キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
10956
閲覧回数
20
いいね!
0
コメント
Toshiaki Kasakake
Cisco Employee
Cisco Employee

本記事では ISRG2 Router における NAT Box to Box High Availability 機能の概要を説明します。

 

本機能のバックグラウンド

1. 機能概要

2. 基本構成

3. 基本設定

4. TAC調査に当たり取得いただきたいログ

 

本機能のバックグラウンド

 

これまで、Dynamic NAT を使用する Router の冗長化機能として、IOS では Stateful NAT 機能がありましたが、

15.0M 以降の IOS Version では Stateful NAT 機能は非サポートとなっております。

 

さらに Stateful NAT 機能自体も January 31, 2014 をもって End of Support となり、TAC でのサポートが終了いたします。

 

End-of-Sale and End-of-Life Announcement for the Cisco IOS Stateful Failover of Network Address Translation (SNAT)

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6640/end_of_life_notice_c51-611706.html

 

上記ではStateful NAT の代替機能として Cisco ASA Adaptive Security Appliance high availability が紹介されております。

 

その後、IOS 15.3(2)T 以降にて新たに NAT Box-to-Box High-Availability という機能が追加され、

この機能を用いることで、ISR G2 Router でも Stateful NAT と同様の冗長性を実現することが可能となります。

 

以下では NAT Box-to-Box High-Availability の概要、基本構成・設定、Troubleshooting に必要なログについて説明します。

return to top

1. 機能概要

NAT Box to Box High Availabitliy 機能(以下、NAT BtoB HA)は、NAT router における link や Router の予期せぬ問題への耐障害性を高める機能となります。

また Dynamic NAT での非対称ルーティング (asymmetric routing) もサポートされます。

NAT BtoB HA 機能は、Active-Standby を制御する Redundancy Group (RG) と呼ばれる機能

Network Address Translation (NAT) 機能の2つの構成要素からなります。

このため、NAT BtoB HA では RG/NAT の2つの構成要素について設定を行います。

現状では ALG が FTP application のみでサポートされる、等の制約事項もあるため、

導入に際しては以下などを参照の上、十分検証いただけますようお願いします。

Restrictions for NAT Box-to-Box High-Availability Support

http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr_nat/configuration/15-mt/iadnat-b2b-ha.html#reference_C93828C500774EA1A6C8C19313220C27

現在 NAT BtoB HA でサポートされている NAT 機能は以下となります。

Interface overload options はサポートされていないため、ご注意ください。

-Simple Static NAT configuration

-Extended Static NAT configuration

-Network Static NAT configuration

-Dynamic NAT and Port Address Translation (PAT) configuration

-NAT inside source, outside source, and inside destination rules

-NAT rules for Virtual Routing and Forwarding (VRF) instances to IP

-NAT rules for VRF-VRF (within same VRF)

return to top

2. 基本構成

NAT BtoB HA では以下の interface を定義する必要があります。

Figure. 1 に構成の概念的図を示します。

-NAT inside/outside interface

-RG control interface (RGにて管理情報のやり取りに使用)

-RG data interface (NAT session情報などのやり取りに使用)

-RG Asymmetric Routing (AR) interface (AR packetを Standby から Activeへの転送に使用, optional)

なお、RG Control/Data/AR interface を同一の物理 Interface に定義することも可能です。

Figure. 1

pic1.jpg


NAT BtoB HA では NAT inside/outside の両側を冗長させる(LAN-LAN)構成と、inside側のみを冗長させる(WAN-LAN)構成が実現可能です。それぞれ、Figure. 2 のような構成イメージとなります。

Figure. 2

pic2.jpg

return to top

3. 基本設定

以下では LAN-LAN と WAN-LAN のそれぞれの構成について、設定例を紹介します。

LAN-LAN 構成の設定例

ここでは Figure. 3 に示す構成を想定した設定例となります。

Stateful NAT とは異なり、HSRP の設定(standby ip コマンド等)は不要な点にもご注意ください。

Figure. 3

pic3.jpg

/// Router1 ///

redundancy

application redundancy

  group 1

   name RG1

   preempt

   priority 105

   control Ethernet0/1 protocol 1

   data Ethernet0/1


interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

redundancy rii 100

redundancy group 1 ip 192.168.1.254 exclusive decrement 100


interface Ethernet0/1

ip address 192.168.3.1 255.255.255.0


interface Ethernet1/0

ip address 192.168.2.1 255.255.255.0

ip nat outside

ip virtual-reassembly in

redundancy rii 101

redundancy group 1 ip 192.168.2.254 exclusive decrement 100


ip nat inside source static 192.168.1.3 192.168.2.3 redundancy 1 mapping-id 120

/// Router2 ///

redundancy

application redundancy

  group 1

   name RG1

   preempt

   control Ethernet0/1 protocol 1

   data Ethernet0/1


interface Ethernet0/0

ip address 192.168.1.2 255.255.255.0

ip nat inside

ip virtual-reassembly in

redundancy rii 100

redundancy group 1 ip 192.168.1.254 exclusive decrement 100


interface Ethernet0/1

ip address 192.168.3.2 255.255.255.0


interface Ethernet1/0

ip address 192.168.2.2 255.255.255.0

ip nat outside

ip virtual-reassembly in

redundancy rii 101

redundancy group 1 ip 192.168.2.254 exclusive decrement 100


ip nat inside source static 192.168.1.3 192.168.2.3 redundancy 1 mapping-id 120

 

WAN-LAN 構成の設定例

ここではFigure. 4に示す構成を想定した設定例となります。

また以下の機能設定も行っておりますが必須ではありません。

-RG Aymmetric-routing を使用 (*1)

-WAN側のRouting Protocol にOSPFを使用 (*2)

-Virtual IP (VIP) が Routing table にある場合のみ WAN側 Routing Protocol (OSPF) に再配送されるよう Track の設定を使用 (*3)

Figure. 4

pic4.jpg

/// Router1 ///

redundancy

application redundancy

  group 1

   name RG1

   preempt

   priority 105

   control Ethernet0/1 protocol 1

   data Ethernet0/1

   asymmetric-routing interface Ethernet0/1     (*1)

track 100 ip route 192.168.1.254 255.255.255.255 reachability     (*3)

interface Ethernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

redundancy rii 100

redundancy group 1 ip 192.168.1.254 exclusive decrement 100


interface Ethernet0/1

ip address 192.168.3.1 255.255.255.0


interface Ethernet1/0

ip address 10.1.1.1 255.255.255.0

ip nat outside

ip virtual-reassembly in

redundancy rii 101

redundancy asymmetric-routing enable     (*1)


router ospf 1     (*2)

router-id 10.1.1.1

redistribute static subnets

network 10.0.0.0 0.255.255.255 area 0

ip nat inside source static 192.168.1.3 10.10.10.10 redundancy 1 mapping-id 120


ip route 10.10.10.10 255.255.255.255 Ethernet0/0 track 100     (*3)

/// Router2 ///

redundancy

application redundancy

  group 1

   name RG1

   preempt

   control Ethernet0/1 protocol 1

   data Ethernet0/1

   asymmetric-routing interface Ethernet0/1     (*1)


track 100 ip route 192.168.1.254 255.255.255.255 reachability     (*3)


interface Ethernet0/0

ip address 192.168.1.2 255.255.255.0

ip nat inside

ip virtual-reassembly in

redundancy rii 100

redundancy group 1 ip 192.168.1.254 exclusive decrement 100


interface Ethernet0/1

ip address 192.168.3.2 255.255.255.0


interface Ethernet1/0

ip address 10.2.2.2 255.255.255.0

ip nat outside

ip virtual-reassembly in

redundancy rii 101

redundancy asymmetric-routing enable     (*1)


router ospf 1     (*2)

router-id 10.2.2.1

redistribute static subnets

network 10.0.0.0 0.255.255.255 area 0


ip nat inside source static 192.168.1.3 10.10.10.10 redundancy 1 mapping-id 120


ip route 10.10.10.10 255.255.255.255 Ethernet0/0 track 100     (*3)
return to top

4. TAC調査に当たり取得いただきたいログ

調査に当たり、まずは以下の情報などをご確認ください。

show ip nat redundancy <RG-id>

show ip nat translations redundancy <RG-id> [verbose]

show redundancy application group <RG-id>

show redundancy application protocol group <RG-id>

show ip route

show ip alias

show ip cef

show tech-support

商用環境でのdebug の取得は影響度に十分ご注意ください。

debug ip nat [detailed]

debug ip nat redundancy errors

debug ip nat redundancy messages [[detailed] [errors ]]

debug ip nat redundancy packets

debug ip nat redundancy db [errors]

debug ip nat redundancy cf

debug ip nat redundancy rf [errors]

(補足)特定のRGグループのセッションをクリアするには以下のコマンドを実行してください。

clear ip nat translation redundancy <RG-id> *

clear ip nat translation redundancy <RG-id> forced

 

上記で紹介した設定コマンドなどの詳細は以下の Cisco.com ページをご参照ください。

IP Addressing: NAT Configuration Guide, Cisco IOS Release 15M&T

NAT Box-to-Box High-Availability Support

http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr_nat/configuration/15-mt/iadnat-b2b-ha.htm

return to top
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします