Dynamic NAT の設定例

Ryota Takao · ‎2017-04-26

概要
ネットワーク構成
設定例
設定の説明
動作確認
トラブルシューティング
関連情報

概要

NAT は、組織の IP ネットワークを外部から見たときに、実際に使用されているものとは異なる IP アドレス空間が使用されているように見せる機能です。
このドキュメントでは Dynamic NAT の設定例を示します。Dynamic NAT では N 対 N の Translation を定義します。
NAT の詳しい概要についてはこのドキュメントの最後にある「関連情報」の Link を参照してください。
なお、このドキュメントの内容は 15.6(3)M1 を使用して動作確認を行っています。

ネットワーク構成

Router の IOS version : 15.6(3)M1

設定例

Router

!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.0
ip nat outside
!
ip nat pool POOL 172.16.1.90 172.16.1.99 netmask 255.255.255.0
ip nat inside source list 1 pool POOL
!
access-list 1 permit 192.168.1.0 0.0.0.255
!

設定の説明

ip nat inside

インターフェースが inside network であることを指定します。

ip nat outside

インターフェースが outside network であることを指定します。

ip nat pool <Pool name> <Start IP address> <End IP address> [ netmask <mask> | prefix-length <length> ]

NAT変換する inside global address、または、outside local address を定義します。
ip nat inside source list <access-list number> pool <Pool name> と関連付けて使用した場合は、inside global address の範囲を定義することになります。
ip nat outside source list <access-list number> pool <Pool name> と関連付けて使用した場合は、outside local address の範囲を定義することになります。

ip nat inside source list <standard access-list> pool <Pool name>

NAT変換対象を定義する ACL と Pool name を関連付けます。
inside 側から outside 側へ通過する際に、パケットの source address が standard access-list に合致すれば source address が <Pool name> に対応する pool のアドレスに変換されます。

ip nat outside source list <standard access-list> pool <Pool name>

NAT変換対象を定義する ACL と Pool name を関連付けます。
outside 側から inside 側へ通過する際に、パケットの source address が standard access-list に合致すれば source address が <Pool name> に対応する pool のアドレスに変換されます。

ip nat inside source list <extended access-list> pool <Pool name>

NAT変換対象を定義する ACL と Pool name を関連付けます。
inside 側から outside 側へ通過する際に、パケットの source address と destination アドレスが extended access-list に合致すれば source address が <Pool name> に対応する pool のアドレスに変換されます。

ip nat outside source list <standard access-list> pool <Pool name>

NAT変換対象を定義する ACL と Pool name を関連付けます。
outside 側から inside 側へ通過する際に、パケットの source address と destination アドレスが extended access-list に合致すれば source address が <Pool name> に対応する pool のアドレスに変換されます。

この例では以下のように設定しています。

ip nat pool POOL 172.16.1.90 172.16.1.99 netmask 255.255.255.0
ip nat inside source list 1 pool POOL
!
access-list 1 permit 192.168.1.0 0.0.0.255

そのため、inside 側から outside 側へ通過するパケットの source address が 192.168.1.0/24 であれば、パケットの source アドレスが 172.16.1.90 ～ 172.16.1.99 の範囲の IP address に変換されます。

動作確認

各種コマンドで NAT 変換が正常に行われているか確認します。

NAT 変換前の show ip nat translations

Router#show ip nat translations
Router#

上記のように translation entry には何も表示されません。Static NAT とは異なり、初期状態では simple translation entry もありません。
＊inside or outside に対応した local/global address entry のみが作成されているものを simple translation entry と呼びます。

show ip route

Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.1.0/24 is directly connected, Ethernet0/1
L 172.16.1.1/32 is directly connected, Ethernet0/1
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, Ethernet0/0
L 192.168.1.1/32 is directly connected, Ethernet0/0
Router#

NAT のエントリがないため、inside global address はルーティングテーブルには載りません。

NAT 変換前の show ip aliases

Router#show ip aliases
Address Type IP Address Port
Interface 172.16.1.1
Interface 192.168.1.1
Router#

NAT のエントリがないため、inside global address の ip alias は作成されません。

NAT 変換時の debug ip nat の出力

*Apr 21 02:26:42.668: NAT*: s=192.168.1.100->172.16.1.90, d=172.16.1.100 [180]
*Apr 21 02:26:42.669: NAT*: s=172.16.1.100, d=172.16.1.90->192.168.1.100 [180]
*Apr 21 02:26:42.674: NAT*: s=192.168.1.100->172.16.1.90, d=172.16.1.100 [181]
*Apr 21 02:26:42.674: NAT*: s=172.16.1.100, d=172.16.1.90->192.168.1.100 [181]
*Apr 21 02:26:42.677: NAT*: s=192.168.1.100->172.16.1.90, d=172.16.1.100 [182]
*Apr 21 02:26:42.677: NAT*: s=172.16.1.100, d=172.16.1.90->192.168.1.100 [182]
*Apr 21 02:26:42.682: NAT*: s=192.168.1.100->172.16.1.90, d=172.16.1.100 [183]
*Apr 21 02:26:42.682: NAT*: s=172.16.1.100, d=172.16.1.90->192.168.1.100 [183]
*Apr 21 02:26:42.686: NAT*: s=192.168.1.100->172.16.1.90, d=172.16.1.100 [184]
*Apr 21 02:26:42.687: NAT*: s=172.16.1.100, d=172.16.1.90->192.168.1.100 [184]

NAT 変換の様子を確認するため Router にて debug ip nat を有効にした状態で Host 1(192.168.1.100)から Host 2(172.16.1.100) へ ping を行い、NAT 変換が行われていることを確認します。
＊debug を使用する場合は CPU の使用率が高騰する恐れがあるのでご注意ください。
ping を行うと上記のように inside から outside へ通過する際に、source が 192.168.1.100 から 172.16.1.90 に変換されます。また、戻りのパケットが、outside から inside に通過する際に destnation が 172.16.1.90 から 192.168.1.100 に変換されます。

NAT 変換直後の show ip nat translations

Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 172.16.1.90:36 192.168.1.100:36 172.16.1.100:36 172.16.1.100:36
--- 172.16.1.90 192.168.1.100 --- ---
Router#

simple translation entry(下側のエントリ) と、fully extended translation entry(上側のエントリ) が作成されます。
＊Inside global, Inside local, Outside local, Outside global の IP address と port 番号が全て記載されたものを fully extended translation entry と呼びます。
simple translation entry がある場合、outside 側から発生した通信についても NAT 変換を行うことが可能です。

NAT 変換直後の show ip route

Router#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.16.1.0/24 is directly connected, Ethernet0/1
L 172.16.1.1/32 is directly connected, Ethernet0/1
L 172.16.1.90/32 is directly connected, Ethernet0/1
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, Ethernet0/0
L 192.168.1.1/32 is directly connected, Ethernet0/0
Router#

上記のように inside global address(172.16.1.90) が local route としてルーティングテーブルに載ります。

NAT 変換直後の show ip aliases

Router#show ip aliases
Address Type IP Address Port
Interface 172.16.1.1
Dynamic 172.16.1.90
Interface 192.168.1.1
Router#

inside global address(172.16.1.90) の ip alias が作成されます。
inside global address(172.16.1.90) の ip alias が作成されると、inside global address(172.16.1.90) と ip nat outside が設定されている interface の IP address(172.16.1.1) が同じサブネットの場合に inside global address(172.16.1.90) の ARP request に Router が応答します。

トラブルシューティング

以下のLink を参照してください。

NAT Troubleshooting Commands