[index] CentreCOM ARX640S コマンドリファレンス 5.1.5
モード: ISAKMPポリシーモード
カテゴリー: IPsec / NAT-Traversal
(config-isakmp-policy)# [no] nat-traversal enable
対象ISAKMPポリシーにおいて、NAT-Traversal(NAT-T)を有効にする。
no形式で実行した場合はNAT-Tを無効にする。
初期設定は無効。
NAT-Tを有効に設定しているときは、フェーズ1の開始時に対向装置のNAT-Tサポートと通信経路上のNAT装置の有無を確認し、対向装置との間でNAT-T使用の合意がとれた場合は、NAT-T用UDPポート(isakmp nat-traversal-portコマンド)上でIKEのネゴシエーションを行い、同じポートを使ってIPsecパケット(ESP)のUDPカプセル化を行う。
NAT-Tを有効に設定していても、対向装置がNAT-Tをサポートしていない、あるいは、通信経路上にNAT装置が存在しないと判断した場合は、通常のIKEネゴシエーションを行う。
■ NAT-TとトランスポートモードのIPsecポリシーは併用できない。
■ NAT-T使用時はIPsecプロトコルとしてESPを使う必要がある(NATによってIPヘッダーが変更されるため、認証範囲に外側IPヘッダーの一部を含むAHは使用できない)。
■ NAT-T使用時、WAN側インターフェース(IKE、NAT-Tパケットの送受信を行うインターフェース)に受信用のIP/IPv6フィルターを適用している場合は、該当インターフェース宛てのIKEパケット(UDP 500番ポート宛てのパケット)とNAT-Tパケット(UDP 4500番ポート宛てのパケット)を許可する必要がある。
たとえば、IKEパケットとNAT-Tパケットだけを許可する拡張IPアクセスリストは次のような設定になる。
*Router(config)# access-list ip extended pppoe0_in ↓ *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 500 ↓ *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 4500 ↓ |
*Router(config)# access-list ipv6 extended ge0_in ↓ *Router(config-acl-ipv6-ext)# dynamic permit udp any interface gigabitEthernet 0 eq 500 ↓ *Router(config-acl-ipv6-ext)# dynamic permit udp any interface gigabitEthernet 0 eq 4500 ↓ |
isakmp policy (グローバルコンフィグモード)
|
+- nat-traversal enable(ISAKMPポリシーモード)
access-list ip extended(list)(グローバルコンフィグモード)
access-list ipv6 extended(list)(グローバルコンフィグモード)
ip traffic-filter(インターフェースモード)
ipsec proposal(グローバルコンフィグモード)
ipv6 traffic-filter(インターフェースモード)
isakmp nat-traversal-port(グローバルコンフィグモード)
isakmp port(グローバルコンフィグモード)
mode(IPsecポリシーモード)
nat-traversal keepalive(ISAKMPポリシーモード)
nat-traversal start-with-traversal-port(ISAKMPポリシーモード)
(C) 2011 - 2014 アライドテレシスホールディングス株式会社
PN: 613-001491 Rev.E