NAT64 ダイレクト インターネット アクセス
機能名 |
リリース情報 |
説明 |
---|---|---|
Cisco IOS XE SD-WAN デバイス の NAT64 DIA |
Cisco IOS XE SD-WAN リリース 16.12.1b Cisco vManage リリース 19.2.1 |
NAT64 ダイレクト インターネット アクセス(DIA)機能は、インターネットトラフィックを中央サイトまたはインターネットアクセス用のデータセンターにトンネリングする代わりに、ブランチサイトからインターネットに直接トラフィックのルーティングをサポートします。 NAT64 DIA を使用すると、ブランチサイトの IPv6 クライアントは、データセンターまたはブランチのローカルにある IPv4 エンタープライズ アプリケーション サーバーにアクセスできます。IPv6 クライアントは、インターネットを使用してブランチから IPv4 サーバーに直接アクセスすることもできます。 |
NAT64 DIA に関する情報
NAT64 DIA を使用すると、IPv4 サーバーはリモートブランチまたはデータセンターから IPv6 サーバーにアクセスできます。
NAT64 DIA のトラフィックフローは、LAN から DIA です。
NAT64 DIA の仕組み
-
[Cisco VPN Interface Ethernet] テンプレートを使用して、IPv4 および IPv6 を有効にします。
-
サービス側 VPN である [Cisco VPN] テンプレートに IPv6 ルートを設定します。
送信元と宛先の IPv6 アドレスが変換されます。
-
NAT IPv4 DIA が設定されているため、インターフェイスが過負荷になり、送信元 IPv4 アドレスが変換されます。宛先 IPv4 アドレスは同じままです。
NAT64 DIA の利点
-
優れたアプリケーション パフォーマンスを実現
-
帯域幅の消費と遅延の削減に貢献
-
帯域幅コストの削減に貢献
-
リモートサイトに DIA を提供することで、ブランチオフィスのユーザーエクスペリエンスを向上させます。
NAT64 DIA の制限事項
-
NAT64 DIA は、インターフェイス オーバーロードのみを使用します。
-
NAT DIA プールまたはループバックは、NAT64 ではサポートされていません。
NAT64 DIA ルートの制限事項
-
ルーティングテーブルにルートをインストールするには、次の NAT64 DIA ルートを使用できます。
/128 プレフィックスの NAT64 DIA ルートの例:
nat64 route vrf 4 64:FF9B::1E00:102/128 global
/96 プレフィックスの NAT64 DIA ルートの例:
nat64 route vrf 4 64:FF9B::/96 global
-
ルーティングテーブルにルートをインストールするために、次の NAT64 DIA ルート設定を使用することはできません。
nat64 route vrf 4 64:ff9b::/64 global
nat64 route vrf 4 ::0/0 global
NAT64 DIA と DIA ルートの設定
NAT64 DIA を有効にするためのワークフロー
-
IPv4 と IPv6 の両方で、[Cisco VPN Interface Ethernet] テンプレートを使用して NAT64 を有効にします。
(注)
NAT64 IPv4 DIA は、デフォルトでインターフェイスの過負荷を使用します。
IPv6 DIA の NAT64 を構成する場合、インターフェイスの過負荷は既に設定されています。
[Cisco VPN Interface Ethernet] テンプレートは、トランスポート インターフェイスです。
-
サービス VPN である [Cisco VPN] テンプレートを使用して、NAT64 DIA IPv6 ルートを設定します。
NAT64 DIA の設定
インターフェイスの過負荷での NAT64 DIA の設定
-
Cisco vManage メニューから、 を選択します。
-
[Feature Templates] をクリックします。
(注)
Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。
-
[Cisco VPN Interface Ethernet] テンプレートを編集するには、. . . をクリックし、[Edit] をクリックします。
-
[Interface Name] フィールドで、インターフェイスを選択します。
-
[NAT] をクリックし、[IPv4] を選択します。
-
スコープを [Default] から [Global] に変更します。
-
[オン] をクリックして、IPv4 の NAT を有効にします。
-
[NAT Type] フィールドで、インターフェイス過負荷の [Interface] をクリックします。
[Interface] オプションが IPv4 に対して [On] に設定されていることを確認します。
表 2. NAT IPv4 パラメータ パラメータ名
説明
NAT
NAT 変換を使用するかどうかを指定します。
デフォルトは [オフ(Off)] です。
NAT Type
IPv4 の NAT 変換タイプを指定します。
使用可能なオプションには、[Interface]、[Pool]、および [Loopback] が含まれます。
デフォルトは [Interface] オプションです。[Interface] オプションは、NAT64 でサポートされています。
[UDP Timeout]
UDP セッションを介した NAT 変換がいつタイムアウトするかを指定します。
範囲:1 ~ 536870 秒
デフォルト:300 秒(5 分)
(注) Cisco IOS XE リリース 17.6.1a および Cisco vManage リリース 20.6.1 以降、NAT64 のデフォルトの [UDP Timeout] 値は 300 秒(5 分)に変更されました。
[TCP Timeout]
TCP セッションを介した NAT 変換がいつタイムアウトするかを指定します。
タイムアウト値を入力します
デフォルト:3600 秒(1 時間)
(注) Cisco IOS XE リリース 17.6.1a および Cisco vManage リリース 20.6.1 以降、NAT64 のデフォルトの [TCP Timeout] 値は 3600 秒(1 時間)に変更されました。
-
-
ステップ 5 を繰り返しますが、[IPv6] を選択して IPv6 の NAT を有効にします。
(注)
NAT64 DIA に IPv4 と IPv6 の両方を設定します。
-
[NAT Selection] フィールドで、[NAT64] をクリックして NAT64 を有効にします。
(注)
IPv6 の場合、インターフェイスの過負荷はすでに設定されています。
表 3. NAT IPv6 パラメータ パラメータ名
説明
NAT
NAT 変換を使用するかどうかを指定します。
デフォルトは [オフ(Off)] です。
[NAT Selection]
NAT64 を指定します。
デフォルトは [NAT66] オプションです。
-
[更新(Update)] をクリックします。
NAT64 DIA ルートの設定
Cisco VPN テンプレートを使用した NAT64 DIA ルートの設定
-
Cisco vManage メニューから、 を選択します。
-
[Feature Templates] をクリックします。
(注)
Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。
-
[Cisco VPN] 機能テンプレートを編集するには、. . . をクリックし、[Edit] をクリックします。
(注)
サービス側 VPN である [Cisco VPN] 機能テンプレートで IPv6 DIA ルートを設定します。
-
[IPv6 Route] をクリックします。
-
[New IPv6 Route] をクリックします。
-
[Prefix] フィールドに、よく知られたプレフィックス [64:FF9B::/96]
を入力します。
-
[Gateway] フィールドで、[VPN] をクリックします。
-
[Enable VPN] フィールドで、スコープを [Default] から [Global] に変更し、[On] をクリックして VPN を有効にします。
-
[NAT] フィールドで、[NAT64] をクリックします。
-
[更新(Update)] をクリックします。
CLI を使用した NAT64 DIA ルートの設定
例:NAT64 DIA ルートの設定
Device(config)# nat64 route vrf 4 64:FF9B::1E00:102/128 global
NAT64 DIA ルート設定の確認
例 1
以下は、サービス VPN 用の show ipv6 route vrf コマンドからの出力例です。
Device# show ipv6 route vrf 4
IPv6 Routing Table - 4 - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
ld - LISP dyn-eid, lA - LISP away, le - LISP extranet-policy
lp - LISP publications, a - Application, m - OMP
m 64:FF9B::/96 [251/0]
via 172.16.255.15%default, Sdwan-system-intf%default
この例では、64:FF9B::/96
は、IPv6 を IPv4 アドレスに変換するための NAT64 の既知のプレフィックスです。
例 2
NAT64 DIA がトランスポート VPN で設定されているため、トランスポート VPN のルーティングテーブルは次のように表示されます。
Device# show ipv6 route
IPv6 Routing Table - default - 2 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
ld - LISP dyn-eid, lA - LISP away, le - LISP extranet-policy
lp - LISP publications, a - Application, m - OMP, Nd - Nat-Route DIA
S 64:FF9B::/96 [1/0]
NAT64 DIA の設定例
この例は、NAT64 DIA の設定を示しています。
interface GigabitEthernet1
no shutdown
arp timeout 1200
ip address 10.1.15.15 10.255.255.255
no ip redirects
ip mtu 1500
ip nat outside
load-interval 30
mtu 1500
negotiation auto
nat64 enable
!
nat64 v6v4 list nat64-global-list interface GigabitEthernet1 overload
!
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload
(注) |
GigabitEthernet1 は、トランスポート VPN インターフェイスです。 |
OMP を介した NAT64 ルートのアドバタイズ
NAT64 DIA アドバタイズメントがネットワーク上の指定された Cisco IOS XE SD-WAN デバイス のいずれかに設定されている場合、OMP は NAT デフォルトルートをブランチにアドバタイズします。ブランチはデフォルトルートを受け取り、それを使用してすべての DIA トラフィックのハブに到達します。Cisco IOS XE SD-WAN デバイス は、すべての DIA トラフィックのインターネットゲートウェイとして機能します。
(注) |
デフォルトでは、NAT64 IPv4 プールアドレスと既知の NAT64 プレフィックスが OMP ルートとして受信されます。 |
OMP を介した NAT64 ルートのアドバタイズの詳細については、「OMP を介した NAT ルートのアドバタイズに関する情報」を参照してください。