【環境】
セグメントA
L3SW
| |
L2SW L2SW
| |
C2911 C2911
| |
L2SW
| | | | |
セグメントB1,B2,B3,B4,B5,,,
---------------------------------------
セグメントA
セグメントB1
セグメントB2
・・・
という具合に、複数のネットワークセグメントが存在し、セグメントAはインターフェイスに直結、
セグメントB1,B2・・・は、1つのインターフェイスのsub-ifに定義され、trunkでL2SWで受けています。
2台の2911それぞれに、同一のsub-ifが定義されています。(もちろん、各sub-ifのipの重複はありません)
【要件1】
セグメントAと、セグメントBxの間で、それぞれのネットワークアドレスを隠蔽した形で通信したい。
つまり、双方向NATを実現したい。
例えば、セグメントAからセグメントB1への通信は、セグメントAから見ると、SrcとDstがともにセグメントAとなり、それがセグメントB1のノードで受ける際には、SrcとDstが共にセグメントBのものとして取り扱えるようにしたいです。
セグメントB1→セグメントAへの通信も同様です。
【要件2】
双方向NATを二重化(冗長化)したい。
片系が利用できなくなった場合、自動的にもう片方に処理が倒れるようにしたい。
【やってみたこと】
作戦①
以下のような設定を入れ込んだところ、ルータ単体での動作は問題ありませんでした。
(アドレス等、ぼかして記述してある点はご容赦下さい)
-----------------
ip nat inside source static (segA) (segB1におけるsegAのNATアドレス) route-map M1
ip nat outside source static (segB) (segA,Bにも該当しないダミーアドレス)
ip route (segA,Bにも該当しないダミーアドレス) 255.255.255.255 (segB1)
route-map M1 permit 10
match ip address 101
access-list 101 permit ip host (segA) host (segBのNATアドレス)
-----------------
ただ、2911の2台でHSRPを起動し、それに対してredundancyでハイアベイラビリティを指定したところ、通信が出来なくなりました。
全くダメな訳ではなく、LANケーブルを抜き差しする等して、HSRPのアクティブを移動させてみると、移動中というか、HSRPのステータスが収束するまでの間に限り、なぜか双方向NATが出来ることがありました。
作戦②
以下URLを参考に、NAT Box to Box?を構成してみました。
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/15-mt/nat-15-mt-book/iadnat-b2b-ha.html#concept_B84CF5F06E264D41857A6095D8490AC4
https://supportforums.cisco.com/ja/document/12329921
正直、この構成についての理解はありませんので、見よう見まねで設定を入れてみたのですが、ローカルセグメント間の通信すら出来なくなる始末でした。
そこでお教えいただきたいのですが、上記方法、またはそれ以外の方法で、要件を満たすような構成を組むことは可能でしょうか?