NAT ダイレクト インターネット アクセス
機能名 |
リリース情報 |
説明 |
---|---|---|
ループバック インターフェイスとしての NAT プール、スタティック NAT、および NAT のサポート |
Cisco IOS XE リリース 17.2.1r Cisco vManage 20.1.1 |
この機能は、ループバック インターフェイス アドレスの NAT 設定、ダイレクト インターネット アクセス(DIA)の NAT プールサポート、およびスタティック NAT をサポートします。 |
OMP を介した NAT ルートのアドバタイズ |
Cisco IOS XE リリース 17.5.1a |
この機能を使用すると、Cisco SD-WAN オーバーレイ管理プロトコル(OMP)を介して NAT ルートをブランチルータにアドバタイズできます。この機能は、Cisco vManage デバイス CLI テンプレートを介してのみ設定できます。 |
IPv6 トンネルを介した NAT DIA IPv4 のサポート |
Cisco IOS XE リリース 17.8.1a Cisco vManage リリース 20.8.1 |
この機能は、IPv6 ネットワークの使用時に IPv4 クライアントが IPv4 サーバーにアクセスするためのサポートを提供します。 IPv4 トラフィックは、IPv6 トンネルを介してインターネットにルーティングされます。 CLI または CLI アドオンテンプレートを使用して、IPv6 トンネルを介して NAT DIA IPv4 を設定できます。 |
NAT DIA を使用した PPP ダイヤラインターフェイスのサポート |
Cisco IOS XE リリース 17.9.1a Cisco vManage リリース 20.9.1 |
この機能により、次の Point-to-Point Protocol(PPP)ダイヤラインターフェイスのサポートが追加されます。PPP over Ethernet(PPPoE)、PPP over Asynchronous Transfer Mode(PPPoA)、および PPP over Ethernet Asynchronous Transfer Mode(PPPoEoA)。 PPP ダイヤラインターフェイスを使用して、IPv4 サービスおよびサイトにアクセスできます。 |
HSRP によるスタティック NAT マッピングのサポート |
Cisco IOS XE リリース 17.9.1a Cisco vManage リリース 20.9.1 |
この機能を使用すると、両方のホット スタンバイ ルータ プロトコル(HSRP)ルータが同じスタティック NAT マッピングで構成されている場合、アクティブデバイスのみがスタティック NAT マッピングエントリのアドレス解決プロトコル(ARP)要求に応答します。HSRP アクティブデバイスからスタンバイデバイスにフェールオーバーするトラフィックは、フェールオーバーする前に ARP 要求がタイムアウトするのを待つ必要はありません。 |
NAT DIA およびゾーンベースのファイアウォールの ALG サポート |
Cisco IOS XE リリース 17.9.1a Cisco vManage リリース 20.9.1 |
この機能は、アプリケーションパケットのペイロード内の IP アドレスを変換するアプリケーション レベル ゲートウェイ(ALG)のサポートを提供します。ドメインネームシステム(DNS)、FTP、Session Initiation Protocol(SIP)などの特定のプロトコルでは、パケットペイロード内の IP アドレスとポート番号の変換に NAT ALG が必要です。 |
NAT DIA によるポートフォワーディングのサポート |
Cisco IOS XE リリース 17.9.1a Cisco vManage リリース 20.9.1 |
この機能を使用すると、1 つ以上のポート転送ルールを定義して、外部ネットワークから特定のポートで受信したパケットを送信し、内部ネットワーク上のデバイスに到達させることができます。 Cisco IOS XE リリース 17.9.1a および Cisco vManage リリース 20.9.1 以前は、ポートフォワーディングはサービス側の NAT でのみ利用可能でした。 |
NAT 高速ロギングのサポート |
Cisco IOS XE リリース 17.9.1a Cisco vManage リリース 20.9.1 — Also Cisco IOS XE リリース 17.6.4 以降の 17.6.x リリース Cisco vManage リリース 20.6.4 以降の 20.6.x リリース |
この機能は、NAT によるすべての変換の高速ロギング(HSL)を有効または無効にする機能を提供します。 デバイス CLI テンプレートまたは CLI アドオン機能テンプレートを使用して、NAT HSL を設定できます。 |
NAT DIA に関する情報
NAT DIA を使用すると、ブランチサイトは、検査のために中央サイトを経由するのではなく、トラフィックをインターネットに直接ルーティングできます。これにより、クラウドベースのアプリケーションは、不要な帯域幅を使用することなく、インターネットやクラウド サービス プロバイダーに直接アクセスできます。
NAT DIA の利点
-
優れたアプリケーション パフォーマンスを実現
-
帯域幅の消費と遅延の削減に貢献
-
帯域幅コストの削減に貢献
-
リモートサイトでの DIA による、ブランチオフィスのユーザーエクスペリエンスの向上
NAT DIA の制限事項
-
NAT DIA プールは NAT64 ではサポートされていません。
-
インターフェイスごとに複数の NAT DIA プールはサポートされていません。
-
NAT マッピングには、インターフェイス過負荷、インターフェイス DIA プール、またはインターフェイス ループバックを含めることができます。同じインターフェイスに複数の NAT マッピングが存在することはできません。
-
NAT プールで使用される IP アドレスは、インターフェイスアドレスまたはスタティック アドレス マッピングと共有できません。
-
少なくとも 1 つの形式の NAT が WAN インターフェイスで有効になっていない場合、Cisco vManage はサービス側 VPN である [Cisco VPN] テンプレートに NAT DIA ルートを設定しません。
NAT DIA の設定
NAT DIA を有効にするためのワークフロー
-
既存の [Cisco VPN Interface Ethernet] テンプレートを編集して、NAT を有効にします。
-
インターフェイスの過負荷(デフォルト)を設定します。
-
NAT プールを設定します。
-
ループバック インターフェイスを設定します。
ループバック インターフェイスの設定の詳細については、「NAT プールおよびループバック インターフェイスの設定」を参照してください。
-
(オプション) スタティック NAT を設定します。
スタティック NAT の設定の詳細については、「サービス側スタティック NAT の設定」を参照してください。
-
-
[Cisco VPN] テンプレートを使用して NAT DIA ルートを設定します。これは、サービス VPN からのユーザートラフィックをインターネット トランスポートに直接転送するために使用されるサービス側 VPN テンプレートです。
NAT プールとループバック インターフェイスの設定
NAT プールは、必要に応じて NAT 変換に割り当てられる IPv4 アドレスの範囲です。
ループバック インターフェイスと呼ばれるソフトウェアのみのインターフェイスを指定して、物理インターフェイスをエミュレートできます。ループバック インターフェイスは、デバイス上の仮想インターフェイスであり、無効にするまでアップ(アクティブ)のままです。
-
Cisco vManage メニューから、 を選択します。
-
[Feature Templates] をクリックします。
(注)
Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。
-
[Cisco VPN Interface Ethernet] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
-
[NAT] をクリックします。
-
[IPv4] をクリックします。
-
[NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして NAT を有効にします。
-
インターフェイスの過負荷を設定します。
[NAT Type] フィールドで、[Interface] がインターフェイス過負荷モードに対して有効になっていることを確認します。
デフォルトは [Interface] オプションです。
-
NAT プールを設定します。
[NAT Type] フィールドで、[Pool] オプションをクリックし、次の NAT プールパラメータを入力します。
表 2. NAT プールパラメータ パラメータ名
説明
[NAT Pool Range Start] NAT プールの開始 IP アドレスを入力します。
-
フィールドを有効にするには、スコープを [Default] から [Global] に変更します。
-
NAT プールの開始 IP アドレスを入力します。
[NAT Pool Range End] NAT プールの終了 IP アドレスを入力します。
-
フィールドを有効にするには、スコープを [Default] から [Global] に変更します。
-
NAT プールの最後の IP アドレスを入力します。
[NAT Pool Prefix Length]
NAT プールのプレフィックス長を入力します。
Overload
[On] をクリックして、ポートごとの変換を有効にします。デフォルトは [On] です。
(注) [Overload] が [Off] に設定されている場合、ダイナミック NAT のみがエンドデバイスで設定されます。ポートごとの NAT は設定されていません。
[UDP Timeout]
UDP セッションを介した NAT 変換がタイムアウトする時刻を入力します。
デフォルト設定:1 分範囲:1 ~ 65536 分
[TCP Timeout]
TCP セッションを介した NAT 変換がタイムアウトする時刻を入力します。
デフォルトは 60 分(1 時間)です。範囲:1 ~ 65536 分
-
-
ループバック インターフェイスを設定します。
[NAT Type] フィールドで、[Loopback] オプションをクリックし、次の値を入力します。
表 3. NAT ループバックパラメータ パラメータ
説明
[NAT Inside Source Loopback Interface] ループバック インターフェイスの IP アドレスを指定します。 [UDP Timeout] UDP セッションを介した NAT 変換がタイムアウトする時刻を入力します。 デフォルト設定:1 分範囲:1 ~ 65536 分
[TCP Timeout] TCP セッションを介した NAT 変換がタイムアウトする時刻を入力します。 デフォルトは 60 分(1 時間)です。範囲:1 ~ 65536 分
(注)
1 つの仮想インターフェイスで NAT 設定を持つ 1 つのテンプレートのデバイスを、別の仮想インターフェイスで NAT 設定を持たない別のテンプレートに移動する場合、NAT 設定を再度有効にする前に、最初に NAT 設定を無効にしてから仮想インターフェイスを削除する必要があります。デバイスが最初に接続されたテンプレートで NAT を無効にします。
-
[更新(Update)] をクリックします。
NAT DIA ルートの設定
すべてのサービス VPN は、パケットを DIA トラフィック用のトランスポート VPN にルーティングします。サービス側 VPN の NAT DIA ルートを設定します。
(注) |
サービス側 VPN である [Cisco VPN] テンプレートで IPv4 DIA ルートを設定します。 |
Cisco VPN テンプレートを使用した NAT DIA ルートの設定
-
Cisco vManage メニューから、 を選択します。
-
[Feature Templates] をクリックします。
(注)
Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。
-
[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある . . . をクリックし、[Edit] を選択します。
-
[IPv4 Route] をクリックします。
-
[New IPv4 Route] をクリックします。
-
[Prefix] フィールドに、NAT の IPv4 プレフィックスを入力します。
-
[Gateway] フィールドで、[VPN] をクリックします。
-
[Enable VPN] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして VPN を有効にします。
-
[更新(Update)] をクリックします。
CLI を使用した NAT DIA ルートの設定
以下は、NAT DIA ルートを設定するための設定例です。
Device(config)# interface GigabitEthernet3
ip address 192.0.2.1 255.255.255.0
ip nat outside
no shut
interface GigabitEthernet2
vrf forwarding 1
ip address 10.0.0.1 255.255.255.0
no shut
ip nat route vrf 1 0.0.0.0 0.0.0.0 global
ip route 0.0.0.0 0.0.0.0 192.0.2.2
NAT DIA ルート設定の確認
次に、show ip route コマンドの出力例を示します。
Device# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
次に、show ip route vrf 1 コマンドの出力例を示します。
Device# show ip route vrf 1
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
OMP を介した NAT ルートのアドバタイズ
次のセクションでは、OMP を介した NAT ルートのアドバタイズについて説明します。
OMP を介した NAT ルートのアドバタイズに関する情報
Cisco IOS XE リリース 17.5.1a 以降、OMP を介してアドバタイズされるように NAT DIA デフォルトルートを設定できます。OMP はすべての Cisco IOS XE SD-WAN デバイス でデフォルトで有効になっているため、OMP を明示的に設定または有効にする必要はありません。オーバーレイネットワークが機能するには、OMP が動作可能である必要があります。OMP を無効にすると、オーバーレイネットワークが無効になります。
NAT64 アドバタイズメントがネットワーク上の指定された Cisco IOS XE SD-WAN デバイス のいずれかに設定されている場合、OMP は NAT デフォルトルートをブランチにアドバタイズします。ブランチはデフォルトルートを受け取り、それを使用してすべての DIA トラフィックのハブに到達します。Cisco IOS XE SD-WAN デバイス は、すべての DIA トラフィックのインターネットゲートウェイとして機能します。
CLI を使用した OMP による NAT ルートのアドバタイズの有効化
OMP を介してデフォルトルートをアドバタイズするには、sdwan omp コマンドを使用します。
次の設定を使用して、OMP を介して NAT ルートをアドバタイズします。
(注) |
このコマンドは、デバイス CLI テンプレートのみを使用してテストされています。 |
ip nat route vrf 1 0.0.0.0 0.0.0.0 global
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet3 overload
sdwan
omp
address-family vrf 1
advertise network 0.0.0.0/0
interface GigabitEthernet3
ip nat outside
(注) |
NAT DIA が設定されている場合にのみ、NAT ルートがアドバタイズされるようにします。 |
CLI を使用した OMP による NAT ルートのアドバタイズの確認
デフォルトルート情報を表示するには、show sdwan omp routes コマンドを使用します。
Device# show sdwan omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
10 0.0.0.0/0 10.1.1.3 23 1002 C,I,R installed 10.1.1.10 biz-internet ipsec -
10.1.1.3 24 1002 R installed 10.1.1.30 biz-internet ipsec -
10 10.2.0.0/16 10.1.1.3 27 1002 C,I,R installed 10.1.1.10 biz-internet ipsec -
10.1.1.3 28 1002 R installed 10.1.1.30 biz-internet ipsec -
10 172.254.32.76/30 10.1.1.3 26 1002 C,I,R installed 10.1.1.30 biz-internet ipsec -
10 172.254.51.124/30 10.1.1.3 25 1002 C,I,R installed 10.1.1.30 biz-internet ipsec -
10 172.254.249.164/30 10.1.1.3 22 1002 C,I,R installed 10.1.1.10 biz-internet ipsec -
10 172.254.252.12/30 10.1.1.3 21 1002 C,I,R installed 10.1.1.10 biz-internet ipsec -
10 172.30.1.0/24 0.0.0.0 75 1002 C,Red,R installed 10.1.1.26 gold ipsec -
0.0.0.0 76 1002 C,Red,R installed 10.1.1.26 silver ipsec -
10.1.1.3 29 1002 Inv,U installed 10.1.1.36 gold ipsec -
10.1.1.3 30 1002 Inv,U installed 10.1.1.36 silver ipsec -
スポークで作成された NAT DIA ルートに関する情報を表示するには、 show ip route vrf 1 コマンドを使用します。
Device# show ip route vrf 10
Routing Table: 10
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, 0 - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, E2 - OSPF external type m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT IA i - IS-IS, su - IS-IS summary, Ll - IS-IS level-1, L2 - IS-IS level-2 is - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, 1 - LISP a - application route
+ - replicated route, % - next hop override, p - overrides from PfR & - replicated local route overrides by connected
Gateway of last resort is 10.1.1.10 to network 0.0.0.0
m 0.0.0.0/0 [251/0] via 10.1.1.10,2d16h, Sdwan-system-intf
10.0.0.0/16 is subnetted, 1 subnets
show sdwan omp routes コマンドを使用して、スポークのデフォルトルートを表示します。
Device# show sdwan omp routes vpn 10
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
10 0.0.0.0/0 10.1.1.3 23 1002 C,I,R installed 10.1.1.10 biz-internet ipsec -
10.1.1.3 24 1002 R installed 10.1.1.30 biz-internet ipsec -
IPv6 トンネルを介した NAT DIA IPv4
次のセクションでは、IPv6 トンネルを介した NAT DIA IPv4 の設定について説明します。
IPv6 トンネルを介した NAT DIA IPv4 に関する情報
IPv6 トンネルを介した NAT DIA IPv4 により、IPv6 専用デバイスは IPv4 Web サイトおよびサービスにアクセスできます。
トラフィックフローは、オーバーレイネットワークのサービス側(LAN)からトランスポート側(WAN)です。
サービス側の送信 IPv4 アドレスは、トンネルインターフェイスでパブリック IPv4 アドレスに変換されます。
デバイス CLI または CLI アドオンテンプレートを使用して、IPv6 トンネル経由で NAT DIA IPv4 を設定します。
IPv6 トンネルを介した NAT DIA IPv4 の利点
-
IPv6 専用デバイスからの IPv4 アクセスを提供します。
-
IPv6 トンネルを介した IPv4 トラフィックのルーティングをサポートします。
-
トンネルインターフェイスで、サービス側送信元IPv4 アドレスからパブリック IPv4 アドレスへの変換をサポートします。
IPv6 トンネルを介した NAT DIA IPv4 の制限事項
-
NAT DIA トラッカーはサポートされていません。
-
統合脅威防御(UTD)はサポートされていません。
-
トンネルインターフェイスでのキープアライブトラフィックはサポートされていません。
IPv6 トンネルを介した NAT DIA IPv4 の使用例
顧客は IPv6 専用のデバイスを持っていますが、IPv4 の Web サイトとサービスにアクセスする必要があります。このシナリオをサポートするには、IPv4 トラフィックをインターネットに転送するために IPv6 トンネルを使用します。
IPv6 トンネルを介して NAT DIA IPv4 を設定するためのワークフロー
Cisco vManage の設定
-
既存の [Cisco VPN Interface Ethernet] テンプレートを編集して、NAT を有効にします。
-
インターフェイスの過負荷(デフォルト)を設定します。
-
NAT プールを設定します。
NAT プールの設定の詳細については、「NAT プールとループバック インターフェイスの設定」を参照してください。
-
-
[Cisco VPN] テンプレートを使用して NAT DIA ルートを設定します。
NAT DIA ルートの設定の詳細については、「NAT DIA ルートの設定」を参照してください。
CLI 設定
-
IPv6 トンネルを介して IPv4 を設定します。
-
トンネルインターフェイスで ip nat outside コマンドを設定します。
-
IPv6 トンネルを介して IPv4 トラフィックをルーティングするための NAT DIA ルートを設定します。
CLI を使用した IPv6 トンネル経由の NAT DIA IPv4 の設定
-
IPv6 トンネルのグローバルデフォルトルートを設定します。
Device(config)# interface Tunnel1000 Device(config-if)# ip address 10.1.15.15 255.255.255.0 Device(config-if)# ip mtu 1460 Device(config-if)# ip tcp adjust-mss 1420 Device(config-if)# load-interval 30 Device(config-if)# tunnel source GigabitEthernet3 Device(config-if)# tunnel mode ipv6 Device(config-if)# tunnel destination 2001:DB8:A1:10::10 Device(config-if)# tunnel route-via GigabitEthernet3 mandatory Device(config-if)# tunnel path-mtu-discovery ! Device(config)# ip route 0.0.0.0 0.0.0.0 Tunnel1000
-
ip nat outside コマンドを使用して、IPv6 トンネルを介して IPv4 を設定します。
Device(config)# interface Tunnel1000 Device(config)# ip nat outside
-
NAT プールとインターフェイス過負荷モードを使用して、IPv6 トンネルを介して IPv4 を設定します。
Device(config)# interface Tunnel1000 Device(config)# ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
または
Device(config)# ip nat pool natpool10 203.0.113.1 203.0.113.25 prefix-length 24 Device(config)# ip nat inside source list nat-dia-vpn-hop-access-list pool natpool10 overload egress-interface Tunnel1000
-
サービス側 VPN 内で NAT DIA ルートを設定します。
Device(config)# ip nat route vrf 10 0.0.0.0 0.0.0.0 global
(注)
一元化されたデータポリシーを使用して NAT DIA ルートを設定している場合は、nat use-vpn 0 コマンドを使用します。
CLI アドオンテンプレートを使用した IPv6 トンネルによる NAT DIA IPv4 の設定
Before You Begin
新しい CLI アドオンテンプレートを作成するか、既存の CLI アドオンテンプレートを編集します。
CLI Add-on Feature Templates の詳細については、「CLI Add-on Feature Templates」を参照してください。
CLI アドオンテンプレートを使用した IPv6 トンネルによる NAT DIA IPv4 の設定
-
Cisco vManage メニューから、 を選択します。
-
[Feature Templates] をクリックします。
-
[Add template] をクリックします。
-
デバイスリストからデバイスを選択します。
-
OTHER TEMPLATES 領域で、CLI Add-On Template をクリックします。
-
[CLI Add-On Template] エリアで、設定を入力します。
-
次の設定例に示すように、IPv6 トンネルを介して IPv4 を設定します。
interface Tunnel1000 no shutdown ip address 203.0.113.1 255.255.255.0 ip nat outside load-interval 30 tunnel source GigabitEthernet1 tunnel destination 2001:DB8:A1:10::10 tunnel mode ipv6 tunnel path-mtu-discovery tunnel route-via GigabitEthernet1 mandatory ! ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload ip route 0.0.0.0 0.0.0.0 Tunnel1000 203.0.113.2 ip nat route vrf 10 0.0.0.0 0.0.0.0 global
-
[Save(保存)] をクリックします。
作成した CLI アドオンテンプレートが [CLI Configuration] に表示されます。
-
CLI アドオンテンプレートをデバイスにアタッチします。
IPv6 トンネル設定を介した NAT DIA IPv4 の確認
NAT DIA ルートエントリの確認
次に、show ip nat route-dia コマンドの出力例を示します。
Device# show ip nat route-dia
route add [1] addr [0.0.0.0] vrfid [2] prefix len [0]
route add [1] addr [0.0.0.0] vrfid [4] prefix len [0]
出力例では、2 つの NAT ルートアドバタイズメントが有効になっています。
NAT DIA ルーティング テーブル エントリの確認
次に、show ip route vrf 1 nat-route コマンドの出力例を示します。
Device# show ip route vrf 1 nat-route
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
n*Nd 0.0.0.0/0 [6/0], 00:40:17, Null0
この出力例では、n*Nd 0.0.0.0/0 が構成済みの NAT DIA ルートです。
IP 変換の表示
次に、show ip nat translations コマンドの出力例を示します。
Device# show ip nat translations
show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 203.0.113.1:5201 10.20.24.150:5201 10.20.25.150:5201 10.20.25.150:5201
icmp 203.0.113.1:25440 10.20.24.150:25440 10.20.25.150:25440 10.20.25.150:25440
Total number of translations: 2
出力例には、2 つの変換があります。
IP NAT グローバル統計の確認
次に、show ip nat statistics コマンドの出力例を示します。
Device# show ip nat statistics
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Outside interfaces:
Tunnel1000
Inside interfaces:
Hits: 1012528 Misses: 56
Expired translations: 3
Dynamic mappings:
-- Inside Source
[Id: 3] access-list nat-dia-vpn-hop-access-list interface Tunnel1000 refcount 2
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0 Out-to-in drops: 0
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
出力例では、トンネル 11000 に 2 つの変換があります。
show ip nat statistics コマンドの出力には、設定したすべての IP アドレスプールと NAT マッピングに関する情報が表示されます。
NAT グローバル統計のクリア
clear ip nat statistics コマンドを使用して、NAT グローバル統計をクリアします。
Device# clear ip nat global statistics
NAT の統計情報の表示
次に、show platform hardware qfp active feature nat datapath stats コマンドの出力例を示します。
Device# show platform hardware qfp active feature nat datapath stats
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Outside interfaces:
Tunnel1000
Inside interfaces:
Hits: 1012528 Misses: 56
Expired translations: 3
Dynamic mappings:
-- Inside Source
[Id: 3] access-list nat-dia-vpn-hop-access-list interface Tunnel1000 refcount 2
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0 Out-to-in drops: 0
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT グローバルカウンタの確認:データパスマップ
次に、show platform hardware qfp active feature nat datapath map コマンドの出力例を示します。
Device# show platform hardware qfp active feature nat datapath map
I/f Map Table
if_handle 65529 next 0x0 hash_index 220
laddr 0.0.0.0 lport 0 map 0xdec942c0 refcnt 0
gaddr 203.60.10.1 gport 0 proto 0 vrfid 0x0
src_type 1 flags 0x80100 cpmapid 3
I/f Map Table End
edm maps 0
mapping id 1 pool_id 0 if_handle 0xfff9 match_type 0 source_type 1 domain 0 proto 0 Local IP 0.0.0.0,
Local Port 0 Global IP 203.60.10.1 Global Port 0 Flags 0x80100 refcount 0 cp_mapping_id 3
next 0x0 hashidx 50 vrfid 0 vrf_tableid 0x0 rg 0 pap_enabled 0 egress_ifh 0x14
NAT グローバルカウンタの確認:セッションダンプ
次に、show platform hardware qfp active feature nat datapath sess-dump コマンドの出力例を示します。
Device# show platform hardware qfp active feature nat sess-dump
id 0xdd70c1d0 io 10.20.24.150 oo 10.20.25.150 io 5201 oo 5201 it 203.0.113.1 ot 10.20.25.150 it 5201 ot 5201 pro 6 vrf 4 tableid 4 bck 65195 in_if 0 out_if 20 ext_flags 0x1 in_pkts 183466 in_bytes 264182128 out_pkts 91731 out_bytes 2987880flowdb in2out fh 0x0 flowdb out2in fh 0x0
id 0xdd70c090 io 10.20.24.150 oo 10.20.25.150 io 25965 oo 25965 it 203.0.113.1 ot 10.20.25.150 it 25965 ot 25965 pro 1 vrf 4 tableid 4 bck 81393 in_if 0 out_if 20 ext_flags 0x1 in_pkts 27 in_bytes 38610 out_pkts 27 out_bytes 38610flowdb in2out fh 0x0 flowdb out2in fh 0x0
IPv6 トンネルを介した NAT DIA IPv4 の設定例
Device# show sdwan running-config | section Tunnel1000|GigabitEthernet1
interface GigabitEthernet1
ip address 10.1.15.15 255.255.255.0
no ip redirects
load-interval 30
negotiation auto
ipv6 address 2001:DB8:A1:F::F/64
ipv6 enable
ipv6 nd ra suppress all
service-policy output shape_GigabitEthernet1
!
interface Tunnel1000
no shutdown
ip address 203.0.113.1 255.255.255.0
ip nat outside
load-interval 30
tunnel source GigabitEthernet1
tunnel destination 2001:DB8:a1:10::10
tunnel mode ipv6
tunnel path-mtu-discovery
tunnel route-via GigabitEthernet1 mandatory
!
ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
ip route 0.0.0.0 0.0.0.0 Tunnel1000 203.0.113.2
ip nat route vrf 10 0.0.0.0 0.0.0.0 global
NAT DIA を使用したダイヤラインターフェイス
次のセクションでは、NAT DIA を使用したダイヤラインターフェイスの設定について説明します。
NAT DIA でのダイヤラインターフェイスの使用に関する情報
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
この機能は、NAT DIA 使用例の Point-to-Point Protocol(PPP)ダイヤラインターフェイスのサポートを提供します。ダイヤラインターフェイスを使用して、IPv4 インターネットサービスおよびサイトにアクセスします。
ダイヤラインターフェイスは、デフォルトルーティング情報、カプセル化プロトコル、使用するダイヤラプールなど、クライアントからのトラフィックを処理する方法を指定します。
次のダイヤラインターフェイスがサポートされています。
-
Point-to-Point Protocol over Ethernet(PPPoE)
-
Point-to-Point Protocol over Asynchronous Transfer Mode(PPPoA)
-
Point-to-Point Protocol over Ethernet over Asynchronous Transfer Mode(PPPoEoA)
PPPoE の設定の詳細については、『Cisco SD-WAN Systems and Interfaces Guide, Cisco IOS XE リリース 17.x』の「PPPoE の設定」セクションを参照してください。
NAT DIA の TCP 最大セグメントサイズの調整
(注) |
Cisco IOS XE リリース 17.9.1a および Cisco vManage リリース 20.9.1 から始めて、TCP セッションのドロップを防ぐために、TCP 最大セグメントサイズ(MSS)の値を調整できます。 TCP MSS の設定の詳細については、『Cisco SD-WAN Systems and Interfaces Guide, Cisco IOS XE リリース 17.x』の「Configure TCP MSS and Clear Dont Fragment」セクションを参照してください。 |
NAT DIA でダイヤラインターフェイスを使用する利点
-
NAT DIA によるインターフェイス過負荷モードのサポート
-
NAT DIA を使用したルートベースおよびデータポリシーベースの構成のサポート
-
NAT プールとループバックのサポート
-
スタティック NAT 設定のサポート
-
スタティック NAT ポート転送のサポート
-
着信コールまたは発信コールの要件に基づいた物理インターフェイスのさまざまな特性
-
NAT DIA によるダイヤラインターフェイス経由のスタティックまたはネゴシエートされた IP アドレスのサポート
NAT DIA ダイヤラインターフェイスのワークフロー
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
次の図は、IPv4 クライアントトラフィックがダイヤラインターフェイスを介してルーティングされ、IPv4 インターネットサイトおよびサービスに到達する方法を示しています。
NAT DIA でダイヤラインターフェイスを使用する場合の制限事項
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
-
ダイヤラインターフェイスでは NAT DIA のみがサポートされています。
-
ダイヤラインターフェイスではサービス側 NAT はサポートされていません。
-
デバイス CLI または CLI アドオンテンプレートを使用する場合、PPPoE ジャンボフレームは 1800 バイトに制限されます。
-
次の PPPoA ダイヤラ インターフェイス カプセル化の設定はサポートされていません。Cisco vManage 機能テンプレートを使用した AAL5MUX、AAL5SNAP、AAL5NLPID、または bridge-dot1q です。これらの PPPoA カプセル化を設定する場合は、CLI テンプレートを使用してカプセル化を設定する必要があります。
-
NAT DIA トラッカーは、ip unnumbered インターフェイスを持つダイヤラインターフェイスではサポートされていません。
-
NAT DIA パスの設定は、WAN インターフェイスのループバックではサポートされていません。
CLI テンプレートを使用した NAT DIA でダイヤラインターフェイスの設定
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。
-
NAT DIA を有効にして PPPoE ダイヤラインターフェイスを設定します。
Cisco IOS XE リリース 17.9.1a および Cisco vManage リリース 20.9.1 から使用できる dialer down-with-vInterface コマンドは、PPP セッションが停止したときにダイヤラインターフェイスを停止します。
interface interface-type-number pppoe enable group global pppoe-client dial-pool-number dialer-pool-number ! interface Dialer dialer-number description interface vers le BAS mtu bytes ip address negotiated ip mtu bytes ip nat outside encapsulation encapsulation-type ip tcp adjust-mss bytes dialer pool dialer-pool-number dialer down-with-vInterface ppp chap hostname hostname ppp chap password password ppp authentication chap callin ppp ipcp route default service-policy output shape_Dialer dialer-number
-
インターフェイス オーバーロード モードでダイヤラインターフェイスを介して ip nat outside を有効にします。
interface Dialer dialer-number ip nat outside ip nat inside source list nat-dia-vpn-hop-access-list interface Dialer dialer-number overload
-
サービス側 VPN の NAT DIA ルートを設定します。
サービス側 VPN の NAT DIA ルートの設定に関する詳細については、「NAT DIA ルートの設定」を参照してください。
または
一元化されたデータポリシーを使用して、サービス側 VPN の NAT DIA ルートを設定します。
ip nat route vrf vrf-id route-prefix prefix-mask global
NAT DIA でダイヤラインターフェイスを設定するための完全な設定例を次に示します。
interface Dialer100
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 100
dialer down-with-vInterface
endpoint-tracker tracker-google
ppp authentication chap callin
ppp chap hostname branch1.ppp1
ppp chap password 7 01100F175804
ppp ipcp route default
service-policy output shape_GigabitEthernet0/0/1
!
interface GigabitEthernet0/0/1
no ip redirects
pppoe enable group global
pppoe-client dial-pool-number 100
!
sdwan
interface Dialer100
tunnel-interface
encapsulation ipsec weight 1
color mpls restrict
exit
exit
ip nat inside source list nat-dia-vpn-hop-access-list interface Dialer100 overload
ip nat route vrf 10 0.0.0.0 0.0.0.0 global
ダイヤラインターフェイス設定の確認
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
次のセクションでは、ダイヤラインターフェイスの設定を確認する方法について説明します。
NAT DIA IP ルート設定の確認
次に、show ip route vrf コマンドの出力例を示します。
Device# show ip route vrf 10
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
n*Nd 0.0.0.0/0 [6/0], 4d01h, Null0
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
出力例では、n*Nd 0.0.0.0/0
が設定済みの NAT DIA ルートです。
IP アドレスの変換の確認
次に、show ip nat translations コマンドの出力例を示します。
Device# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 192.0.2.1:80 10.10.0.100:8080 --- ---
--- 192.0.2.2.198 10.10.0.254 --- ---
tcp 192.0.2.1:8000 10.10.0.253:23 --- ---
tcp 192.0.2.25:25185 10.0.0.1:43878 203.0.113.1:80 203.0.113.1:80
tcp 192.0.2.3:48871 10.0.0.2:48871 203.0.113.2:80 203.0.113.2:80
tcp 192.0.2.3:63242 10.0.0.2:63242 203.0.113.2:80 203.0.113.2:80
tcp 192.0.2.3:52929 10.0.0.2:52929 203.0.113.2:80 203.0.113.2:80
tcp 192.0.2.4:25184 10.0.0.4:28456 203.0.113.1:80 203.0.113.1:80
udp 192.0.2.3:64681 10.0.0.2:64681 203.0.113.1:53 203.0.113.1:53
udp 192.0.2.3:65504 10.0.0.2:64670 203.0.113.1:53 203.0.113.1:53
tcp 192.0.2.25:25186 10.0.0.1:28455 203.0.113.1:80 203.0.113.1:80
Total number of translations: 11
サンプル出力では、11 の変換があります。
PPPoE セッションの表示
次に、show pppoe session コマンドの出力例を示します。
Device# show pppoe session
1 client session
Uniq ID PPPoE RemMAC Port VT VA State
SID LocMAC VA-st Type
N/A 391 84b2.61cc.9903 Gi0/0/1.100 Di100 Vi2 UP
c884.a1f4.b981 VLAN: 100 UP
この出力例では、PPPoE ダイヤラ インターフェイスが UP と表示されています。
次に、show ppp all コマンドの出力例を示します。
Device# show ppp all
Interface/ID OPEN+ Nego* Fail- Stage Peer Address Peer Name
------------ --------------------- -------- --------------- --------------------
Vi2 LCP+ IPCP+ CDPCP- LocalT 172.16.100.1 SDWAN-AGGREGE
PPP ネゴシエーション情報の確認
次に、show interfaces Dialer コマンドの出力例を示します。
Device# show interfaces Dialer100
Dialer100 is up, line protocol is up
Hardware is Unknown
Internet address is 172.16.100.101/32
MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 255/255, rxload 255/255
Encapsulation PPP, LCP Closed, loopback not set
Keepalive set (10 sec)
DTR is pulsed for 1 seconds on reset
Interface is bound to Vi2
Last input 00:09:05, output 00:00:09, output hang never
Last clearing of "show interface" counters 1w0d
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/0/16 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 56 kilobits/sec
5 minute input rate 42220429000 bits/sec, 23 packets/sec
5 minute output rate 1520154000 bits/sec, 23 packets/sec
755339342 packets input, 2706571669546067 bytes
696497150 packets output, 97523835049377 bytes
Bound to:
Virtual-Access2 is up, line protocol is up
Hardware is Virtual Access interface
Internet address will be negotiated using IPCP
MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 177/255, rxload 177/255
Encapsulation PPP, LCP Open
Stopped: CDPCP
Open: IPCP
この出力例では、Dialer100
が稼働しており、回線プロトコルが稼働しています。 Virtual-Access2
も稼働しており、回線プロトコルも稼働しています。
NAT DIA でダイヤラインターフェイスを使用するための設定例
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
この例は、NAT プール、内部スタティック NAT 、およびポートフォワーディングでのダイヤラインターフェイスの設定を示しています。
ip nat pool natpool10 203.0.113.1 203.0.113.25 prefix-length 24
ip nat inside source list nat-dia-vpn-hop-access-list interface Dialer100 overload
ip nat inside source list nat-dia-vpn-hop-access-list pool natpool10 overload
egress-interface Dialer100
ip nat inside source static 10.10.80.254 10.1.1.198 vrf 10 egress-interface Dialer100
ip nat inside source static tcp 10.10.80.100 8080 interface Dialer100 8080 vrf 10
ip nat inside source static tcp 10.10.80.253 23 10.1.1.200 8201 vrf 10 egress-interface
Dialer100
HSRP による NAT DIA スタティック NAT マッピング
次のセクションでは、HSRP を使用した NAT DIA スタティック NAT マッピングの設定について説明します。
HSRP によるスタティック NAT マッピングについて
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
HSRP は、ファーストホップ IP デバイスのフェールオーバーを透過的に実行できるように設計された First-Hop Redundancy Protocol(FHRP)です。デフォルトゲートウェイの IP アドレスが設定されたネットワーク上の IP ホストにファーストホップのルーティング冗長性を確保することによって、ハイアベイラビリティを提供します。HSRP は、ルータグループ内のアクティブデバイスとスタンバイデバイスを識別するために使用されます。
HSRP 設定の詳細については、『Cisco SD-WAN Systems and Interfaces Configuration Guide, Cisco IOS XE Release 17.x』の「Hot Standby Router Protocol (HSRP)」の章を参照してください。
ARP でのアドレス解決
Address Resolution Protocol(ARP) は、ホストのハードウェアアドレスをホストの既知の IP アドレスから検出します。このハードウェアアドレスは Media Access Control(MAC)アドレスとも呼ばれます。ARP が保持するキャッシュ(テーブル)では、MAC アドレスが IP アドレスにマッピングされています。
Gratuitous ARP
ホストが自身の IP アドレスを解決するために ARP 要求を送信する場合、それは Gratuitous ARP と呼ばれます。ARP 要求パケットでは、送信元と宛先の IP アドレスは、同じ送信元 IP アドレス自体で満たされています。宛先 MAC アドレスはイーサネット ブロードキャスト アドレスです。
ルータがアクティブになると、影響を受ける LAN セグメントに HSRP 仮想 MAC アドレスを含む Gratuitous ARP パケットをブロードキャストします。セグメントがイーサネットスイッチを使用する場合、スイッチは仮想 MAC アドレスの場所を変更できます。これによりパケットが、アクティブでなくなったルータの代わりにアクティブルータに流れます。ルータがデフォルトの HSRP MAC アドレスを使用する場合、エンドデバイスは、gratuitous ARP を必要としません。
HSRP によるスタティック NAT マッピング
-
NAT スタティックマッピングで設定され、デバイスが所有するアドレスに対して ARP クエリがトリガーされると、NAT はこの HSRP グループに設定された仮想 MAC アドレスで応答します。2 つのデバイスがアクティブおよびスタンバイとして動作します。HSRP グループに属するように、アクティブデバイスとスタンバイデバイスの NAT 内部インターフェイスを設定します。
-
アクティブルータとスタンバイルータの両方が同じスタティック NAT マッピングで設定されている場合、アクティブデバイスだけがスタティック NAT マッピングエントリの ARP 要求に応答します。HSRP アクティブデバイスからスタンバイデバイスにフェールオーバーするトラフィックは、フェールオーバーする前に ARP 要求がタイムアウトするのを待つ必要はありません。
-
新しい HSRP アクティブデバイスは、ARP 要求がタイムアウトするのを待たずに、スタティック NAT マッピングエントリの所有権を自動的に再開します。HSRP アクティブデバイスは、スタティック NAT マッピングエントリの Gratuitous ARP 要求も送信します。これは、ip nat outside source static コマンドにマッピングされている HSRP グループ名を利用して行われます。
HSRP を使用したスタティック NAT マッピングの詳細については、『IP Addressing: NAT Configuration Guide』を参照してください。
HSRP によるスタティック NAT マッピングの利点
-
トラフィックはフェイルオーバーする前に ARP エントリがタイムアウトするのを待機する必要がないため、冗長性が確保されます
-
HSRP アクティブルータのみが、NAT アドレスで設定されたルータへの着信 ARP 要求に応答します。
HSRP によるスタティック NAT マッピングの制約事項
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
-
NAT64 および NAT66 は、HSRP を使用したスタティック NAT マッピングではサポートされていません。
-
IPv6アドレスはサポートされていません。サポートされているのは IPv4 アドレスだけです。
-
サービス側オブジェクトトラッカーは、外部スタティック NAT ではサポートされていません。
-
両方の HSRP ルータ(アクティブとスタンバイ)は、同じグループ名と同じスタティック NAT マッピングを持つ必要があります。
CLI テンプレートを使用した HSRP によるスタティック NAT マッピングの設定
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。
-
ハイアベイラビリティのために、HSRP グループ名と redundancy キーワードを指定した ip nat outside を使用して、アクティブおよびスタンバイ HSRP ルータを設定します。
interface interface-type-number no shutdown vrf forwarding vrf-name ip address ip-address ip-address standby version number standby group-number ip ip-address standby group-number name hsrp_lan standby group-number preempt standby group-number priority priority-value standby group-number timers msec timer-value timer-value negotiation auto exit ! ip nat inside source list global interface interface-type-number overload ip nat outside source static ip-address ip-address vrf vrf-name redundancy hsrp_lan match-in-vrf
(注)冗長性
キーワードは、ip nat outside source static
コマンドでのみサポートされています。ip nat inside source static
コマンドでは、redundancy
キーワードはサポートされていません。
HSRP アクティブルータとスタンバイルータの両方に、同じ HSRP グループ名と同じスタティック NAT マッピングを設定します。
宛先 NAT の ip nat outside コマンドの設定に加えて、送信元 IP を変換するための ip nat inside コマンドを設定します。
サービス側からインターネットにパケットを送信すると、NAT DIA は宛先 IP アドレス(プライベート IP アドレスの場合もある)をパブリック IP アドレスに変換します。これは、宛先 NAT と呼ばれます。
-
ip nat outside 機能をサポートする一元化されたデータポリシーを構成します。宛先 NAT 宛てのトラフィックは、ポリシーシーケンスに該当しない場合があります。
policy data-policy policy-name vpn-list vpn_list sequence number match source-ip ip-address ! action accept nat use-vpn 0 ! ! sequence number match source-ip ip-address destination-ip ip-address ! action accept nat pool pool-number ! ! default-action accept ! ! lists vpn-list vpn_list vpn vpn-name vpn vpn-name ! !
一元化されたポリシーの
nat use-vpn 0
部分により、宛先 IP が変換された後に、一致するトラフィックが VPN 0 に送信されます。
次に、HSRP を使用してスタティック NAT マッピングを設定するための完全な設定例を示します。
!
interface GigabitEthernet1
ip address 209.165.201.96 255.255.255.0
ip nat outside
standby version 2
standby 300 ip 209.165.201.34
standby 300 priority 120
standby 300 preempt
standby 300 name hsrp_wan
!
interface GigabitEthernet3
vrf forwarding 2
ip address 192.168.0.96 255.255.255.0
standby version 2
standby 500 ip 192.168.0.94
standby 500 priority 120
standby 500 preempt
standby 500 name hsrp_lan
!
!
ip nat inside source list global interface GigabitEthernet1 overload
!
ip nat outside source static 209.165.201.1 192.168.0.1 vrf 2 redundancy hsrp_lan match-in-vrf
!
一元化されたデータポリシーを使用して HSRP でスタティック NAT マッピングを設定するための完全な構成例を次に示します。
policy
data-policy test_policy
vpn-list vpn_list
sequence 10
match
source-ip 192.168.0.0/24
!
action accept
nat use-vpn 0
!
!
sequence 20
match
source-ip 192.168.0.0/24
destination-ip 209.195.201.0/32
!
action accept
nat pool 1
!
!
default-action accept
!
!
lists
vpn-list vpn_list
vpn 0
vpn 2
!
!
HSRP を使用したスタティック NAT マッピングの確認
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
次のセクションでは、HSRP を使用したスタティック NAT 設定の確認について説明します。
HSRP グループ名に関連付けられた IP アドレスの表示
Device# show ip nat redundancy
IP Redundancy-Name ID Use-count
192.168.0.200 hsrp_lan 0 1
上記の出力は、HSRP グループ名に関連付けられた IP アドレスを示しています。
Use-count
列の数字は、この IP アドレスを使用するスタティック NAT CLI の数を示します。
HSRP グループ名に関連付けられた IP アドレスを表示するための新しいコマンド show ip nat redundancy が追加されました。詳細については、『Cisco IOS XE SD-WAN Qualified Command Reference Guide』を参照してください。
変換された IP アドレスの表示
次に、show ip nat translations コマンドの出力例を示します。
Device# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- --- --- 192.168.0.200 209.165.201.1
icmp 192.168.0.1:174 192.168.0.1:174 192.168.0.200:174 209.165.201.1:174
icmp 192.0.2.1:174 192.168.0.1:174 209.165.201.1:174 209.165.201.1:174
icmp 192.168.0.1:174 192.168.0.1:174 192.168.0.200:174 209.165.201.1:174
Total number of translations: 4
上記の出力は、4 つの変換があることを示しています。
HSRP スタンバイルータの情報の表示
次に、スタンバイルータの情報を表示する show standby コマンドの出力例を示します。
Device# show standby
GigabitEthernet1 - Group 300 (version 2)
State is Active
1 state change, last state change 22:33:42
Virtual IP address is 209.165.201.1
Active virtual MAC address is 0000.0c9f.f12c (MAC In Use)
Local virtual MAC address is 0000.0c9f.f12c (v2 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.584 secs
Preemption enabled
Active router is local
Standby router is unknown
Priority 120 (configured 120)
Group name is "hsrp_wan" (cfgd)
FLAGS: 1/1
GigabitEthernet3 - Group 500 (version 2)
State is Active
5 state changes, last state change 00:00:18
Virtual IP address is 192.168.0.94
Active virtual MAC address is 0000.0c9f.f1f4 (MAC In Use)
Local virtual MAC address is 0000.0c9f.f1f4 (v2 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.544 secs
Preemption enabled
Active router is local
Standby router is unknown
Priority 120 (configured 120)
Group name is "hsrp_lan" (cfgd)
FLAGS: 1/1
仮想 MAC アドレスを使用して ARP テーブルの NAT IP アドレスを表示する
次に、show arp vrf コマンドの出力例を示します。
Device# show arp vrf 2
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.0.1 - 0000.0c9f.f1f4 ARPA GigabitEthernet3
Internet 192.168.0.10 11 0050.56bc.780b ARPA GigabitEthernet3
Internet 192.168.0.11 100 0050.56bc.608e ARPA GigabitEthernet3
Internet 192.168.0.14 83 0050.56bc.4748 ARPA GigabitEthernet3
Internet 192.168.0.94 - 0000.0c9f.f1f4 ARPA GigabitEthernet3
Internet 192.168.0.96 - 0050.56bc.1378 ARPA GigabitEthernet3
Internet 192.168.0.98 73 0050.56bc.3967 ARPA GigabitEthernet3
上記の出力は、NAT アドレス 192.168.0.1 が仮想 MAC アドレス 0000.0c9f.f1f4 で ARP テーブルに追加されることを示しています。
NAT DIA を使用したアプリケーションレベルのゲートウェイ
次のセクションでは、NAT DIA を使用したアプリケーション レベル ゲートウェイ(ALG)の設定に関して説明します。
NAT DIA を使用した ALG の使用に関する情報
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
アプリケーション レベル ゲートウェイ(ALG)は、アプリケーション レイヤ ゲートウェイとも呼ばれ、アプリケーションパケットのペイロード内の IP アドレスを変換するアプリケーションです。ALG を使用してアプリケーション層プロトコルを解釈し、ファイアウォールと NAT 変換を実行します。
パケットペイロードにアドレス情報を埋め込むプロトコルは、ALG のサポートを必要とします。次のプロトコルでは、アプリケーションペイロードの NAT 変換に ALG が必要です。
-
DNS
-
FTP
-
Session Initiation Protocol(SIP)
SIP は、SIP に基づく VoIP ソリューションに NAT を展開する機能を追加します。
(注) |
ゾーンベースのファイアウォール(ZBFW)が NAT DIA に対して有効になっている場合、NAT ALG 機能は ZBFW と相互運用します。 |
ALG の詳細については、『IP アドレッシング:NAT コンフィギュレーション ガイド』を参照してください。
NAT DIA を使用して ALG を使用する利点
-
クライアント アプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバーアプリケーションと通信できるようにします。
-
NAT DIA で設定された NAT ALG とゾーンベースのファイアウォール(ZBFW)間の相互運用性をサポートします。
NAT DIA を使用した ALG の使用に関する制限事項
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
-
サービス側 NAT を使用した ALG はサポートされていません。NAT DIA のみがサポートされています。
-
ip nat outside source コマンドを使用した ALG の設定はサポートされていません。
-
ドメインネームシステム(DNS)ALG では、ペイロードを変更するために、NAT 変換テーブルにスタティックエントリが必要です。NAT 変換テーブルにスタティックエントリがない場合、DNS ALG は機能しません。
次のコマンドを使用して、NAT 変換テーブルにスタティックエントリを作成します。
ip nat inside source static local-ip global-ip vrf vrf-id egress-interface interface-type-number
-
clear ip nat translations コマンドを実行すると、ALG セッションがクリアされます。NAT による変換を再作成するには、新しい NAT コマンドを実行します。これは予期されている動作です。
CLI テンプレートを使用した NAT DIA での ALG の設定
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。
-
NAT DIA を設定します。
詳細については、「NAT DIA の設定」を参照してください。
-
NAT ALG グローバルサポートを有効にします。
ip nat service all-algs
ip nat service コマンドに関する詳細については、『Cisco IOS XE SD-WAN Qualified Command Reference Guide』を参照してください。
-
次の例に示すように、アプリケーションプロトコルごとに NAT ALG を有効にします。
ip nat service dns tcp ip nat service dns udp ip nat service ftp ip nat service sip tcp port port-number ip nat service sip udp port port-number
ALG を設定するための完全な設定例を次に示します。
ip nat service all-algs
ip nat service sip tcp port 5060
ip nat service sip udp port 5060
ip nat service dns tcp
ip nat service dns udp
ip nat service ftp
ALG 設定の確認
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
次のセクションでは、NAT ALG 設定の確認に関する情報を提供します。
ALG 変換を表示
show ip nat translations tcp
tcp 10.1.15.15:5062 10.20.24.150:57497 10.1.15.150:21 10.1.15.150:21
tcp 10.1.15.15:5063 10.20.24.150:49732 10.1.15.150:20 10.1.15.150:20
(注) |
CLI テンプレートを使用してペイロードの翻訳を表示することはできません。ペイロードの変換を表示するには、Cisco vManage を使用してパケットをキャプチャします。 Cisco vManage を使用したパケットのキャプチャの詳細については、『Cisco SD-WAN Monitor and Maintain Guide』の「パケットのキャプチャ」を参照してください。 |
NAT ALG による NAT タイムアウトとプロトコルリッスンの確認
Device(config)# show platform hardware qfp active feature nat datapath summary
Nat setting mode: sdwan-default
Number of pools configured: none
Timeouts: 86400(tcp), 300(udp), 60(icmp), 300(dns),
60(syn), 300(finrst), 86400(pptp), 3600(rmap-entry)
pool watermark: not configured
Nat active mapping inside:1 outside:0 static:0 static network:0
Nat debug: none
Nat synchronization: enabled
Nat bpa: not configured; pap: not configured
Nat gatekeeper: on
Nat limit configured: no
Vpns configured with match-in-vrf: no
Nat packet drop: true
Total active translations: 615 (0 static, 615 dynamic, 615 extended)
Platform specific maximum translations: 131072 configured: none
PAM table non-zero entries:
0 0xeaa88be0 port=53, proto=6, appl_type=12
12 0xeaa88c60 port=2000, proto=6, appl_type=8
25 0xeaa88ba0 port=21, proto=6, appl_type=11
34 0xeaa88c20 port=5060, proto=6, appl_type=9
35 0xeaa889e0 port=496, proto=17, appl_type=16
85 0xeaa88ce0 port=5060, proto=17, appl_type=9
119 0xeaa88ca0 port=53, proto=17, appl_type=12
NAT DIA を使用したポートフォワーディング
次のセクションでは、NAT DIA を使用したポートフォワーディングの設定について説明します。
NAT DIA を使用したポートフォワーディングに関する情報
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
NAT DIA を使用したポートフォワーディングは、プライベートネットワーク内でサーバーを実行するユーザーに、パブリック IP アドレスと、内部のローカル IP アドレスとポート番号にマップされるポート番号を共有する機能を提供します。この機能では、各ポートをそれぞれ異なる内部 IP アドレスに転送できるため、同じパブリック IP アドレスから複数のサーバーへのアクセスが可能になります。
Cisco IOS XE リリース 17.9.1a および Cisco vManage リリース 20.9.1 以前は、ポートフォワーディングはサービス側の NAT で利用可能でした。
NAT DIA を使用したポートフォワーディングの利点
-
パブリックドメインからプライベートネットワーク(LAN)内のサーバーにアクセスできます。
-
異なるポートを異なる内部 IP アドレスに転送できるため、同じパブリック IP アドレスから複数のサーバーにアクセスできます。
NAT DIA を使用したポートフォワーディングの制限事項
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
-
NAT DIA を使用したポートフォワーディングでは、TCP 負荷分散はサポートされていません。
-
トラフィックは、パブリックネットワークからのみパブリック IP アドレスとポートに到達できます。
-
トラッカーをトランスポート インターフェイスに適用します。
-
NAT DIA でポートフォワーディングを設定するときに、Cisco vManage-reserved ポートを使用することはできません。
-
ループバック インターフェイスはサポートされていません。
-
ダイヤラ仮想インターフェイスはサポートされていません。
-
UDP ポート 8000 ~ 48199 は、VoIP トラフィック用に予約されています。Cisco IOS XE SD-WAN デバイス で VoIP が有効になっている場合、NAT DIA は、VoIP トラフィック用に予約されているのと同じ UDP ポートを使用できません。
-
TLOC 出力インターフェイスの NAT DIA ポートフォワーディングは、ネットワークの外部から送信されたフラグメント化されたパケットをサポートしていません。
-
最大 128 のポート転送ルールを定義して、外部ネットワークからの要求が内部ネットワーク上のデバイスに到達できるようにします。
-
IP アドレスとポート番号から IP アドレスとポート番号への変換は、Cisco vManage 機能テンプレートと CLI テンプレートを使用してサポートされています。
-
インターフェイス ポート フォワーディングは、CLI テンプレートのみを使用してサポートされます。
ポート フォワーディング ルールで IP アドレスではなくインターフェイスを使用する場合、これはインターフェイス ポート フォワーディングと呼ばれます。
NAT DIA を使用したポートフォワーディングの設定
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
パブリックドメインからプライベートネットワークへのアクセスを許可するポート転送ルールを作成します。
はじめる前に
-
データポリシーを構成して適用します。
-
[Cisco VPN Interface Ethernet] テンプレートを設定するか、既存の [Cisco VPN Interface Ethernet] テンプレートを編集します。
-
インターフェイス オーバーロード モードを設定します。インターフェイス オーバーロード モードはデフォルトで有効になっています。
-
NAT プールを設定します。
NAT DIA を使用したポートフォワーディングの設定
-
Cisco vManage メニューから、 を選択します。
-
[Feature Templates] をクリックします。
(注)
Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。
-
[Cisco VPN Interface Ethernet] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
-
[NAT] をクリックします。
-
[NAT Pool] で、[New NAT Pool] をクリックします。
-
必須 NAT パラメータを入力します。
NAT プールパラメータの詳細については、「NAT プールとループバック インターフェイスの設定」を参照してください。
-
[Add] をクリックします。
-
ポート フォワーディング ルールを作成するには、
をクリックし、表の説明に従ってパラメータを設定します。表 4. NAT DIA のポートフォワーディングのパラメータ パラメータ名
説明
Protocol
ポート フォワーディング ルールを適用する [TCP] または [UDP] を選択します。TCP トラフィックと UDP トラフィックの両方で同じポートを一致させるには、2 つのルールを構成します。
送信元 IP アドレス
変換される送信元アドレスを入力します。
送信元ポート
ポート番号を入力して、変換する送信元ポートを定義します。
範囲は 0 ~ 65535 です。
[Translated Source IP Address]
OMP にアドバタイズされる NAT IP アドレスを指定します。ポートフォワーディングは、変換されたポートが一致するオーバーレイから、この IP アドレス宛てのトラフィックに適用されます。
[Translate Port]
ポートフォワーディングを適用するポート番号を入力します。
範囲は 0 ~ 65535 です。
Cisco IOS XE リリース 17.5.1a で始まる、スタティックに変換された送信元 IP アドレスは、設定されたダイナミック NAT プールの IP アドレス範囲内にある必要があります。
[Static NAT Direction]
ネットワークアドレス変換を行う方向を選択します。
[Source VPN ID]
トラフィックの送信元のサービス側 VPN を指定します。
-
[更新(Update)] をクリックします。
CLI テンプレートを使用した NAT DIA によるポートフォワーディングの設定
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。
-
WAN インターフェイスで ip nat outside を設定します。
interface interface-type-number ip address dhcp ip nat outside negotiation auto no mop enabled no mop sysid end
-
WAN インターフェイスでインターフェイス過負荷モードを設定します。
ip nat inside source list nat-acl interface interface-type-number overload
-
出力インターフェイスを使用して NAT DIA ポートフォワーディングを設定します。
ip nat inside source static tcp ip-address port ip-address port vrf number egress-interface interface-type-number ip nat inside source static tcp ip-address port interface interface-type-number port vrf number
ip nat inside source static tcp ip-address port interface interface-type-number port vrf number
コマンドは、ポート フォワーディング ルールで IP アドレスではなくインターフェイスを使用するため、インターフェイス ポート フォワーディングの例です。
(注)
CLI テンプレートのみを使用してインターフェイスポート転送を設定します。Cisco vManage 機能テンプレートを使用してインターフェイスポート転送を設定することはできません。
NAT DIA を使用したポートフォワーディングを設定するための完全な設定例を次に示します。
interface GigabitEthernet1
ip address 10.1.2.1 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
end
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload
ip nat inside source static tcp 192.168.1.100 443 interface GigabitEthernet1 8443 vrf 1
ip nat inside source static tcp 192.168.1.100 80 10.1.2.10 80 vrf 1 egress-interface GigabitEthernet1
ip nat inside source static tcp 192.168.1.100 22 10.1.2.20 2020 vrf 1 egress-interface GigabitEthernet1
NAT DIA を使用したポートフォワーディングの設定の確認
サポートされている最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1
変換の確認
次に、show ip nat translations コマンドの出力例を示します。
Device# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 10.0.1.7:2022 10.0.100.14:22 --- ---
tcp 10.0.1.7:2022 10.0.100.14:22 10.0.1.16:46275 10.0.1.16:46275
Total number of translations: 2
上記の出力では、ポート 2022 の内部グローバル IP 10.0.1.7 が、ポート 22 の内部ローカル IP 10.0.100.14 に変換されます。
NAT 高速ロギング
次のセクションでは、NAT Direct Internet Access(DIA)を使用したネットワークアドレス変換(NAT)および高速ロギング(HSL)の設定に関する情報を提供します。
NAT HSL に関する情報
サポートされる最小リリース:Cisco IOS XE リリース 17.9.1a Cisco IOS XE Release 17.6.4 以降の 17.6.x リリース
NAT HSL を使用すると、Virtual Route Forwarding(VRF)インスタンスの NAT 高速ログを有効または無効にすることができます。HSL が設定されている場合、NAT はルーティング デバイス(バージョン 9 の NetFlow に似た記録と同様)を通じて外部コレクタに流れるパケットのログを提供します。外部コレクタにエクスポートされる NAT 変換には、サービス側 VRF からグローバル DIA への変換、およびサービス内 VRF(サービス側 VRF NAT)変換を含めることができます。セッションが作成および削除されると、バインディングごとにレコードが生成されます(バインディングは、ローカルアドレスと、ローカルアドレスが変換されるグローバルアドレスをバインドするアドレスです)。
NAT の HSL 情報を表示するためにコレクタをオンにすることができます。必要な場合にのみ HSL をオンにでき、それに応じて HSL ログレコードが作成され、コレクタに送信されます。これにより、必要のないときに HSL ログレコードを作成および送信しないことで、CPU サイクルと帯域幅が節約されます。
NAT HSL の利点
-
外部コレクタへの NAT 操作のフローモニターレコードの送信をサポートします。
-
必要な場合にのみ HSL レコードの作成と送信を有効にし、CPU サイクルと帯域幅を節約します。
-
NAT プールのアドレスが不足すると(プールの枯渇とも呼ばれます)、HSL メッセージを自動的に送信します。
NAT 高速ロギング(HSL)の制限事項
-
サービス側 NAT VRF は IPv6 アドレスをサポートしていません。
-
サービス側 VRF での IPv6 ターゲットのエクスポートはサポートされていません。
-
VRF での IPv6 を使用した変換のエクスポートはサポートされていません。
NAT HSL の前提条件
-
NAT 変換がルータで使用できることを確認します。
-
ログメッセージが生成されていることを確認します。
NAT HSL のベストプラクティス
-
ロギング用に設定された IP アドレスとポートアドレスがコレクタの設定に従っていることを確認します。
-
show interface statistics コマンドを使用して、出力パケットカウンタを確認し、コレクタに接続しているルータインターフェイスからのパケットの流れを確認します。
CLI テンプレートを使用した NAT HSL の設定
CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。
(注) |
デフォルトでは、CLI テンプレートはグローバル コンフィギュレーション モードでコマンドを実行します。 |
次に、フローエクスポータを使用して NAT による変換の高速ロギングを有効にする CLI 設定例を示します。
ip nat log translations flow-export v9 udp destination IPv4address-port source interface-name interface-number
次に、特定の宛先および送信元インターフェイスの変換ロギングを有効にする設定例を示します。
ip nat log translations flow-export v9 udp destination 10.10.0.1 1020 source gigabithethernet 0/0/1
NAT HSL 設定の確認
次に、show ip nat translations コマンドの出力例を示します。エクスポート ターゲット コレクタで変換ログを表示できます。
Device# show ip nat translations
Pro Inside global Inside local Outside local Outside global
------------------------------------------------------------------------------------------
tcp 10.0.0.16:5092 10.0.0.16:56991 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5078 10.0.0.16:55951 172.16.128.7:80 172.16.128.7:80
tcp 10.0.0.16:5070 10.0.0.16:57141 172.16.128.7:80 172.16.128.7:80
tcp 10.0.0.16:5089 10.0.0.16:55823 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5103 10.0.0.16:58717 172.16.128.7:80 172.16.128.7:80
tcp 10.0.0.16:5064 10.0.0.16:55413 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5091 10.0.0.16:59331 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5100 10.0.0.16:59795 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5097 10.0.0.16:57695 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5096 10.0.0.16:55665 209.165.202.129:80 209.165.202.129:80
tcp 10.0.0.16:5066 10.0.0.16:58671 172.16.128.7:80 172.16.128.7:80
以下は、設定を確認するために使用される show platform hardware qfp active feature nat datapath hsl コマンドからの出力例です。
Device# show platform hardware qfp active feature nat datapath hsl
HSL cfg dip 10.10.0.1 dport 1020 sip 10.21.0.16 sport 53738 vrf 0
nat hsl handle 0x3d007d template id 261 pool_exh template id 263
LOG_TRANS_ADD 132148
LOG_TRANS_DEL 132120
LOG_POOL_EXH 0
次に、show vrf detail コマンドの出力例を示します。
Device# show vrf detail
VRF 1 (VRF Id = 1); default RD <not set>; default VPNID <not set>
New CLI format, supports multiple address-families
Flags: 0x1808
Interfaces:
Gi0/0/1 Gi0/0/2.102 Lo0 Vl103
Address family ipv4 unicast (Table ID = 0x1):
Flags: 0x0
No Export VPN route-target communities
No Import VPN route-target communities
No import route-map
No global export route-map
No export route-map
VRF label distribution protocol: not configured
VRF label allocation mode: per-prefix
Address family ipv6 unicast (Table ID = 0x1E000001):
Flags: 0x0
No Export VPN route-target communities
No Import VPN route-target communities
No import route-map
No global export route-map
No export route-map
VRF label distribution protocol: not configured
VRF label allocation mode: per-prefix
Address family ipv4 multicast not active
Address family ipv6 multicast not active