NATの設定 ~ポリシーベースNAT編~

ベル

今回は、「ポリシーベースNATの設定」について教えていこうと思います。ポリシーベースNATと言われて、『あれね!』って思える方は、設定から読んでもらればいいと思いますが、『ポリシーベースNATって何?』とか『どんな時に使うの?』って思われる方は、最初から読んでもらればと思います。それ以前に『NATって何?』って思われる方は、前の授業から読んでください。

 

【NATの概要 ~基礎編~】

NATの概要 ~基礎編①~

NATの概要 ~基礎編②~

 

【NATの設定】

NATの設定 ~スタティックNAT編①~

NATの設定 ~スタティックNAT編②~

NATの設定 ~NAPT編~

 

 

ポリシーベースNATとは

ポリシーベースNATとは、NAT定義したアドレスをすべて変換させるのではなく、特定のルールに当てはまる通信だけをNAT変換させることが出来ます。例えば、10.1.1.1を10.1.100.1にNAT変換させる定義をしているのですが、宛先が10.1.2.1/32の時だけなどと定義することが可能となります。

 

 

『なんでそんなことをしているのか?』と疑問を持たれる方もいると思います。例えば、そもそも既存の環境などで10.1.3.0/24から10.1.1.1宛ての通信があったとします。そこに新しい通信要件として、10.1.2.0/24から10.1.1.1が増えました。しかし、ルータ4へ10.1.1.0/24のルートを配布できないとしたら、10.1.1.1を10.1.100.1にNAT変換させて、通信させる必要があります。

 

単純にNAT変換してしまうと既存の通信に影響が出てしまいますので、NAT変換が必要な通信にだけNAT変換させることが出来るのが、このポリシーベースNATとなります。

 

お勉強構成

それでは、お勉強構成を紹介させていただきます。今回は、以下のような構成で学んでいきましょう。ぜひ、自宅ラボで構成を組んでみてください。

 

 

【Cisco1812J】

CISCO Cisco 1812J 固定構成型 セキュアブロードバンドアクセスルータ CISCO1812-J/K9

中古価格
¥4,880から
(2018/10/16 21:51時点)

 

 

基本設定

それでは、基本設定をしていきます。インターフェイスの設定とルーティングの設定をしていきたいと思います。今回は簡単にスタティックルートで設定していきたいと思います。

 

インターフェイス設定

まずはインターフェイスの設定から行っていきます。今までの授業をちゃんと受けられている方であれば簡単ですね。物理構成を見ながら各インターフェイスにIPアドレスを設定していきましょう。

 

【RT1】

RT1(config)#interface Loopback0
RT1(config-if)#ip address 10.1.1.1 255.255.255.255
RT1(config-if)#!
RT1(config-if)#interface FastEthernet0
RT1(config-if)#ip address 10.10.1.1 255.255.255.0

 

【RT2】

RT2(config)#interface FastEthernet0
RT2(config-if)#ip address 10.10.2.2 255.255.255.0
RT2(config-if)#!
RT2(config-if)#interface FastEthernet1
RT2(config-if)#ip address 10.10.1.2 255.255.255.0

 

【RT3】

RT3(config)#interface Loopback0
RT3(config-if)#ip address 10.1.1.3 255.255.255.255
RT3(config-if)#!
RT3(config-if)#interface Loopback1
RT3(config-if)#ip address 10.1.1.13 255.255.255.255
RT3(config-if)#!
RT3(config-if)#interface FastEthernet0/0
RT3(config-if)#ip address 10.10.2.3 255.255.255.0

 

ここまでは問題なく設定できましたでしょうか?サブネットマスクなどに注意して設定していきましょうね!

 

ルーティング設定

それではルーティングの設定をしていこうと思います。今回はNATの設定に注目してもらいたいので、簡単にスタティックルートにしておきたいと思います。まずはルータ1ですが、特に難しく考えずにデフォルトルートの設定でネクストホップをルータ2にしておきたいと思います。

 

【RT1】

RT1(config)#ip route 0.0.0.0 0.0.0.0 10.10.1.2

 

次にルータ2ですが、今回の疎通確認で必要となるルータ1とルータ3のLoopbackアドレス向けにスタティックルートを設定しておきたいと思います。ネクストホップを間違えないように注意して設定しておきましょう。

 

【RT2】

RT2(config)#ip route 10.1.1.1 255.255.255.255 10.10.1.1
RT2(config)#ip route 10.1.1.3 255.255.255.255 10.10.2.3
RT2(config)#ip route 10.1.1.13 255.255.255.255 10.10.2.3

 

最後にルータ3ですが、最初に設定したルータ1と同じようにデフォルトルートを設定しておきましょう。

 

【RT3】

RT3(config)#ip route 0.0.0.0 0.0.0.0 10.10.2.2

 

ここまでは大丈夫でしょうか?それほど難しい設定ではないですが、サブネットマスクやネクストホップを間違えて通信できないなんてこともよくあることです。きちんと整理して、構成図を見ながら設定するようにしましょうね。

 

NATの設定

今回はルータ2でNATの設定をしていきます。お勉強構成を見ながらインターフェイスにNATのinsideとoutsideの設定を入れていこうと思います。

 

【RT2】

RT2(config)#interface FastEthernet0
RT2(config-if)#ip nat outside
RT2(config-if)#!
RT2(config-if)#interface FastEthernet1
RT2(config-if)#ip nat inside

 

続いて、inside側ローカルのIPアドレスをinsideグローバルのIPアドレスに変換する設定を追加していこうと思います。構成図にも書いてある通り、ルータ1のLoopbackアドレス『10.1.1.1/32』を『10.1.1.100/32』に変換させてみたいと思います。

 

【RT2】

RT2(config)#ip nat inside source static 10.1.1.1 10.1.1.100 route-map PB-NAT

 

「あれ?最後に『route-map PB-NAT』って変なんの付いてる」って思われた方もいるかもしれませんが、そう!これがポイントとなります!この『PB-NAT』と言う名前のルートマップに書かれたポリシーにマッチしたものだけがNAT変換されるようになるのです。それでは、ルートマップにポリシーを書いていこうと思います。

 

【RT2】

RT2(config)#route-map PB-NAT permit 10
RT2(config-route-map)#match ip address 100

 

ここで定義している『PB-NAT』と言う名前のルートマップの中にアクセスリストが定義されています。このアクセスリスト100にマッチしたIPアドレスに対してのみNAT変換されるようにできます。それでは具体的にIPアドレスを指定してみたいと思います。

 

RT2(config)#access-list 100 permit ip host 10.1.1.1 host 10.1.1.3

 

こにより『10.1.1.1』から『10.1.1.3』への通信のみがACLで許可されるようになりました。先程の復習にもなりますが、ACL100で『10.1.1.1』から『10.1.1.3』への通信だけがルートマップでNAT変換するポリシーとして定義されました。そのポリシーに当てはまる通信は、『10.1.1.1』から『10.1.1.100』に変換されて通信するようになりました。実際にそうなているかを疎通させながらステータスを確認していきたいと思います。

 

ステータス確認

それでは、ステータス確認を実施していきたいと思います。NATのエントリーが作られるかどうかを確認するため、ステータス確認する前にPing疎通を実行しておきたいと思います。NATのエントリーはすぐに消えてしまいますので、早く確認出来るように準備しておきましょうね。

 

まずは、NATエントリーが出来ないルータ3のLoopback1(10.1.1.13)へのPing疎通を実施して、NATエントリーが出来ていないことを確認してみましょう。

 

【RT1】

RT1#ping 10.1.1.13 source loopback 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.13, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

 

疎通が通ったことが確認出来たらルータ2で『show ip nat translations』コマンドで内容を確認してみましょう。ICMPのNATエントリーが出来ていなければ、想定通りです。

 

【RT2】

RT2#show ip nat translations
Pro Inside global    Inside local    Outside local     Outside global
—  10.1.1.100      10.1.1.1        —                    —

 

ここで表示されている最初に一行目(—  10.1.1.100      10.1.1.1    —     —)は、スタティックNATとして定義されているだけですので、通信が来て出来たNATエントリーではありませんのでご注意を。通信は出来ているのに、NATエントリーが出来ないということは、NAT変換されないまま通信ができているということになります。それでは、いよいよNAT変換される通信を発生させてみたいと思います。宛先はルータ3のLoopback0のアドレス向けとなります。

 

【RT1】

RT1#ping 10.1.1.3 source loopback 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

 

先程作成したACLで定義したポリシーに当てはまる通信となるので、NATエントリーが出来ているはずです。ルータ2に入ってNATテーブルを確認してみましょう。エントリーが出来ていたら成功です。

 

【RT2】

RT2#show ip nat translations
Pro     Inside global      Inside local     Outside local     Outside global
icmp  10.1.1.100:5    10.1.1.1:5     10.1.1.3:5        10.1.1.3:5
—      10.1.1.100        10.1.1.1         —                    —

 

このように必要な通信だけをNAT変換させることが出来るのが、ポリシーベースNATとなります。

 

まとめ

ベル

今回の授業は、いかがでしたか?何でもNAT変換すればいいのではなく、必要な時にだけNAT変換させるようにしたのが、このポリシーベースNATとなります。しっかり覚えておくと、いざと言うときに役に立つはずです。しっかり復習しておきましょうね!

 

Follow me!

NATの設定 ~ポリシーベースNAT編~” に対して1件のコメントがあります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です