NAT 機能

19.3 NAT 処理の外側 IP アドレスの設定

[ 書式 ] nat descriptor address outer nat_descriptor outer_ipaddress_list no nat descriptor address outer nat_descriptor [outer_ipaddress_list]

[ 設定値 ] ^○ nat_descriptor .... NAT ディスクリプタ番号 (1..2147483647)

○ outer_ipaddress_listNAT 対象の外側 IP アドレス範囲のリストまたはニーモニック

● 1 個の IP アドレスまたは間に - をはさんだ IP アドレス ( 範囲指定 )、およびこれらを任意に並べたもの

● ipcp... PPP の IPCP の IP-Address オプションにより接続先から通知される IP アドレス

● primary^... ip interface addressコマンドで設定されている IP アドレス

● secondary... ip interface secondary addressコマンドで設定されている IP アドレス

[ 説明 ] 動的 NAT 処理の対象である外側の IP アドレスの範囲を指定する。IP マスカレードでは、先頭の 1 個の外側の IP アドレスが使用される。

[ ノート ] ニーモニックをリストにすることはできない。

適用されるインタフェースにより使用できるパラメータが異なる。

[ 初期値 ] ipcp

19.4 NAT 処理の内側 IP アドレスの設定

[ 書式 ] nat descriptor address inner nat_descriptor inner_ipaddress_list no nat descriptor address inner nat_descriptor [inner_ipaddress_list]

[ 設定値 ] ^○ nat_descriptor .... NAT ディスクリプタ番号 (1..2147483647)

○ inner_ipaddress_listNAT 対象の内側 IP アドレス範囲のリストまたはニーモニック

● 1 個の IP アドレス、または間に - をはさんだ IP アドレス ( 範囲指定 )、およびこれらを任意に並べたもの

● auto ... すべて

[ 説明 ] NAT/IP マスカレード処理の対象である内側の IP アドレスの範囲を指定する。

[ 初期値 ] auto

19.5 静的 NAT エントリの設定

[ 書式 ] nat descriptor static nat_descriptorid outer_ip=inner_ip [count] no nat descriptor static nat_descriptor id [outer_ip=inner_ip [count]]

[ 設定値 ] ^○ nat_descriptor .... NAT ディスクリプタ番号 (1..2147483647⁾

○ id... 静的 NAT エントリの識別情報 (1..2147483647⁾

○ outer_ip ... 外側 IP アドレス (1 個 )

○ inner_ip... 内側 IP アドレス (1 個 )

○ count

● 連続設定する個数

● 省略時は 1

[ 説明 ] NAT 変換で固定割り付けする IP アドレスの組み合せを指定する。個数を同時に指定すると指定されたアドレスを

始点とした範囲指定とする。

[ ノート ] 外側アドレスが NAT 処理対象として設定されているアドレスである必要は無い。

静的 NAT のみを使用する場合には、nat descriptor address outerコマンドとnat descriptor address innerコマンドの設定に注意する必要がある。初期値がそれぞれipcpとautoであるので、例えば何らかの IP アド レスをダミーで設定しておくことで動的動作しないようにする。

適用インタフェース LAN PP トンネル

ipcp × ○ ×

primary ○ × ×

secondary ○ × ×

IP アドレス ○ ○ ○

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

19.6 IP マスカレード使用時に rlogin,rcp と ssh を使用するか否かの設定

[ 書式 ] nat descriptor masquerade rlogin nat_descriptor use no nat descriptor masquerade rlogin nat_descriptor [use]

[ 設定値 ] ^○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)

○ use

● on... 使用する

● off... 使用しない

[ 説明 ] IP マスカレード使用時に rlogin、rcp、ssh の使用を許可するか否かを設定する。

[ ノート ] onにすると、rlogin、rcp と ssh のトラフィックに対してはポート番号を変換しなくなる。

またonの場合に rsh は使用できない。

[ 初期値 ] off

19.7 静的 IP マスカレードエントリの設定

[ 書式 ] nat descriptor masquerade static nat_descriptor id inner_ip protocol [outer_port=]inner_port no nat descriptor masquerade static nat_descriptor id [inner_ip protocol [outer_port=]inner_port]

[ 設定値 ] ^○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)

○ id... 静的 IP マスカレードエントリの識別情報 (1 以上の数値 )

○ inner_ip... 内側 IP アドレス (1 個 )

○ protocol

● esp... ESP

● tcp... TCP プロトコル

● udp... UDP プロトコル

● icmp... ICMP プロトコル

● プロトコル番号 .. IANA で割り当てられている protocol numbers

○ outer_port... 固定する外側ポート番号 ( ニーモニック )

○ inner_port... 固定する内側ポート番号 ( ニーモニック )

[ 説明 ] IP マスカレードによる通信でポート番号変換を行わないようにポートを固定する。

[ ノート ] outer_portとinner_portを指定した場合にはIPマスカレード適用時にインタフェースの外側から内側へのパケッ トはouter_port^からinner_portに、内側から外側へのパケットはinner_port^からouter_port^{へとポート番}

号が変換される。

outer_port^{を指定せず、}inner_portのみの場合はポート番号の変換はされない。

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

19.8 NAT の IP アドレスマップの消去タイマの設定

[ 書式 ] nat descriptor timer nat_descriptor time

nat descriptor timer nat_descriptor protocol=protocol [port=port_range] time nat descriptor timer nat_desciptor tcpfin time2

no nat descriptor timer nat_descriptor [time]

no nat descriptor timer nat_descriptor protocol=protocol [port=port_range] [time] no nat descriptor timer nat_desciptor tcpfin [time2]

[ 設定値 ] ^○ nat_descriptor .... NAT ディスクリプタ番号 (1..2147483647)

○ time ... 消去タイマの秒数 (30..21474836⁾

○ time2... TCP/FIN 通過後の消去タイマの秒数 (1-21474836⁾

○ protocol ... プロトコル

○ port_range... ポート番号の範囲、プロトコルが TCP または UDP の場合にのみ有効

[ 説明 ] NAT や IP マスカレードのセッション情報を保持する期間を表す NAT タイマを設定する。IP マスカレードの場合に は、プロトコルやポート番号別の NAT タイマを設定することもできる。指定されていないプロトコルの場合は、第 一の形式で設定した NAT タイマの値が使われる。

IP マスカレードの場合には、TCP/FIN 通過後の NAT タイマを設定することができる。TCP/FIN が通過したセッショ ンは終了するセッションなので、このタイマを短くすることで NAT テーブルの使用量を抑えることができる。

[ ノート ] 第 3、第 6 書式は、RTX1200、RTX800 で使用可能。

[ 初期値 ] TIME ...900, プロトコルごとの設定はなし TIME2...60

19.9 IP マスカレードテーブルの TTL 処理方式の設定

[ 書式 ] nat descriptor masquerade ttl hold type no nat descriptor masquerade ttl hold

[ 設定値 ] ^○ type

● auto ... 自動認識可能なアプリケーションのコネクションの制御チャネルとデータチャネルの TTL を同期させる

● all

...同じホストによる

すべての TCP コネクションを対象

● ftp... FTP の制御チャネルのみを対象

[ 説明 ] 制御チャネルとデータチャネルからなるアプリケーションにおいて、データチャネル上でのデータ転送中に、対応

する制御チャネルが消滅することによるデータ通信不良が発生しないようにするために、制御チャネルとデータ チャネルの両 IP マスカレードテーブルの TTL を同期させる方法を設定する。

autoと設定した場合には、ルーターが自動認識可能なアプリケーションのコネクションに対応するテーブルの TTL を同期させる。

allと設定した場合には、同じホストによるすべてのコネクションに対応するテーブルの TTL を同期させる。

ftpと設定した場合には、FTP コネクションに対応するテーブルの TTL のみを同期させる。

[ ノート ] allと設定した場合には、多くのテーブルの TTL が同期して、多くのテーブルが残留するために、内部リソースが枯

渇することがある。

autoと設定した場合に正常動作しないアプリケーションがあるときはallと設定しなければならない。

[ 初期値 ] auto

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

19.10 外側から受信したパケットに該当する変換テーブルが存在しないときの動作の設定

[ 書式 ] nat descriptor masquerade incoming nat_descriptoraction [ip_address] no nat descriptor masquerade incoming nat_descriptor

[ 設定値 ] ^○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)

○ action

● through... 変換せずに通す

● reject... 破棄して、TCP の場合は RST を返す

● discard... 破棄して、何も返さない

● forward... 指定されたホストに転送する

○ ip_address... 転送先の IP アドレス

[ 説明 ] IP マスカレードで外側から受信したパケットに該当する変換テーブルが存在しないときの動作を設定する。

action^がforwardのときにはip_addressを設定する必要がある。

[ 初期値 ] reject

19.11 IP マスカレードで利用するポートの範囲の設定

[ 書式 ] nat descriptor masquerade port range nat_descriptorport_range1 [port_range2 [port_range3]]

no nat descriptor masquerade port range nat_descriptor [port_range1 [port_range2 [port_range3]]]

[ 設定値 ] ^○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)

○ port_range1, port_range2, port_range3 間に - をはさんだポート番号の範囲

[ 説明 ] IP マスカレードで利用するポート番号の範囲を設定する。

ポート番号は、まず最初にport_range1の範囲から利用される。port_range1のポート番号がすべて使用中に なったら、port_range2の範囲のポート番号を使い始める。port_range1^、port_range2^{ともすべて使用中に}

なったら、port_range3の範囲のポート番号を使い始める。

[ ノート ] NAT の同時セッション数が 4096 となっている機種ではport_range1^{のみが設定でき、}port_range2^、3^は

設定も利用もできない。 port_range2、3が利用できるのは、以下の機種である。

[ 初期値 ] port_range1=60000-64095 port_range2=49152-59999

port_range3=24096-49151(RTX3000) port_range3=44096-49151(RTX1200)

19.12 FTP として認識するポート番号の設定

[ 書式 ] nat descriptor ftp port nat_descriptorport [port^...] no nat descriptor ftp port nat_descriptor [port...]

[ 設定値 ] ^○ nat_descriptor... NAT ディスクリプタの識別番号 (1..2147483647⁾

○ port... ポート番号 (1..65535)

[ 説明 ] TCP で、このコマンドにより設定されたポート番号を FTP の制御チャネルの通信だとみなして処理をする。

[ 初期値 ] 21

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

機種 NAT の同時セッション数

RTX3000 40000

RTX1200 20000

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

19.13 IP マスカレードで変換しないポート番号の範囲の設定

[ 書式 ] nat descriptor masquerade unconvertible port nat_descriptor if-possible nat descriptor masquerade unconvertible port nat_descriptorprotocolport no nat descriptor masquerade unconvertible port nat_descriptorprotocol [port]

[ 設定値 ] ^○ nat_descriptor .... NAT ディスクリプタの識別番号 (1..2147483647)

○ protocol

● tcp ... TCP

● udp ... UDP

○ port... ポート番号の範囲

[ 説明 ] IP マスカレードで変換しないポート番号の範囲を設定する。

if-possibleが指定されている時には、処理しようとするポート番号が他の通信で使われていない場合には値を変換

せずそのまま利用する。

[ 初期値 ] 設定されていない

19.14 NAT のアドレス割当をログに記録するか否かの設定

[ 書式 ] nat descriptor log switch no nat descriptor log

[ 設定値 ] ^○ switch

● on... 記録する

● off... 記録しない

[ 説明 ] NAT のアドレス割当をログに記録するか否かを設定します。

[ 初期値 ] off

19.15 SIP メッセージに含まれる IP アドレスを書き換えるか否かの設定

[ 書式 ] nat descriptor sip nat_descriptorsip no nat descriptor sip nat_descriptor

[ 設定値 ] ^○ nat_descriptor .... NAT ディスクリプタの識別番号 (1..2147483647)

○ sip

● on... 変換する

● off... 変換しない

[ 説明 ] 静的 NAT や静的 IP マスカレードで SIP メッセージに含まれる IP アドレスを書き換えるか否かを設定する。

[ 初期値 ] on

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

19.16 IP マスカレード変換時に DF ビットを削除するか否かの設定

[ 書式 ] nat descriptor masquerade remove df-bit remove no nat descriptor masquerade remove df-bit [remove]

[ 設定値 ] ^○ remove

● on... IP マスカレード変換時に DF ビットを削除する

● off... IP マスカレード変換時に DF ビットを削除しない

[ 説明 ] IP マスカレード変換時に DF ビットを削除するか否かを設定する。

DF ビットは経路 MTU 探索のために用いるが、そのためには長すぎるパケットに対する ICMP エラーを正しく発信元 まで返さなくてはいけない。しかし、IP マスカレード処理では IP アドレスなどを書き換えてしまうため、ICMP エ ラーを正しく発信元に返せない場合がある。そうなると、パケットを永遠に届けることができなくなってしまう。

このように、経路 MTU 探索のための ICMP エラーが正しく届かない状況を、経路 MTU ブラックホールと呼ぶ。

IP マスカレード変換時に同時に DF ビットを削除してしまうと、この経路 MTU ブラックホールを避けることができ る。その代わりに、経路 MTU 探索が行われないことになるので、通信効率が下がる可能性がある。

[ ノート ] ファストパス処理は、一度ノーマルパス処理で通過させたパケットの情報を保存しておき、同じ種類のパケットで

あれば高速に転送するという処理を行っている。そのため、例えばpingコマンドを実行した場合、最初の 1 回目 はノーマルパス処理、2 回目以降はファストパス処理となる。そのため、最初の 1 回は DF ビットが削除されるが、

2 回目以降は DF ビットが削除されないという状況だった。

[ 初期値 ] on

19.17 IP マスカレードで変換するセッション数の設定

[ 書式 ] nat descriptor masquerade session limit nat_descriptor id limit no nat descriptor masquerade session limit nat_descriptor id

[ 設定値 ] ^○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)

○ id... セッション数設定の識別番号 (1)

○ limit... 制限値 (1..40000)(RTX3000) 制限値 (1..20000)(RTX1200) 制限値 (1..4096)( 上記以外 )

[ 説明 ] ホスト毎に IP マスカレードで変換するセッションの最大数を設定する。

ホストはパケットの始点 IP アドレスで識別され、任意のホストを始点とした変換テーブルの登録数がlimit^に制

限される。

[ 初期値 ] 20000 (RTX1200) 4096 ( 上記以外 )

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

[ 適用モデル ] RTX3000 RTX1200 RTX1100 RTX800 RT107e

ドキュメント内 RTX/RTシリーズ コマンドリファレンス (ページ 187-194)