cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
1815
Views
0
Helpful
1
Replies

Cisco2911を用いた双方向NATを実現したい

ngy-networker
Level 1
Level 1

【環境】

       セグメントA

         L3SW

    |                |

L2SW        L2SW

    |                |      

C2911      C2911

    |                |  

        L2SW

    |      |      |     |     |

セグメントB1,B2,B3,B4,B5,,,

---------------------------------------

セグメントA

セグメントB1

セグメントB2

・・・

という具合に、複数のネットワークセグメントが存在し、セグメントAはインターフェイスに直結、

セグメントB1,B2・・・は、1つのインターフェイスのsub-ifに定義され、trunkでL2SWで受けています。

2台の2911それぞれに、同一のsub-ifが定義されています。(もちろん、各sub-ifのipの重複はありません)

 

【要件1】

セグメントAと、セグメントBxの間で、それぞれのネットワークアドレスを隠蔽した形で通信したい。

つまり、双方向NATを実現したい。

例えば、セグメントAからセグメントB1への通信は、セグメントAから見ると、SrcとDstがともにセグメントAとなり、それがセグメントB1のノードで受ける際には、SrcとDstが共にセグメントBのものとして取り扱えるようにしたいです。

セグメントB1→セグメントAへの通信も同様です。

 

 

【要件2】

双方向NATを二重化(冗長化)したい。

片系が利用できなくなった場合、自動的にもう片方に処理が倒れるようにしたい。

 

【やってみたこと】

作戦①

以下のような設定を入れ込んだところ、ルータ単体での動作は問題ありませんでした。

(アドレス等、ぼかして記述してある点はご容赦下さい)

-----------------

ip nat inside source static (segA) (segB1におけるsegAのNATアドレス) route-map M1
ip nat outside source static (segB) (segA,Bにも該当しないダミーアドレス)
ip route (segA,Bにも該当しないダミーアドレス) 255.255.255.255 (segB1)

route-map M1 permit 10
 match ip address 101
access-list 101 permit ip host (segA) host (segBのNATアドレス)

-----------------

ただ、2911の2台でHSRPを起動し、それに対してredundancyでハイアベイラビリティを指定したところ、通信が出来なくなりました。

全くダメな訳ではなく、LANケーブルを抜き差しする等して、HSRPのアクティブを移動させてみると、移動中というか、HSRPのステータスが収束するまでの間に限り、なぜか双方向NATが出来ることがありました。

 

作戦②

以下URLを参考に、NAT Box to Box?を構成してみました。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/15-mt/nat-15-mt-book/iadnat-b2b-ha.html#concept_B84CF5F06E264D41857A6095D8490AC4

https://supportforums.cisco.com/ja/document/12329921

 

正直、この構成についての理解はありませんので、見よう見まねで設定を入れてみたのですが、ローカルセグメント間の通信すら出来なくなる始末でした。

 

そこでお教えいただきたいのですが、上記方法、またはそれ以外の方法で、要件を満たすような構成を組むことは可能でしょうか?

1 Reply 1

Daijiro Kido
Cisco Employee
Cisco Employee

NAT B2B HA の動作についてですが、NAT B2B HA を利用する場合は、HSRP は必要ありません。

もしNAT B2B HA を動作させているセグメントにて同時に HSRP を有効にしているのであれば、HSRPを無効にすることで通信が不可となった問題については解消することも考えられますので、一度お試しいただければと思います。