[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

nat

モード: IPsecポリシーモード
カテゴリー: IPsec / IPsec基本設定

(config-ipsec-policy)# [no] nat

対象IPsecポリシーにおいて、内部NATを有効にする。
no形式で実行した場合は内部NATを無効にする。
初期設定は無効。

内部NAT有効時は、IPsecポリシーの適用対象パケットがIP NAT機能のルールにマッチする場合、NAT処理を実行してからIPsecの処理を行う。
内部NAT無効時は、IPsecポリシーの適用対象パケットがIP NAT機能のルールにマッチする場合でも、NAT処理を行わずにIPsec処理だけを行う。

使用例

■ tunnel 0インターフェース上で動作するIPsecポリシー「interbranch」において、自装置側サブネット192.168.10.0/24内のIPアドレスを、サブネットスタティックNATにより172.16.10.0/24の範囲に変換してからIPsec処理を実行するよう設定する。

*Router(config)# ipsec policy interbranch ↓ ...（略）... *Router(config-ipsec-policy)# nat ↓ *Router(config-ipsec-policy)# local-id 172.16.10.0/24 ↓ ...（略）... *Router(config-ipsec-policy)# exit ↓ *Router(config)# interface tunnel 0 ↓ *Router(config-if-tunnel)# tunnel mode ipsec ↓ *Router(config-if-tunnel)# tunnel policy interbranch ↓ *Router(config-if-tunnel)# ip unnumbered vlan 1 ↓ *Router(config-if-tunnel)# ip nat static network 192.168.10.0/24 172.16.10.0/24 ↓ *Router(config-if-tunnel)# no shutdown ↓

なお、内部NATを使う場合は、フェーズ2IDとしてNAT変換後のアドレスを指定する必要があるので注意すること。

注意・補足事項

■ 内部NATを使う場合は、フェーズ2IDとしてNAT変換後のアドレスを指定する必要がある。

自装置側で内部NATを使うときは、NAT後のアドレスをlocal-idとして設定する。
対向装置側で内部NATを使うときは、NAT後のアドレスをremote-idとして設定する。

■ 本コマンドは、IPsecトンネルインターフェースに設定したNATルールの有効・無効を指示するためのもので、IPsec処理後のパケット（IPsecパケット）を送受信する実インターフェースに設定されたNATルールの動作には関知しない。
トンネルインターフェースでIPsec処理を行った後のパケット（IPsecパケット）を実インターフェースから送信するときは、実インターフェースにNATルールが設定されていても、IPsecパケットに対するNAT処理は行われない。また、実インターフェースで自装置宛てのIPsecパケットを受信した場合も同様で、実インターフェースにNATルールが適用されていても、IPsecパケットに対するNAT処理は行われない。この動作は本コマンドの設定有無にかかわらず一定。

コマンドツリー

ipsec policy (グローバルコンフィグモード) | +- nat（IPsecポリシーモード）

nat

使用例

注意・補足事項

コマンドツリー

関連コマンド