[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ip nat dynamic list

モード: インターフェースモード
カテゴリー: ファイアウォール / IP NAT

(config-if)# [no] ip nat dynamic list NAME

対象インターフェースにダイナミックNAT（IPアドレスを多対1で動的に変換）の変換ルールを設定する。
no形式で実行した場合は変換ルールを削除する。

ダイナミックNATでは、グローバル側IPアドレスとして、グローバル側インターフェースのIPアドレスを使う。

パラメーター

list NAME IPアクセスリスト名。変換するパケットをpermit、変換しないパケットをdenyするよう設定しておくこと（ここでのdenyは「破棄」ではなく「NATしない」の意味）

使用例

■ gigabitEthernet 0に対し、プライベートIPアドレス「192.168.1.128」～「192.168.1.255」を同インターフェースのIPアドレスに変換するダイナミックNATルールを設定する。

*Router(config)# access-list ip standard PRIVATE ↓ *Router(config-acl-ip)# permit 192.168.1.128/25 ↓ *Router(config-acl-ip)# exit ↓ *Router(config)# interface gigabitEthernet 0 ↓ *Router(config-if)# ip nat dynamic list PRIVATE ↓

注意・補足事項

■ ダイナミックNATの設定はグローバル側インターフェースに対して行う。

■ Unnumbered IPインターフェースや有効なアドレスが割り当てられない自動設定インターフェースにダイナミックNATルールを設定したばあい、「始点IPアドレスの決定ルール」にしたがい、システムがグローバル側IPアドレスを自動的に選択する。詳細は、「IPルーティング」/「IPインターフェース」の「始点IPアドレスの決定」を参照。

■ 通常インターフェースにおけるIPフィルターとIP NAT機能の適用順序は次のとおり。

送信時：IPフィルター → IP NAT
受信時：IP NAT → IPフィルター

■ IPsecトンネルインターフェースにおけるIPフィルターとIP NAT機能の適用順序は次のとおり。

送信時：IPフィルター → IP NAT → IPsec
受信時：IPsec → IP NAT → IPフィルター

IPsecトンネルインターフェースにIPフィルターやIP NATを設定した場合、送信時・受信時とも、トンネリングされるパケット（内側パケット）に対してIPフィルターやIP NATが適用される。すなわち、送信時はトンネリング処理前のパケット、受信時はトンネリング解除後のパケットに対して適用される。なお、IPsecトンネルインターフェースでNAT（内部NAT）を行うには、次項で述べるとおり、IPsecポリシーモードのnatコマンドで内部NAT有効の指定をする必要がある。

■ IPsecトンネルインターフェースにNATルールを設定し、IPsec処理前のパケット（内側パケット）をNATしたい場合は、該当トンネルインターフェースに関連付けるIPsecポリシーで内部NATを有効にすること（natコマンドを実行する）。IPsecポリシーの初期設定では内部NATが無効であるため、トンネルインターフェースにNATルールを設定してもNATルールは動作せず、IPsec処理だけが行われる。

■ IPsecトンネルインターフェースでIPsec処理を行った後のパケット（IPsecパケット）を実インターフェースから送信するときは、実インターフェースにNATルールが設定されていても、IPsecパケットに対するNAT処理は行われない。また、実インターフェースで自装置宛てのIPsecパケットを受信した場合も同様で、実インターフェースにNATルールが適用されていても、IPsecパケットに対するNAT処理は行われない。

■ 各種機能によるパケット処理順序の詳細については、「付録」の「パケット処理フロー」を参照。

コマンドツリー

interface (グローバルコンフィグモード) | +- ip nat dynamic list（インターフェースモード）

ip nat dynamic list

パラメーター

使用例

注意・補足事項

コマンドツリー

関連コマンド