このドキュメントでは、2つのISP接続を介してネットワークアドレス変換(NAT)を使用してネットワークをインターネットに接続するためのCisco IOS®ルータの設定について説明します。Cisco IOS NATは、特定の宛先への等コストルートが使用可能な場合、複数のネットワーク接続を介して後続のTCP接続とUDPセッションを配信できます。接続の1つが使用不能になった場合、オブジェクトトラッキング(Optimized Edge Routing(OER)のコンポーネント)を使用して、接続が再び使用可能になるまでルートを非アクティブ化し、ネットワークの可用性がインターネット接続の不安定性または信頼性を確実にします。
このドキュメントでは、NATによって提供される基本的なネットワーク保護を強化するステートフルインスペクション機能を追加するために、Cisco IOSゾーンベースポリシーファイアウォールを適用するための追加設定について説明します。
このドキュメントでは、すでにLANおよびWAN接続が機能しており、初期接続を確立するための設定やトラブルシューティングの背景が提供されていないことを前提としています。
このドキュメントでは、ルートを区別する方法については説明していません。したがって、望ましくない接続よりも望ましい接続を優先する方法はありません。
このドキュメントでは、ISPのDNSサーバの到達可能性に基づいていずれかのインターネットルートベースを有効または無効にするためにOERを設定する方法について説明します。1つのISP接続からのみ到達可能で、そのISP接続が使用できない場合に使用できない可能性がある特定のホストを特定する必要があります。
この設定は、12.4(15)T2 Advanced IP Servicesソフトウェアが稼働するCisco 1811ルータで開発されました。別のソフトウェアバージョンを使用している場合、一部の機能が使用できない場合、または設定コマンドがこのドキュメントに示されているコマンドと異なる場合があります。インターフェイスの設定はプラットフォームによって異なる可能性がありますが、すべてのCisco IOSルータプラットフォームで同様の設定を使用できます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
特定のトラフィックにポリシーベースルーティングを追加して、常に1つのISP接続を使用するようにすることが必要になる場合があります。この動作を必要とするトラフィックの例としては、IPsec VPNクライアント、VoIPハンドセット、および接続で同じIPアドレス、高速、または低遅延を優先するために常に1つのISP接続オプションのみを使用する必要があるその他のトラフィックがあります。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
このドキュメントでは、次のネットワーク セットアップを使用します。
この設定例は、ネットワークダイアグラムに示されているように、1つのISP(FastEthernet 0で示される)へのDHCPで設定されたIP接続と、もう1つのISP接続を介したPPPoE接続を使用するアクセスルータについて説明しています。オブジェクトトラッキングと最適化エッジルーティング(OER)またはポリシーベースルーティングをDHCP割り当てのインターネット接続で使用しない限り、接続タイプは設定に特に影響しません。このような場合、ポリシールーティングまたはOER用のネクストホップルータを定義することは非常に困難である可能性があります。
この設定例では、「内部」セキュリティゾーンから「外部」セキュリティゾーンへの単純なTCP、UDP、およびICMP接続を許可し、発信FTP接続とアクティブとパッシブの両方のFTP転送に対応するデータトラフィックを格納するファイアウォールポリシーについて説明します。この基本ポリシーで処理されない複雑なアプリケーショントラフィック(VoIPシグナリングやメディアなど)は、機能が低下した状態で動作するか、完全に失敗する可能性があります。このファイアウォールポリシーは、「パブリック」セキュリティゾーンから「プライベート」ゾーンへのすべての接続をブロックします。これには、NATポート転送によって対応されるすべての接続が含まれます。この基本設定で処理されない追加のトラフィックに対応するには、追加のファイアウォールポリシー設定を構築する必要があります。
ゾーンベースポリシーファイアウォールのポリシーの設計と設定に関する質問がある場合は、『ゾーンベースポリシーファイアウォールの設計とアプリケーションガイド』を参照してください。
CLI での設定
Cisco IOS CLIの設定 |
---|
track timer interface 5 ! ! track 123 rtr 1 reachability delay down 15 up 10 ! track 345 rtr 2 reachability delay down 15 up 10 ! !---Configure timers on route tracking class-map type inspect match-any priv-pub-traffic match protocol ftp match protocol tcp match protocol udp match protocol icmp ! policy-map type inspect priv-pub-policy class type inspect priv-pub-traffic inspect class class-default ! zone security public zone security private zone-pair security priv-pub source private destination public service-policy type inspect priv-pub-policy ! ! interface FastEthernet0 ip address dhcp ip dhcp client route track 345 ip nat outside ip virtual-reassembly zone security public ! !---Use “ip dhcp client route track [number]” !--- to monitor route on DHCP interfaces !--- Define ISP-facing interfaces with “ip nat outside” interface FastEthernet1 no ip address pppoe enable no cdp enable ! interface FastEthernet2 no cdp enable ! interface FastEthernet3 no cdp enable ! interface FastEthernet4 no cdp enable ! interface FastEthernet5 no cdp enable ! interface FastEthernet6 no cdp enable ! interface FastEthernet7 no cdp enable ! interface FastEthernet8 no cdp enable ! interface FastEthernet9 no cdp enable ! ! interface Vlan1 description LAN Interface ip address 192.168.108.1 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 zone security private !--- Define LAN-facing interfaces with “ip nat inside” ! ! Interface Dialer 0 description PPPoX dialer ip address negotiated ip nat outside ip virtual-reassembly ip tcp adjust-mss zone security public !---Define ISP-facing interfaces with “ip nat outside" ! ip route 0.0.0.0 0.0.0.0 dialer 0 track 123 ! ! ip nat inside source route-map fixed-nat interface Dialer0 overload ip nat inside source route-map dhcp-nat interface FastEthernet0 overload !---Configure NAT overload (PAT) to use route-maps ! ! ip sla 1 icmp-echo 172.16.108.1 source-interface Dialer0 timeout 1000 threshold 40 frequency 3 !---Configure an OER tracking entry to monitor the !---first ISP connection ! ! ! ip sla 2 icmp-echo 172.16.106.1 source-interface FastEthernet0 timeout 1000 threshold 40 frequency 3 !--- Configure a second OER tracking entry to monitor !---the second ISP connection ! ! ! ip sla schedule 1 life forever start-time now ip sla schedule 2 life forever start-time now !---Set the SLA schedule and duration ! ! ! access-list 110 permit ip 192.168.108.0 0.0.0.255 any !--- Define ACLs for traffic that will be !--- NATed to the ISP connections ! ! ! route-map fixed-nat permit 10 match ip address 110 match interface Dialer0 ! route-map dhcp-nat permit 10 match ip address 110 match interface FastEthernet0 !--- Route-maps associate NAT ACLs with NAT !--- outside on the ISP-facing interfaces |
dhcp割り当てルートトラッキングを使用します。
Cisco IOS CLIの設定 |
---|
interface FastEthernet0 description Internet Intf ip dhcp client route track 123 ip address dhcp ip nat outside ip virtual-reassembly speed 100 full-duplex no cdp enable |
ここでは、設定が正常に機能しているかどうかを確認します。
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。
show ip nat translation:NAT Inside ホストと NAT Outside ホストの間の NAT アクティビティを表示します。このコマンドを使用すると、Inside ホストが両方の NAT Outside アドレスに変換されることを確認できます。
Router#show ip nat tra Pro Inside global Inside local Outside local Outside global tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22 tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80 tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445 172.16.102.11:445 Router#
show ip route:インターネットへのルートが複数存在することを確認します。
Router#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 172.16.108.1 to network 0.0.0.0 C 192.168.108.0/24 is directly connected, Vlan1 172.16.0.0/24 is subnetted, 2 subnets C 172.16.108.0 is directly connected, FastEthernet4 C 172.16.106.0 is directly connected, Vlan106 S* 0.0.0.0/0 [1/0] via 172.16.108.1 [1/0] via 172.16.106.1
show policy-map type inspect zone-pair sessions:プライベートゾーンホストとパブリックゾーンホスト間のファイアウォール検査アクティビティを表示します。このコマンドは、ホストが外部セキュリティゾーンのサービスと通信するときに、内部ホストのトラフィックが検査されることを確認します。
NATを使用してCisco IOSルータを設定した後に接続が機能しない場合は、次の項目を確認します。
Outside インターフェイスと Inside インターフェイスで NAT が適切に適用されている。
NAT 設定が完全であり、NAT を適用する必要があるトラフィックが ACL に反映されている。
インターネットおよび WAN への利用可能なルートが複数存在する。
ルートトラッキングを使用する場合は、インターネット接続が使用可能であることを確認するために、ルートトラッキングの状態を確認します。
ファイアウォール ポリシーが、ルータの通過を許可するトラフィックの特性を正確に反映している。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
15-Aug-2008 |
初版 |