IETF)が開発した、IP を介したマルチメディア会議用の代替プロトコルです。Cisco SIP の実装では、サポートされるシスコ プラットフォームが IP ネットワークを介した音声コールおよびマルチメディア コールの確立を通知します。
SIP パケットは NAT に対応しています。
A. Cisco IOS の SBC 用ホスト型 NAT トラバーサル機能を使用することで、Cisco IOS NAT SIP アプリケーションレベル ゲートウェイ(ALG)ルータを Cisco マルチサービス IP-to-IP ゲートウェイ上で SBC として機能させることができ、Voice over IP(VoIP)サービスを円滑に配信できます。
詳細は、『Session Border Controller の Cisco IOS ホスト NAT トラバーサル』を参照してください。
A. NAT ルータで処理されるコールの数は、NAT ボックスのメモリの空き容量と CPU の処理能力によって異なります。
A. Cisco IOS-NATでは、12.4メインラインでH323のTCPセグメンテーションがサポートされており、12.4(6)T以降のSKINNYではTCPセグメンテーションがサポートされています。
A. あります。NAT オーバーロードの設定と音声の導入がある場合、登録メッセージが NAT を通過するようにして、この内部デバイスに到達するように外側から内側への関連付けを作成する必要があります。内部デバイスは定期的にこの登録を送信し、NAT は通知メッセージ内の情報からこのピンホール/関連付けを更新します。
A. 音声環境では、clear ip nat trans * コマンドまたはclear ip nat trans forced コマンドを実行するときに、ダイナミックNATが設定されている場合には、ピンホール/関連付けがクリアされるため、内部デバイスからの次の登録サイクルによってこれが再確立されるのを待つ必要があります。音声の導入ではこれらのコマンドを使用しないことをお勧めします。
A. いいえ。現時点では併存ソリューションはサポートされていません。NATを使用した次の展開(同じボックス)は、CME/DSP-Farm/SCCP/H323という同じ場所に配置されたソリューションと見なされます。
A. いいえ。ただし、UDP SIP ALG(ほとんどの環境で使用)には影響はありません。
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED
A. 従来のNATでは、異なるVRFでのアドレス設定の重複がサポートされています。match-in-vrf オプションを使用してルールでオーバーラップを設定し、その特定の VRF のトラフィックに対して同じ VRF で ip nat inside/outside を設定する必要があります。オーバーラップのサポートには、グローバル ルーティング テーブルは含まれません。
異なる VRF のオーバーラップしている VRF スタティック NAT エントリに対して match-in-vrf キーワードを追加する必要があります。ただし、グローバル アドレスと VRF NAT アドレスをオーバーラップすることはできません。
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf
A. いいえ。異なる VRF 間の NAT 処理には NVI を使用する必要があります。従来のNATを使用して、VRFからグローバルへのNATまたは同じVRF内でのNATを実行できます。
A. NVI は NAT 仮想インターフェイスの略称です。2 つの異なる VRF 間で NAT を行うことができます。このソリューションは、Network Address Translation on a Stickの代わりに使用する必要があります。
A. シスコではグローバル NAT に対する VRF(ip nat inside/out)と、同じ VRF 内のインターフェイス間でレガシー NAT を使用することを推奨しています。NVI は、異なる VRF 間の NAT に使用されます。
A. NAT-NVI での TCP セグメンテーションはサポートされていません。
A. いいえ。ただし、UDP SIP ALG(ほとんどの環境で使用)には影響はありません。
A. SNAT は TCP ALG(SIP、SKINNY、H323、DNS など)をサポートしていません。したがって、TCP セグメンテーションはサポートされません。ただし、UDP SIP と DNS はサポートされます。
A. SNAT では、2 つ以上のネットワーク アドレス トランスレータを 1 つの変換グループとして機能させることができます。変換グループの 1 つのメンバーが、IP アドレス情報の変換を必要とするトラフィックを処理します。さらに、アクティブなフローが発生するとバックアップ用トランスレータに通知します。バックアップ用トランスレータは、アクティブなトランスレータからの情報を使用して、重複する変換テーブル エントリを準備できます。これにより、アクティブなトランスレータで重大な障害が発生した場合は、バックアップに迅速に切り替えることができます。変換のステートが先に定義されていたのと同じネットワーク アドレス変換が使用されるため、トラフィックのフローは継続します。
A. SNAT は TCP ALG(SIP、SKINNY、H323、DNS など)をサポートしていません。したがって、TCP セグメンテーションはサポートされません。ただし、UDP SIP と DNS はサポートされます。
A.非対称ルーティングでは、as-queuingをイネーブルにすることで、NATをサポートしています。デフォルトでは、as-queueing はイネーブルです。ただし、12.4(24)T 以降では as-queuing はサポートされなくなります。ユーザーは、パケットが適切にルーティングされること、および非対称ルーティングが正しく動作するように適切な遅延が追加されることを確認する必要があります。
A. NAT-PT は、NAT v4 を NAT v6 に変換する仕組みです。プロトコル変換(NAT-PT)は、RFC 2765 およびRFC 2766 で定義されたIPv6-IPv4変換メカニズムです。これにより、IPv6専用デバイスとIPv4専用デバイスが相互に通信できるようになります。
A. NAT-PT は CEF パスではサポートされていません。
A. NAT-PT は TFTP/FTP と DNS をサポートしています。NAT-PT では音声と SNAT はサポートされません。
A. アグリゲーション サービス ルータ(ASR)は NAT64 を使用します。
A. SNAT は Catalyst 6500 の SX トレインでは使用できません。
A. このプラットフォームのハードウェアでは、VRF 対応 NAT はサポートされていません。
A. 6500 系および 7600 系プラットフォームでは、VRF 対応 NAT はサポート対象外で、CLI はブロックされています。
注:FWSM を利用することで、仮想コンテキスト透過モードで動作する設計を実装できます。
A. いいえ。850 シリーズのリリース 12.4T では、Skinny NAT ALG はサポートされていません。
A. NATは、未登録のIPアドレスを使用するプライベートIPインターネットワークがインターネットに接続できるようにします。NAT は、パケットが別のネットワークに転送される前に、内部ネットワークのプライベート(RFC1918)アドレスを正規にルーティング可能なアドレスに変換します。
A. NAT の音声機能サポートにより、ネットワークアドレス変換(NAT)が設定されたルータを通過する SIP 埋め込みメッセージを、変換でパケットに戻すことができます。音声パケットの変換には、アプリケーション レイヤ ゲートウェイ(ALG)が NAT とともに使用されます。
A. NAT と MPLS VPN 機能との統合により、複数の MPLS VPN を単一のデバイスに設定して連携させることができます。MPLS VPN がすべて同じ IP アドレッシング スキームを使用していても、NAT は、IP トラフィックを受信する MPLS VPN を区別できます。この拡張により、複数の MPLS VPN の顧客がサービスを共有しながら、各 MPLS VPN が互いに完全に分離していることが保証されます。
A. ネットワークアドレス変換(NAT)のスタティックマッピングが構成された、ルータが保持するアドレスに対して Address Resolution Protocol(ARP)クエリがトリガーされると、NAT は ARP が指すインターフェイスの BIA MAC アドレスで応答します。2 つのルータはそれぞれ、HSRP アクティブとスタンバイの役割を果たします。ルータの NAT 内部インターフェイスがイネーブルになり、グループに属するように設定される必要があります。
A. NAT 仮想インターフェイス(NVI)機能により、インターフェイスを NAT の内部または外部のいずれかとして設定する必要がなくなりました。
A. NATでは、2種類のロードバランシングを実行できます。1組のサーバへの着信のロードバランシングを行ってサーバへの負荷を分散できます。また、2つ以上のISPを経由するインターネットへのユーザトラフィックのロードバランシングを行うことができます。
アウトバウンドロードバランシングの詳細については、『2つのISPの接続のためのCisco IOS NATのロードバランシング』を参照してください。
A. NAT および IPSec の NAT 透過性を利用した IP Security(IPSec)のカプセル化セキュリティペイロード(ESP)がサポートされています。
NAT を通じた IPsec ESP の機能により、オーバーロード モード、またはポート アドレス変換(PAT)モードで設定された Cisco IOS NAT デバイス経由で、複数の同時 IPsec ESP トンネルまたは接続をサポートできるようになります。
IPSec NAT 透過機能は、NAT と IPSec の間にある多くの既知の非互換性を解決することにより、IPSec トラフィックがネットワーク上の NAT または PAT ポイントを通過し、送受信できるようにします。
A. NAT-PT(Network Address Translation—Protocol Translation)は、RFC 2765および RFC 2766で定義されたIPv6-IPv4変換メカニズムです。このメカニズムにより、IPv6専用デバイスとIPv4専用デバイスが相互に通信できるようになります。
A. マルチキャストストリームの送信元 IP を NAT 処理することができます。マルチキャストのダイナミック NAT を行うときはルートマップは使用できず、アクセス リストだけがサポートされます。
詳細については、『マルチキャスト NAT はどのように Cisco ルータで機能するか』を参照してください。送信先のマルチキャスト グループは、マルチキャスト サービス リフレクション ソリューションを使用して NAT に対応します。
A. SNAT を利用すれば、ダイナミックマッピングによる NAT セッションを継続的に提供できます。スタティックに定義されたセッションが冗長性の恩恵を受けるのに SNAT は必要ありません。SNAT がない場合、ダイナミック NAT マッピングを使用するセッションは、重大な障害が発生した場合に深刻な影響を受け、再確立する必要があります。最小限の SNAT の設定のみがサポートされます。今後の導入は、現在の制限に関連する設計を検証するために、シスコアカウントチームと話し合った後でのみ実施する必要があります。
次のシナリオではSNATを推奨します。
HSRP と比較して一部の機能がないためにプライマリ/バックアップが推奨されるモードでない場合。
フェールオーバーのシナリオおよび 2 ルータのセットアップの場合。つまり、1 つのルータがクラッシュした場合、他のルータがシームレスに引き継ぎます(SNAT アーキテクチャは、インターフェイス フラップを処理するようには設計されていません)。
非対称ルーティング以外のシナリオがサポートされている場合。非対称ルーティングは、応答パケットでの遅延が、SNAT メッセージの交換に対する 2 つの SNAT ルータ間の遅延より大きい場合にのみ処理できます。
現在、SNATアーキテクチャはロバストネスを処理するようには設計されていないため、次のテストが成功するとは限りません。
トラフィックがある間の NAT エントリのクリア。
トラフィックがある間にインターフェイスパラメータを変更する(IPアドレスの変更、shut/no-shutなど)。
SNAT 固有の clear または show コマンドは正常に実行されるとはかぎらないため、推奨されません。
SNATに関連するclear< /strong>およびshowコマンドの一部を次に示します。
clear ip snat sessions * clear ip snat sessions <ip address of the peer> clear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer>エントリをクリアする場合は、clear ip nat trans forced< /strong>またはclear ip nat trans *コマンドを使用できます。
- エントリを表示するには、< show ip nat translation 、show ip nat translations verbose 、およびshow ip nat stats コマンドを使用できます。service internalが設定されている場合は、SNAT固有の情報も表示されます。
バックアップ ルータでの NAT 変換のクリアは推奨されません。NAT エントリのクリアは常にプライマリ SNAT ルータで行ってください。
SNATはHAではないため、両方のルータの設定を同じにする必要があります。両方のルータで同じイメージが実行されている必要があります。また、両方の SNAT ルータで使用されている基盤となるプラットフォームが同じであることを確認します。
A. あります。NAT のベスト プラクティスは次のとおりです。
ダイナミックNATとスタティックNATの両方を使用する場合、ダイナミックNATのルールを設定するACLは、オーバーラップが発生しないようにスタティックローカルホストを除外する必要があります。
予期しない結果になる可能性があるため、permit ip any any で NAT に対して ACL を使用するときは注意する必要があります。12.4(20)T以降では、ローカルに生成されたHSRPと外部インターフェイスに送信される場合のルーティングプロトコルパケット、およびNATルールに一致するローカルに暗号化されたパケットがNATによって変換されます。
NAT にオーバーラップしたネットワークがある場合は、match-in-vrf キーワードを使用します。
異なる VRF に対するオーバーラップした VRF スタティック NAT エントリには match-in-vrf キーワードを追加する必要がありますが、グローバル アドレスと VRF NAT アドレスをオーバーラップさせることはできません。
Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrfmatch-in-vrf キーワードを使用しない場合、同じアドレス範囲の NAT プールを異なる VRF で使用することはできません。
例:
ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrf注:有効なCLIが設定されていても、match-in-vrfキーワードを使用しなければ、その設定はサポートされません。
NAT インターフェイス オーバーロードのある ISP ロード バランシングを展開するときのベスト プラクティスは、ACL の照合よりインターフェイス一致のルートマップを使用することです。
プールマッピングを使用する場合は、2つの異なるマッピング(ACLまたはルートマップ)を使用して同じNATプールアドレスを共有しないでください。
フェールオーバーシナリオで2台の異なるルータに同じNATルールを展開する場合は、HSRPの冗長性を使用する必要があります。
スタティック NAT とダイナミック プールで同じ内部グローバル アドレスを定義しないでください。これを行うと、望ましくない結果を招くことがあります。
改定 | 発行日 | コメント |
---|---|---|
2.0 |
21-Aug-2023 |
再認定 |
1.0 |
29-Aug-2002 |
初版 |