[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ファイアウォール / IP NAT

スタティックNAT
サブネットスタティックNAT
ダイナミックNAT
ダイナミックENAT(ダイナミックNAPT)
スタティックENAT(ポートフォワーディング)
他機能との関係(パケット処理順序)

本製品は下記のIPアドレス・TCP/UDPポート変換機能(総称「IP NAT機能」)をサポートしています。

IP NAT機能は、グローバル側インターフェース(変換後のアドレスが使われる外側インターフェース)に変換ルールを設定することで有効になります。

スタティックNAT

 スタティックNATでは、IPアドレスだけを1対1で固定的に変換します。

■ スタティックNATルールを設定するには、グローバル側インターフェースに対して、ip nat staticコマンドを実行します。

たとえば、gigabitEthernet 0に対し、プライベート側ホストのIPアドレス192.168.10.5を10.10.10.5に変換するスタティックNATルールを設定するには次のようにします。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ip nat static 192.168.10.5 10.10.10.5


サブネットスタティックNAT

 サブネットスタティックNATでは、IPアドレスのホスト部はそのままに、サブネット部だけを1対1で固定的に変換します。この機能はおもに、拠点間を接続するIPsec VPNの環境で、各拠点のサブネットアドレスが重複しているような場合に使います。

■ サブネットスタティックNATルールを設定するには、グローバル側インターフェースに対して、ip nat static networkコマンドを実行します。

たとえば、tunnel 0に対し、プライベート側サブネットのIPアドレス192.168.10.0〜192.168.10.255を、172.16.10.0〜172.16.10.255に変換するサブネットスタティックNATルールを設定するには次のようにします。

*Router(config)# interface tunnel 0
*Router(config-if-tunnel)# ip nat static network 192.168.10.0/24 172.16.10.0/24


これにより、IPアドレスの先頭24ビットが「192.168.10」から「172.16.10」に変換されるようになります。

ダイナミックNAT

 ダイナミックNATでは、IPアドレスだけを多対1で動的に変換します。

Note - ダイナミックNATは、他のNATに比べてメリットが少ないためあまり使われません。

■ ダイナミックNATルールを設定するには、グローバル側インターフェースに対して、ip nat dynamic listコマンドを実行します。
このコマンドでは、変換対象のプライベートアドレスの範囲をIPアクセスリストで指定します。
グローバルアドレスには、グローバル側インターフェースのIPアドレスが使用されます。

たとえば、gigabitEthernet 0に対し、プライベートIPアドレス「192.168.1.128」〜「192.168.1.255」を、同インターフェースのIPアドレスに変換するダイナミックNATルールを設定するには次のようにします。

*Router(config)# access-list ip standard PRIVATE
*Router(config-acl-ip)# permit 192.168.1.128/25
*Router(config-acl-ip)# exit
*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ip nat dynamic list PRIVATE


■ Unnumbered IPインターフェースなど、有効なアドレスを持たないインターフェースにダイナミックNATルールを設定した場合は、「始点IPアドレスの決定ルール」にしたがい、システムがグローバル側IPアドレスを自動的に選択します。詳しくは、「IPルーティング」/「IPインターフェース」の「始点IPアドレスの決定」をご覧ください。

ダイナミックENAT(ダイナミックNAPT)

 ダイナミックENATは、IPアドレスだけでなくTCP/UDPのポート番号も動的に変換することで、限られたグローバルアドレスを複数のプライベート側ホストで共用させる機能です。

■ ダイナミックENATルールを設定するには、グローバル側インターフェースに対して、ip napt insideコマンドを実行します。
このコマンドでは、変換対象のプライベートアドレスの範囲と、使用するグローバルIPアドレスの範囲を指定します。グローバルIPアドレスの範囲を指定しなかった場合は、グローバル側インターフェースのIPアドレスが使用されます。

たとえば、gigabitEthernet 0に対し、プライベート側ネットワーク192.168.10.0/24内のアドレスをグローバル側インターフェースのアドレスに変換するダイナミックENATルールを設定するには次のようにします。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ip napt inside 192.168.10.0/24


また、すべてのアドレスを変換対象にする場合は、次のようにします。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ip napt inside any


■ Unnumbered IPインターフェースなど、有効なアドレスを持たないインターフェースにダイナミックENATルールを設定する場合は、NAT用IPアドレスプール(ip nat poolコマンドで作成)でグローバル側IPアドレスを明示的に指定することをおすすめします。

たとえば、グローバル側インターフェースgigabitEthernet 0.1に対し、プライベート側ネットワーク192.168.10.0/24内のアドレスを、ISPから固定割り当てされているアドレスブロック10.10.10.0/29内の有効なアドレス10.10.10.1に変換するダイナミックENATルールを設定するには、次のようにします。

*Router(config)# ip nat pool GLOBAL1 10.10.10.1 10.10.10.1
*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip napt inside 192.168.10.0/24 pool GLOBAL1

NAT用IPアドレスプールで明示的に指定しない場合は、「始点IPアドレスの決定ルール」にしたがい、システムがグローバル側IPアドレスを自動的に選択します。詳しくは、「IPルーティング」/「IPインターフェース」の「始点IPアドレスの決定」をご覧ください。

スタティックENAT(ポートフォワーディング)

 スタティックENATは、グローバル側インターフェースの特定ポート宛てに送られたパケットの終点IPアドレスとポート番号を変換することで、指定したプライベート側ホストに転送する機能です。この機能を利用すると、グローバルアドレスが1つしかない環境でも、複数のサーバー(サービス)を外部に公開することができます。

■ スタティックENATルールを設定するには、グローバル側インターフェースに対して、ip napt forwardコマンドを実行します。このコマンドでは、転送対象のプロトコル、ポート番号と、転送先のプライベートIPアドレスとポート番号を指定します。ポート番号を指定しなかった場合は、ポート番号の変換は行われません。

たとえば、gigabitEthernet 0のTCPポート80番宛てのパケットを、プライベート側ネットワークにあるサーバー192.168.10.5のTCPポート80番に転送するスタティックENATルールを設定するには次のようにします。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ip napt forward tcp 80 192.168.10.5


他機能との関係(パケット処理順序)

 パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。

(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E