管理メニュー

DynagenでCCIEを目指す

NAT

最終更新:

it_certification

- view
管理者のみ編集可

1. 目的

  • NATを設定する方法を確認します。

2. 構成

2.1. 設定概要

  • 初期設定はIPアドレスのみです。

2.2. 構成図

2.3. netファイル

model = 3620
[localhost]
	
	[[3620]]
		image = C:\Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin
		ram = 128
	
	[[ROUTER R1]]
		f0/0 = NIO_gen_eth:\Device\NPF_{Host OS Loopback}
		f1/0 = NIO_gen_eth:\Device\NPF_{Guest OS eth 1}

2.4. 初期設定

  • R1
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 200.200.200.1 255.255.255.0
 duplex auto
 speed auto
!
ip http server
no ip http secure-server
!
!
!
no cdp run
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

2.5. Apache 設定

ホストOSにApacheをインストールし、ポートベースのバーチャルホストを定義します。構築方法はトップページ/手順書 サーバ系/Apache HTTP Server バーチャルホストの設定を参考にして下さい。
この検証例で実際に使用したhttpd.confの要所となる部分を以下に記載します。 
Listen 10880
Listen 10881
Listen 10882

NameVirtualHost *:10880
NameVirtualHost *:10881
NameVirtualHost *:10882

<VirtualHost *:10880>
    DocumentRoot "C:/Program Files/Apache Software Foundation/Apache2.2/htdocs"
</VirtualHost>

<VirtualHost *:10881>
    DocumentRoot "C:/Program Files/Apache Software Foundation/Apache2.2/htdocs10881"
</VirtualHost>

<VirtualHost *:10882>
    DocumentRoot "C:/Program Files/Apache Software Foundation/Apache2.2/htdocs10882"
</VirtualHost>

3. [検証] static NAT

3.1. 設定投入

内部I/Fと外部I/Fを定義します。 
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip nat inside

*Mar  1 00:07:05.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up
R1(config-if)#exit
R1(config)#
R1(config)#
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip nat outside
変換するアドレスを定義します。 
R1(config)#ip nat source static 192.168.200.100 200.200.200.100

3.2. 疎通確認

Host OS側でstatic routeを定義した後に、Guest OS宛てにping疎通確認を行います。
(NATで変換された結果、Guest OS側からは同一セグメントからのpingのように見えるので、Guest OS側にstatic routeの設定は不要です。) 
C:\>route add 200.200.200.0 mask 255.255.255.0 192.168.200.1

C:\>ping 200.200.200.101

Pinging 200.200.200.101 with 32 bytes of data:

Request timed out.
Reply from 200.200.200.101: bytes=32 time=91ms TTL=63
Reply from 200.200.200.101: bytes=32 time=47ms TTL=63
Reply from 200.200.200.101: bytes=32 time=47ms TTL=63

Ping statistics for 200.200.200.101:
    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
    Minimum = 47ms, Maximum = 91ms, Average = 61ms

C:\>

3.3. 設定確認

showコマンドにより、どのようにIPアドレスが変換されたのかを確認します。 
R1#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 200.200.200.100    192.168.200.100    ---                ---
R1#

debugを有効にし、上記のpingが変換される様子を観察します。 
R1#debug ip nat
IP NAT debugging is on
R1#
*Mar  1 00:04:48.163: NAT*: s=192.168.200.100->200.200.200.100, d=200.200.200.101 [63427]
*Mar  1 00:04:48.167: NAT*: s=200.200.200.101, d=200.200.200.100->192.168.200.100 [41840]
*Mar  1 00:04:49.163: NAT*: s=192.168.200.100->200.200.200.100, d=200.200.200.101 [63450]
*Mar  1 00:04:49.187: NAT*: s=200.200.200.101, d=200.200.200.100->192.168.200.100 [41841]
*Mar  1 00:04:50.163: NAT*: s=192.168.200.100->200.200.200.100, d=200.200.200.101 [63473]
*Mar  1 00:04:50.187: NAT*: s=200.200.200.101, d=200.200.200.100->192.168.200.100 [41842]
*Mar  1 00:04:51.163: NAT*: s=192.168.200.100->200.200.200.100, d=200.200.200.101 [63497]
*Mar  1 00:04:51.183: NAT*: s=200.200.200.101, d=200.200.200.100->192.168.200.100 [41843]
R1#

Guest OS側のarpテーブルを確認し、確かにIPアドレスが変換されて届いている事を確認します。 
[root@localhost ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
10.0.2.3                 ether   52:54:00:12:35:03   C                     eth0
200.200.200.100          ether   cc:00:08:d8:00:10   C                     eth1 <- 192.168.200.100が200.200.200.100に変換された事を確認
10.0.2.2                 ether   52:54:00:12:35:02   C                     eth0
[root@localhost ~]#

4. [検証] dynamic NAT

4.1. 設定投入

上記検証で投入したstatic NATの設定を削除し、Dynamic NATの設定を投入します。192.168.200.0/24のアドレスを192.168.200.128から192.168.200.253に変換する設定を投入します。 
R1(config)#no ip nat inside source static 192.168.200.100 200.200.200.100
R1(config)#
R1(config)#
R1(config)#ip nat pool N-Dynamic 200.200.200.128 200.200.200.253 netmask 255.255.255.0
R1(config)#ip nat inside source list N-List pool N-Dynamic
R1(config)#
*Mar  1 00:24:51.547: ipnat_add_dynamic_cfg_common: id 2, flag 5, range 1
*Mar  1 00:24:51.551: id 2, flags 0, domain 0, lookup 0, aclnum 0, aclname N-List, mapname  idb 0x00000000
*Mar  1 00:24:51.551: poolstart 200.200.200.128   poolend 200.200.200.253
R1(config)#
R1(config)#ip access-list standard N-List
R1(config-std-nacl)#permit 192.168.200.0 0.0.0.255

4.2. 疎通確認

Host OSからGuest OSへのpingによる疎通確認を行います。 
C:\>ping 200.200.200.101

Pinging 200.200.200.101 with 32 bytes of data:

Reply from 200.200.200.101: bytes=32 time=180ms TTL=63
Reply from 200.200.200.101: bytes=32 time=47ms TTL=63
Reply from 200.200.200.101: bytes=32 time=47ms TTL=63
Reply from 200.200.200.101: bytes=32 time=47ms TTL=63

Ping statistics for 200.200.200.101:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 47ms, Maximum = 180ms, Average = 80ms

C:\>

4.3. 設定確認

showコマンドにより、どのようにIPアドレスが変換されたのかを確認します。 
R1#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 200.200.200.128    192.168.200.100    ---                ---
R1#

debugを有効にし、上記のpingが変換される様子を観察します。 
R1#debug ip nat
IP NAT debugging is on
R1#
*Mar  1 00:27:04.427: NAT: s=192.168.200.100->200.200.200.128, d=200.200.200.101 [31522]
*Mar  1 00:27:04.535: NAT*: s=200.200.200.101, d=200.200.200.128->192.168.200.100 [36956]
*Mar  1 00:27:05.383: NAT*: s=192.168.200.100->200.200.200.128, d=200.200.200.101 [31543]
*Mar  1 00:27:05.411: NAT*: s=200.200.200.101, d=200.200.200.128->192.168.200.100 [36957]
*Mar  1 00:27:06.391: NAT*: s=192.168.200.100->200.200.200.128, d=200.200.200.101 [31566]
*Mar  1 00:27:06.411: NAT*: s=200.200.200.101, d=200.200.200.128->192.168.200.100 [36958]
*Mar  1 00:27:07.387: NAT*: s=192.168.200.100->200.200.200.128, d=200.200.200.101 [31587]
*Mar  1 00:27:07.411: NAT*: s=200.200.200.101, d=200.200.200.128->192.168.200.100 [36959]
R1#

5. [検証] port static NAT

5.1. 設定投入

上記検証で投入した設定を削除し、tcp NATの設定を投入します。 
R1(config)#no ip nat inside source list N-List pool N-Dynamic
R1(config)#no ip nat pool N-Dynamic 200.200.200.128 200.200.200.253 netmask 255.255.255.0
R1(config)#
R1(config)#
R1(config)#ip nat inside source static tcp 192.168.200.100 10880 200.200.200.100 20880

5.2. 疎通確認

上記設定では、192.168.200.100の10880番ポートが200.200.200.100の20880番ポートに変換されます。Host OSのApacheは10880番ポートで待ち受けている設定になっているので、Guest OSからは20880番ポート宛てにアクセスすればApacheにリクエストを送信する事ができるはずです。
Guest OSからHost OSへのHTTPによる疎通確認を行います。ステータスコードが200である事を確認して下さい。 
[root@localhost ~]# wget -O /dev/null http://200.200.200.100:20880/
--2010-09-24 10:15:21--  http://200.200.200.100:20880/
Connecting to 200.200.200.100:20880... connected.
HTTP request sent, awaiting response... 200 OK     <- ステータスコードが200である事を確認します。
Length: 44 [text/html]
Saving to: `/dev/null'

100%[================================================>] 44          --.-K/s   in 0s

2010-09-24 10:15:21 (8.59 KB/s) - `/dev/null' saved [44/44]

[root@localhost ~]#

6. [検証] outside NAT

6.1. 設定投入

outside NATの設定および挙動を確認します。以下の設定を投入し、outside側でNATされるように設定します。 
R1(config)#no ip nat inside source static tcp 192.168.200.100 10880 200.200.200.100 20880
R1(config)#no ip access-list standard N-List
R1(config)#
R1(config)#
R1(config)#ip nat outside source static 200.200.200.101 192.168.200.101

6.2. 疎通確認

Guest OS側でstatic routeを定義した後に、Host OSへの疎通確認を行います。pingがなぜか届かない事を確認します。 
[root@localhost ~]# route add -net 192.168.200.0/24 gw 200.200.200.1
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# ping 192.168.200.100
PING 192.168.200.100 (192.168.200.100) 56(84) bytes of data.
^C
--- 192.168.200.100 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 8021ms

[root@localhost ~]#

6.3. 原因調査

デバッグメッセージを確認すると、Host OSからGuest OSへの戻りのパケットがNAT変換されていない事が確認できます。
これは「NATの処理順序」に起因します。Inside(local address)からOutside(global address)に変換しようとする際の順序は、ルーティングを行ってからNAT変換を行います。つまり、戻りのパケットは宛先が192.168.200.101であるため、NAT変換される前にパケットがルータに目的地に到達してしまい処理が終了してしまいます。
(詳細は、「NATの処理順序」で検索して下さい。また、「ネットワークエンジニアとして」のWebサイトもかなり参考になると思います。) 
R1#debug ip
*Mar  1 00:03:49.755: %SYS-5-CONFIG_I: Configured from console by consolenat
IP NAT debugging is on
R1#
*Mar  1 00:04:33.915: NAT: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:34.911: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:35.911: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:36.911: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:37.911: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:38.911: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:39.907: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
*Mar  1 00:04:40.907: NAT*: s=200.200.200.101->192.168.200.101, d=192.168.200.100 [0]
R1#

6.4. 強引な回避方法

「ネットワークエンジニアとして」のWebサイトを参考にした回避方法です。ルータ上に存在しないIPアドレスに変換し、そのアドレスのルーティングを設定する事で、上記トラブルを回避する事ができます。設定例は以下の通りです。 
R1(config)#no ip nat outside source static 200.200.200.101 192.168.200.101

Static entry in use, do you want to delete child entries? [no]: yes
R1(config)#
R1(config)#ip nat outside source static 200.200.200.101 100.100.100.101
R1(config)#
*Mar  1 00:22:07.231: ipnat_add_static_cfg: id 2, flag 6
*Mar  1 00:22:07.235: id 2, flags 0, domain 1, lookup 1, from_addr 64646465, from_mask FFFFFFFF, from_port 0, to_addr C0A8C865, to_port 0 to_mask FFFFFFFF, proto 0
R1(config)#
R1(config)#ip route 100.100.100.0 255.255.255.0 FastEthernet 1/0

Host OS側で戻りパケットをルーティングできるようstatic routeを定義します。 
C:\>route add 100.100.100.0 mask 255.255.255.0 192.168.200.1

C:\>

Guest OSからHost OSへの疎通可能な事を確認します。 
[root@localhost ~]# ping 192.168.200.100
PING 192.168.200.100 (192.168.200.100) 56(84) bytes of data.
64 bytes from 192.168.200.100: icmp_seq=1 ttl=127 time=59.9 ms
64 bytes from 192.168.200.100: icmp_seq=4 ttl=127 time=30.0 ms
^C
--- 192.168.200.100 ping statistics ---
4 packets transmitted, 2 received, 50% packet loss, time 3629ms
rtt min/avg/max/mdev = 30.000/44.999/59.999/15.000 ms
[root@localhost ~]#

デバッグメッセージを見て想定通りのNATがされている事を確認します。 
R1#
*Mar  1 00:26:47.451: NAT: s=200.200.200.101->100.100.100.101, d=192.168.200.100 [0]
*Mar  1 00:26:47.503: NAT: s=192.168.200.100, d=100.100.100.101->200.200.200.101 [45191]
*Mar  1 00:26:48.475: NAT*: s=200.200.200.101->100.100.100.101, d=192.168.200.100 [0]
*Mar  1 00:26:49.471: NAT*: s=200.200.200.101->100.100.100.101, d=192.168.200.100 [0]
*Mar  1 00:26:50.471: NAT*: s=200.200.200.101->100.100.100.101, d=192.168.200.100 [0]
*Mar  1 00:26:50.491: NAT*: s=192.168.200.100, d=100.100.100.101->200.200.200.101 [45268]
R1#

7. [補足] 対応していないIOS

7.1. 現象

以下の通り、NATの設定が反映されない事もあります。 
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip nat inside

*Mar  1 00:07:05.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up
R1(config-if)#exit
R1(config)#
R1(config)#
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#
R1(config)#
R1(config)#ip nat source static 192.168.200.100 200.200.200.100
R1(config)#
R1(config)#
R1(config)#do show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
R1(config)#

7.2. IOSのバージョン

この現象が発生したIOSは以下の通りです。 
R1#show version
Cisco IOS Software, 3600 Software (C3660-IK9O3S-M), Version 12.4(6)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Thu 23-Feb-06 00:08 by ccai

ROM: ROMMON Emulation Microcode
ROM: 3600 Software (C3660-IK9O3S-M), Version 12.4(6)T, RELEASE SOFTWARE (fc1)

R1 uptime is 23 minutes
System returned to ROM by unknown reload cause - suspect boot_data[BOOT_COUNT] 0x0, BOOT_COUNT 0, BOOTDATA 19
System image file is "tftp://255.255.255.255/unknown"
「NAT」をウィキ内検索
添付ファイル
DynagenでCCIEを目指す
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
  2. トップページ/動作検証 ネットワーク系/Shaping Using MQC
  3. トップページ/手順書 サーバ系/coLinux0.7.5 + CentOS5.4 インストールツールによる導入手順
  4. トップページ/動作検証 ネットワーク系/20100506 IS-IS 複数デフォルトゲートウェイ
  5. トップページ/動作検証 ネットワーク系/20100816 IP Accounting
  6. トップページ/動作検証 ネットワーク系/20100531 BGP フィルタの設定
  7. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  8. トップページ/動作検証 ネットワーク系/20100330 ipv6 static route
  9. トップページ/動作検証 ネットワーク系/20100530 BGP 基本設定
  10. トップページ/手順書 ネットワーク系/VLC media player (Windows版) 操作手順
もっと見る
最近更新されたページ
もっと見る
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100822 TFTP, FTP, SCP
  2. トップページ/動作検証 ネットワーク系/Shaping Using MQC
  3. トップページ/手順書 サーバ系/coLinux0.7.5 + CentOS5.4 インストールツールによる導入手順
  4. トップページ/動作検証 ネットワーク系/20100506 IS-IS 複数デフォルトゲートウェイ
  5. トップページ/動作検証 ネットワーク系/20100816 IP Accounting
  6. トップページ/動作検証 ネットワーク系/20100531 BGP フィルタの設定
  7. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  8. トップページ/動作検証 ネットワーク系/20100330 ipv6 static route
  9. トップページ/動作検証 ネットワーク系/20100530 BGP 基本設定
  10. トップページ/手順書 ネットワーク系/VLC media player (Windows版) 操作手順
もっと見る
最近更新されたページ
もっと見る
ウィキ募集バナー