キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

ルータで network NAT エントリの設定変更時に NAT 変換に失敗することがある

760
閲覧回数
0
いいね!
0
コメント

IOS、及び、IOSXE ルータで以下のような network 単位での NAT 変換の設定(以下、network NAT エントリ)を削除、または追加する場合、後述するような通信障害に繋がる事象が発生することがあります。 

ip nat inside source static network 10.0.0.0 10.100.0.0 /24

 削除、追加を行う network NAT エントリ以外の NAT ルールを使用して NAT 変換されるパケットが影響を受けるため、通信中にこのような操作を行った場合、通信影響が発生する可能性があります。


IOS ルータと IOSXE ルータでは問題の表れ方が異なり、それぞれ以下のようになります。

  • IOS ルータでは NAT 変換対象となるパケットが drop する(NAT 変換の対象ではないパケットはこの限りではない)
  • IOSXE ルータでは NAT 変換対象となるパケットが NAT 変換されずに送信される。

 

この状態が継続する時間は一度に削除する network NAT エントリの数、network で指定した subnet の大きさ、ルータの使用条件、などに依存して変わりますが、だいたい数秒から数十秒の影響があると考えて下さい。


この症状はルータ製品における network NAT の実装上の制限になりますので、上述のような操作を実施する際にはご注意下さい。

 

なお、以下のような network 単位ではない NAT エントリ削除時にはこのような問題は発生しません。

ip nat inside source static 10.0.0.1 20.0.0.1