ホーム‎ > ‎

IPマスカレード(NAPT,PAT,NAT+)を設定する

一般的に、インターネットなどの外部ネットワークに接続する場合、LANで使用しているIPアドレス(プライベートIPアドレス)は外部ネットワークでルーティングされませんので、外部ネットワークでルーティング可能なIPアドレス(インターネットの場合、グローバルIPアドレス)に変換する必要があります。
 
現在では、グローバルIPアドレスの枯渇問題などもあり、LAN上の1台の端末のプライベートIPアドレスとグローバルIPアドレスを1対1で変換する NAT(Network Address Translation)を使用するのではなく、LAN上の複数の端末のプライベートIPアドレスを、LANとインターネットの境界にあるネットワークデバイス(ルータ、L3スイッチ,FWなど)の外側インタフェースアドレス(グローバルIPアドレス)に集約(変換)するIPマスカレード(NAPT,PAT,NAT+)を使用します。
 
IPマスカレードは、ネットワークデバイスのメーカによって、呼び方(機能名)が異なっており、NAPT(Network Address Port Translation)と表示されていたり、PAT(Port Address Translation)と表示されていたりします。古河電工では、NAT+(Network Address Translator plus)と表示しているようです。
 
一般的に、IPマスカレードを使用すると、LAN側契機で通信を行った場合、外部ネットワーク(インターネットなど)宛の通信とその戻りの通信を行うことは可能です。その逆で、外部ネットワーク(インターネットなど)側契機でLAN上の端末と通信を行うことはできません。
 
実際に以下の構成で実機に設定してみます。
 

!
!  ログインIDとログインパスワードを入力して、F100にログインします
!
login: ****
Enter password:


Router>
!
!  特権ユーザモードへ移行します
!
Router>enable
Enter password:


Router#
!
!  作業領域のコンフィグ(working.cfg)を削除します
!
Router#clear working.cfg
WARNING: You DON'T have saved after editing working.cfg.
         If you clear, you lose working.cfg.
clear ok?(y/n)y

Router#
!
!  基本設定モードへ移行します
!
Router#configure terminal
Router(config)#
!
!  LANインターフェースの設定を行います
!  (LANインターフェースで1つ目のLANと接続します)
!
Router(config)#interface lan 1
Router(config-if lan 1)#ip address 192.168.0.1 255.255.255.0
Router(config-if lan 1)#exit
Router(config)#
!
!  EWAN2インターフェースの設定を行います
!  (EWAN2インターフェースで2つ目のLANと接続します)
!
Router(config)#interface ewan 2
Router(config-if ewan 2)#ip address 192.168.10.1 255.255.255.0
Router(config-if ewan 2)#ip mtu 1500
Router(config-if ewan 2)#exit
Router(config)#
!
!  EWAN1インターフェースの設定を行います
!  (EWAN1インターフェースで外部ネットワークと接続します)
!
Router(config)#interface ewan 1
Router(config-if ewan 1)#ip mtu 1500
Router(config-if ewan 1)#ip address 192.0.2.1 255.255.255.252
!
IPマスカレードの設定を行います。
!
Router(config-if ewan 1)#ip nat inside source list 99 interface   
!                   インタフェース送信時に、送信元アドレスを変換します
!                   ewan 1 インタフェースから送信される通信の送信元アドレスが、
!                    access-list 99で指定したアドレスとマッチした場合に、
!                    EWAN1インタフェースアドレス(192.0.2.1)に集約(変換)されます
Router(config-if ewan 1)#exit
Router(config)#
!
! access-listに変換前アドレスを登録します
(今回の場合、access-list 99に登録したアドレスがIPマスカレードの対象となります)
!
Router(config)#access-list 99 permit 192.168.0.0 0.0.0.255
Router(config)#access-list 99 permit 192.168.10.0 0.0.0.255
!
!  デフォルトルートを設定します
!
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.2
Router(config)#
!
!  特権ユーザモードに戻ります
!
Router(config)#end
Router#
!
!  作業領域の設定を確認します
!
Router#show working.cfg
!
!  FITELnet-F100
!  MAC Address: 0080.bd**.****
!  Hardware version: Ver 02.20-110804
!  Firmware version: V02.10(01) 101509
!
!  LAST EDIT    00:22:19 2010/03/14
!  LAST SAVE    --:--:-- ----/--/--
!
!  ======= 途中省略 =======
!
ip route 0.0.0.0 0.0.0.0 192.168.0.2
!
access-list 99 permit 192.168.0.0 0.0.0.255
access-list 99 permit 192.168.10.0 0.0.0.255
!
!  ======= 途中省略 =======
!
interface ewan 1
 ip mtu 1500
 ip address 192.0.2.1 255.255.255.252
 ip nat inside source list 99 interface
exit
interface ewan 2
 ip mtu 1500
 ip address 192.168.10.1 255.255.255.0
exit
interface lan 1
 ip address 192.168.0.1 255.255.255.0
exit
!
!  ======= 途中省略 =======
!
end

Router#
!
!  設定をSIDE-A.cfgに保存します
!
Router#save SIDE-A.cfg
% saving working-config
% finished saving

Router#
!
!  FITELnet-F100を再起させて、設定を適用させます
!
Router#reset
Going to reset with SIDE-A.frm and SIDE-A.cfg.
Boot-back not scheduled for next boot.
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start?(y/n)y

※PPPoE インタフェースに設定する場合は、以下のようになります
!
Router(config)#interface pppoe 1
Router(config-if pppoe 1)#ip nat inside source list 99 interface
Router(config-if pppoe 1)#exit
!
 
 
LAN上のPC(192.168.0.100)からWEBサイトを閲覧し、F100のNATのテーブルを表示させてみました。(一部編集あり)

!
!  NATのテーブルを表示させます
!
Router#show ip nat translation

Session summary (equipment total):
 Max sessions: 2048
 Reserved sessions: 0
 Active sessions: 4

List of active sessions:

 EWAN1
Local(address   port)    Global(address  port)   Remote(address  port) prot tm(s)
---------------------+---------------------+---------------------+----+-----
192.168.0.100    2002   192.0.2.1        2002   **.**.**.**        80  tcp  3597
192.168.0.100   56055  192.0.2.1       56055   **.**.**.**        53  udp   297
192.168.0.100    2001   192.0.2.1        2001   **.**.**.**        80  tcp  3597
192.168.0.100   64715  192.0.2.1       64715   **.**.**.**        53  udp   296


Router#

今回の場合、上記NATのテーブルの意味は以下のようになると思います。
  • 赤色 : 変換前送信元アドレス
  • 青色 : 変換後送信元アドレス
  • 緑色 : 宛先アドレス
 
 
 
 
 
 
Copyright (C) 2010 manabukun All Rights Reserved.