vEdgeルータのサービス側宛先ベースNAT

ダウンロード オプション

  • PDF     (173.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (94.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (73.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2019 年 12 月 11 日
Document ID:215106

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、vEdgeルータのサービスVPNで宛先ベースのネットワークアドレス変換(NAT)を設定する方法について説明します。

    前提条件

    要件

    Cisco SD-WANに関する知識があることが推奨されます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • vEdgeルータ 
    • 18.3ソフトウェアバージョンのvSmart Controller。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ネットワーク図

    ネットワーク図を次に示します。

    ここで主な考えでは、サイト50(vedge1)のユーザは、IPアドレス192.168.1 40.20を介して別の側のホスト192.168.40.20に到達できます。

    これは、このIOS設定文のアナログです。

    ip nat outside source static 192.168.40.20 192.168.140.20

    設定

    1.サイト50のvEdgeでNATプールを設定します。

    vedge1#show running-config vpn 40 interface natpool31 
vpn 40
 interface natpool31
  ip address 192.168.140.5/32
  nat
   static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
  !
  no shutdown
 !
!

     2. vSmartでデータポリシーを設定および適用します。

    vsmart1# show running-config policy data-policy DNAT 
policy
 data-policy DNAT
  vpn-list CORP
   sequence 10
    match
     destination-ip 192.168.140.20/32
    !
    action accept
     nat pool 31
    !
   !
   default-action accept
  !
 !
!

vsmart1# show running-config apply-policy site-list site_50 
apply-policy
 site-list site_50
  data-policy DNAT all
 !
!

    確認

    1.対応するサービスVPNに変換が存在することを確認します。

    vedge1# show ip nat interface nat-vpn 40

                                                                       FIB                       NUMBER  
                                                               FILTER  FILTER                    IP      
VPN  IFNAME     MAP TYPE              FILTER TYPE              COUNT   COUNT   IP                POOLS   
---------------------------------------------------------------------------------------------------------
40   natpool31  endpoint-independent  address-port-restricted  0       0       192.168.140.5/32  1

     2. vSmartからvEdgeに適用されたポリシーを確認します。

    vedge1# show policy from-vsmart 
from-vsmart data-policy ENK_NAT
 direction all
 vpn-list CORP
  sequence 10
   match
    destination-ip 192.168.140.20/32
   action accept
    nat pool 31
  default-action accept
from-vsmart lists vpn-list CORP
 vpn 40

    トラブルシュート

    宛先ベースのNATが機能しない場合、ここで重要なことは、NATプールのIPアドレスが宛先ホストから到達可能であることを確認する必要があることです。vEdgeルータの宛先ベースのNAT実装の送信元IPアドレスもプールのIPアドレスにNATされるため、これは重要です。 
    たとえば、サンプル設定宛先アドレス192.168.140.20は実際のIPアドレス192.168.40.20に置き換えられますが、サイト50の192.168.50.0/24サブネットからのホストのアドレスも192.168.140.5にNATされるため、このアドレスへのルートを持つか、送信元ホスト(要求者)に到達できません。 これは、NATプールサブネットのアドバタイズメントによって実現できます。この例では、サブネットは1つのアドレスだけで構成され、オーバーレイ管理プロトコル(OMP)経由でアドバタイズされます。

    リモートサイトのvEdge1にルートが表示されていることを確認できます。

    vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40     192.168.140.5/32    omp              -         -           -                -        192.168.30.5     mpls             ipsec  F,S
    TAC Authored

    シスコ エンジニア提供

    • Eugene Khabarov
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています