snakayamaさん

このディスカッションで、SNAT (Stateful NAT) 関係の質問をしてもよろしいでしょうか。

はい。問題ありません。一度どのようなご質問か書き込みいただけますようお願いします。

また、すでにご存じかもしれませんが、下記ページにございます通り最新IOSの15.X以降では

SNATはサポートされなくなっております。

そのため、将来的にバージョンアップすることを考慮してSNATの使用は推奨いたしておりません。

Cisco IOS NAT Feature Matrix

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080b17919.shtml

よろしくお願いいたします。

いつもお世話になっております。

SNAT (Stateful) につきまして、以下2つの質問がございます。

==========
1: SNAT 使用時の duplicate mac address につきまして
2: SNAT の EOL につきまして
==========

1: SNAT 使用時の duplicate mac address につきまして

Router 2 台で SNAT with HSRP を構成した場合の質問となります。

R1(Active Router) と R2(Standby Router) で SNAT with HSRP を構成したい環境におきまして、NAT したい IP アドレス(Inside Local)が複数個あるとします。

Router では

ip nat pool name ...
ip nat inside source ...

で、これら複数個の Inside Local に対し、1 個の Inside Global で PAT(overload) するとします。
interface での PAT ではなく、IP アドレス での PAT となります。
ここで言う Inside Global の IP アドレスは HSRP の VIP ではありません。

SNAT により、R1(Active Router) と R2(Standby Router) で NAT State 情報の同期が行なわれますので、R1(Active Router) で障害が発生し、R2(Standby Router) にスイッチオーバーした際にでも、通信は問題なく行なわれますが、R1(Active Router) が復旧した場合、R1 に再度スイッチオーバーした際、通信は問題なく行なわれますが、R2(Standby Router) には NAT State 情報/ARP 情報が残ったままとなりますので、duplicate mac address のメッセージが繰り返し出力されることになるかと思います。

R2(Standby Router) で、NAT State 情報/ARP 情報を強制的にクリアすることにより、duplicate mac address のメッセージの出力をなくすことはできますが、今回のような R1(Active Router) に再度スイッチオーバーした場合に duplicate mac address のメッセージを発生させないように、R2(Standby Router) で NAT State 情報/ARP 情報を自動的にクリアすることは可能でしょうか。あるいは、R1(Active Router) に再度スイッチオーバーした場合で duplicate mac address のメッセージを止めるためには、R2(Standby Router) で

- NAT State 情報/ARP 情報を強制的にクリアする
- NAT State 情報/ARP 情報のエージングタイムを調整し、エージングタイムによりクリアされるようにする

しか方法はないでしょうか。

このような状況を回避するために、今までは SNAT を設定した時には Inside Global = HSRP VIP としておりました。
もちろんこれで問題なく動作しますが、SNAT で Inside Global に HSRP VIP 以外の IP アドレスを使用した時の動作を明確にさせて頂きたいと思い、質問させて頂きます。

尚、interface PAT ではなく IP address での PAT なので、no-alias は設定できないと考えております。

2: SNAT の EOL につきまして

End-of-Sale and End-of-Life Announcement for the Cisco IOS Stateful Failover of Network Address Translation (SNAT)
http://www.cisco.com/en/US/partner/prod/collateral/iosswrel/ps6537/ps6586/ps6640/end_of_life_notice_c51-611706.html

にある情報は、IOS の全バージョンに適用されるということでよろしいでしょうか。

また、Last Ship Date Feature は April 20, 2011 となっておりますが、April 20, 2011 以降にリリースされるバージョンには SNAT の機能は含まれない、ということになりますでしょうか。

念のため確認させて頂きたいと存じます。

以上、よろしくお願いいたします。

Takashi Higashimura さん

お世話になります。

上記で「1: SNAT 使用時の duplicate mac address につきまして」をご質問させて頂きましたが、通常の SR と違い、実際の設定、データをお送りせず申し訳ございません。（SR とは違い気軽に質問してしまいました）

また、非常に抽象的なご質問であったことお詫びいたします。

Bug Toolkit にて調査いたしましたところ、下記の不具合に該当しているのではないかという思いに至っております。

CSCsw21214
SNAT duplicate ARP alias for virtual IP in outside

つきましては、1: の質問にはお答え頂けなくても構いません。
こちらの方で再度いろいろと調査を行なうこととさせて頂きたいと思います。

「2: SNAT の EOL につきまして」に関しましては、コメント頂けますと幸いでございます。

以上、よろしくお願い申し上げます。

snakayama さん

つきましては、1: の質問にはお答え頂けなくても構いません。
こ
ちらの方で再度いろいろと調査を行なうこととさせて頂きたいと思います。

上記につきましては了解しました。コメントいただいておりました通り、不具合に起因した

詳細な調査に関しては本コミュニティでの対応ではなく、SR(Service Request) にて

お問い合わせいただけますと幸いです。

コミュニティに書き込みいただいた内容でもSRでの対応が望ましい場合には、

その旨ご相談させていただきますので、質問自体はいただいても問題ございません。

「2: SNAT の EOL 
につきまして」に関しましては、コメント頂けますと幸いでございます。

参照していただきました、SNAT の EoL に関するページはASA製品に関するものとなっております。

そのため、IOS では先日ご案内させていただきましたページより IOS15.x 以降は SNAT を

サポートしていないとお考えください。しかしながら、機能自体のコードを削除することで関連する

機能への影響も考慮され、機能自体は残っている場合があり、設定はできるがサポートされない

という場合がございます点をご注意ください。

Takashi Higashimura さん

お世話になります。
ご連絡頂き誠に有難うございました。
ご教示頂きました件、承知いたしました。
今後ともよろしくお願い申し上げます。