15.3
NAT 処理の外側 IP アドレスの設定
[ 書式 ] nat descriptor address outer nat_descriptor outer_ipaddress_list no nat descriptor address outer nat_descriptor [outer_ipaddress_list]
[ 設定値 ] ○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)
○ outer_ipaddress_listNAT 対象の外側 IP アドレス範囲のリストまたはニーモニック
● 1 個の IP アドレスまたは間に - をはさんだ IP アドレス ( 範囲指定 ) 、およびこれらを任意に並べたもの
● ipcp... PPP の IPCP の IP-Address オプションにより接続先から通知される IP アドレス
● primary... ip interface addressコマンドで設定されている IP アドレス
● secondary... ip interface secondary addressコマンドで設定されている IP アドレス
[ 説明 ] 動的 NAT 処理の対象である外側の IP アドレスの範囲を指定する。IP マスカレードでは、先頭の 1 個の外側の IP アドレスが使用される。
[ ノート ] ニーモニックをリストにすることはできない。
適用されるインタフェースにより使用できるパラメータが異なる。
[ 初期値 ] ipcp
15.4
NAT 処理の内側 IP アドレスの設定
[ 書式 ] nat descriptor address inner nat_descriptor inner_ipaddress_list no nat descriptor address inner nat_descriptor [inner_ipaddress_list]
[ 設定値 ] ○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)
○ inner_ipaddress_listNAT 対象の内側 IP アドレス範囲のリストまたはニーモニック
● 1 個の IP アドレス、または間に - をはさんだ IP アドレス ( 範囲指定 )、およびこれらを任意に並べたもの
● auto...すべて
[ 説明 ] NAT/IP マスカレード処理の対象である内側の IP アドレスの範囲を指定する。
[ 初期値 ] auto
15.5
静的 NAT エントリの設定
[ 書式 ] nat descriptor static nat_descriptorid outer_ip=inner_ip [count] no nat descriptor static nat_descriptor id [outer_ip=inner_ip [count]]
[ 設定値 ] ○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)
○ id... 静的 NAT エントリの識別情報 (1..2147483647)
○ outer_ip...外側 IP アドレス (1 個 )
○ inner_ip...内側 IP アドレス (1 個 )
○ count
● 連続設定する個数
● 省略時は 1
[ 説明 ] NAT 変換で固定割り付けする IP アドレスの組み合せを指定する。個数を同時に指定すると指定されたアドレスを
始点とした範囲指定とする。
[ ノート ] 外側アドレスが NAT 処理対象として設定されているアドレスである必要は無い。
静的 NAT のみを使用する場合には、nat descriptor address outerコマンドと nat descriptor address innerコマンドの設定に注意する必要がある。初期値がそれぞれipcpとautoであるので、例えば何らかのIP アドレ スをダミーで設定しておくことで動的動作しないようにする。
適用インタフェース LAN PP トンネル
ipcp × ○ ×
primary ○ × ×
secondary ○ × ×
IP アドレス ○ ○ ○
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
15.6
IP マスカレード使用時に rlogin,rcp と ssh を使用するか否かの設定
[ 書式 ] nat descriptor masquerade rlogin nat_descriptor use no nat descriptor masquerade rlogin nat_descriptor [use]
[ 設定値 ] ○ nat_descriptor...NAT ディスクリプタ番号 (1..2147483647)
○ use
● on...使用する
● off...使用しない
[ 説明 ] IP マスカレード使用時に rlogin、rcp、ssh の使用を許可するか否かを設定する。
[ ノート ] onにすると、rlogin、rcp と ssh のトラフィックに対してはポート番号を変換しなくなる。
また onの場合に rsh は使用できない。
[ 初期値 ] off
15.7
静的 IP マスカレードエントリの設定
[ 書式 ] nat descriptor masquerade static nat_descriptor id inner_ip protocol [outer_port=]inner_port no nat descriptor masquerade static nat_descriptor id [inner_ip protocol [outer_port=]inner_port]
[ 設定値 ] ○ nat_descriptor...NAT ディスクリプタ番号 (1..2147483647)
○ id...静的 IP マスカレードエントリの識別情報 (1 以上の数値 )
○ inner_ip...内側 IP アドレス (1 個 )
○ protocol
● esp...ESP
● tcp...TCP プロトコル
● udp...UDP プロトコル
● icmp...ICMP プロトコル
● プロトコル番号..IANA で割り当てられている protocol numbers
○ outer_port...固定する外側ポート番号(ニーモニック)
○ inner_port...固定する内側ポート番号(ニーモニック)
[ 説明 ] IP マスカレードによる通信でポート番号変換を行わないようにポートを固定する。
[ ノート ] outer_portと inner_portを指定した場合にはIP マスカレード適用時にインタフェースの外側から内側へのパケッ
トは outer_portから inner_portに、内側から外側へのパケットは inner_portから outer_portへとポート番号
が変換される。
outer_portを指定せず、inner_portのみの場合はポート番号の変換はされない。
15.8
NAT の IP アドレスマップの消去タイマの設定
[ 書式 ] nat descriptor timer nat_descriptor time
nat descriptor timer nat_descriptorprotocol=protocol[port=port_range]time no nat descriptor timer nat_descriptor [time]
no nat descriptor timer nat_descriptorprotocol=protocol[port=port_range][...]
[ 設定値 ] ○ nat_descriptor...NAT ディスクリプタ番号 (1..2147483647)
○ time...消去タイマの秒数 (30..21474836)
○ protocol...プロトコル
○ port_range...ポート番号の範囲、プロトコルが TCP または UDP の場合にのみ有効
[ 説明 ] NAT や IP マスカレードのセッション情報を保持する期間を表す NAT タイマを設定する。IP マスカレードの場合 には、プロトコルやポート番号別の NAT タイマを設定することもできる。指定されていないプロトコルの場合 は、第一の形式で設定した NAT タイマの値が使われる。
[ 初期値 ] 900
プロトコル毎の設定はなし
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
15.9
IP マスカレードテーブルの TTL 処理方式の設定
[ 書式 ] nat descriptor masquerade ttl hold type no nat descriptor masquerade ttl hold
[ 設定値 ] ○ type
● auto... 自動認識可能なアプリケーションのコネクションの制御チャネルとデータチャネルの TTL を同期させる
● all... 同じホストによるすべての TCP コネクションを対象
● ftp... FTP の制御チャネルのみを対象
[ 説明 ] 制御チャネルとデータチャネルからなるアプリケーションにおいて、データチャネル上でのデータ転送中に、対
応する制御チャネルが消滅することによるデータ通信不良が発生しないようにするために、制御チャネルとデー タチャネルの両 IP マスカレードテーブルの TTL を同期させる方法を設定する。
autoと設定した場合には、ルータが自動認識可能なアプリケーションのコネクションに対応するテーブルの TTL を同期させる。
allと設定した場合には、同じホストによるすべてのコネクションに対応するテーブルの TTL を同期させる。
ftpと設定した場合には、FTP コネクションに対応するテーブルの TTL のみを同期させる。
[ ノート ] all と設定した場合には、多くのテーブルの TTL が同期して、多くのテーブルが残留するために、内部リソースが 枯渇することがある。
autoと設定した場合に正常動作しないアプリケーションがあるときは allと設定しなければならない。
[ 初期値 ] auto
15.10
外側から受信したパケットに該当する変換テーブルが存在しないときの動作の設定
[ 書式 ] nat descriptor masquerade incoming nat_descriptoraction[ip_address] no nat descriptor masquerade incoming nat_descriptor
[ 設定値 ] ○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)
○ action
● through... 変換せずに通す
● reject...破棄して、TCP の場合は RST を返す
● discard... 破棄して、何も返さない
● forward... 指定されたホストに転送する
○ ip_address... 転送先の IP アドレス
[ 説明 ] IP マスカレードで外側から受信したパケットに該当する変換テーブルが存在しないときの動作を設定する。
actionが forwardのときには ip_addressを設定する必要がある。
[ 初期値 ] reject
15.11
IP マスカレードで利用するポートの範囲の設定
[ 書式 ] nat descriptor masquerade port range nat_descriptorport_range1 [port_range2 [port_range3]]
no nat descriptor masquerade port range nat_descriptor[port_range1 [port_range2 [port_range3]]]
[ 設定値 ] ○ nat_descriptor... NAT ディスクリプタ番号 (1..2147483647)
○ port_range1, port_range2, port_range3間に - をはさんだポート番号の範囲
[ 説明 ] IP マスカレードで利用するポート番号の範囲を設定する。
ポート番号は、まず最初に port_range1の範囲から利用される。port_range1のポート番号がすべて使用中に なったら、port_range2の範囲のポート番号を使い始める。port_range1、port_range2ともすべて使用中に なったら、port_range3の範囲のポート番号を使い始める。
[ ノート ] NAT の同時セッション数が 4096 となっている機種では port_range1のみが設定でき、port_range2、3は 設定も利用もできない。port_range2、3が利用できるのは NAT の同時セッション数が 40000 である RTX3000 のみとなる。
[ 初期値 ] port_range1= 60000-64095 port_range2= 49152-59999 port_range3= 24096-49151
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
15.12
FTP として認識するポート番号の設定
[ 書式 ] nat descriptor ftp port nat_descriptorport[port...] no nat descriptor ftp port nat_descriptor[port...]
[ 設定値 ] ○ nat_descriptor...NAT ディスクリプタの識別番号 (1..2147483647)
○ port...ポート番号 (1..65535)
[ 説明 ] TCP で、このコマンドにより設定されたポート番号を FTP の制御チャネルの通信だとみなして処理をする。
[ 初期値 ] 21
15.13
IP マスカレードで変換しないポート番号の範囲の設定
[ 書式 ] nat descriptor masquerade unconvertible port nat_descriptorif-possible nat descriptor masquerade unconvertible port nat_descriptorprotocolport no nat descriptor masquerade unconvertible port nat_descriptorprotocol[port]
[ 設定値 ] ○ nat_descriptor...NAT ディスクリプタの識別番号 (1..2147483647)
○ protocol
● tcp ... TCP
● udp ... UDP
○ port...ポート番号の範囲
[ 説明 ] IP マスカレードで変換しないポート番号の範囲を設定する。
if-possibleが指定されている時には、処理しようとするポート番号が他の通信で使われていない場合には値を変換
せずそのまま利用する。
[ 初期値 ] 設定されていない
15.14
NAT のアドレス割当をログに記録するか否かの設定
[ 書式 ] nat descriptor log switch no nat descriptor log
[ 設定値 ] ○ switch
● on...記録する
● off...記録しない
[ 説明 ] NAT のアドレス割当をログに記録するか否かを設定します。
[ 初期値 ] off
15.15
SIP メッセージに含まれる IP アドレスを書き換えるか否かの設定
[ 書式 ] nat descriptor sip nat_descriptorsip no nat descriptor sip nat_descriptor
[ 設定値 ] ○ nat_descriptor...NAT ディスクリプタの識別番号 (1..2147483647)
○ sip
● on...変換する
● off...変換しない
[ 説明 ] 静的 NAT や静的 IP マスカレードで SIP メッセージに含まれる IP アドレスを書き換えるか否かを設定する。
[ 初期値 ] on
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
15.16
IP マスカレード変換時に DF ビットを削除するか否かの設定
[ 書式 ] nat descriptor masquerade remove df-bit remove no nat descriptor masquerade remove df-bit [remove]
[ 設定値 ] ○ nat_descriptor... NAT ディスクリプタの識別番号 (1..2147483647)
○ remove
● on... IP マスカレード変換時に DF ビットを削除する
● off... IP マスカレード変換時に DF ビットを削除しない [ 説明 ] IP マスカレード変換時に DF ビットを削除するか否かを設定する。
DF ビットは経路 MTU 探索のために用いるが、そのためには長すぎるパケットに対する ICMP エラーを正しく発信 元まで返さなくてはいけない。しかし、IP マスカレード処理では IP アドレスなどを書き換えてしまうため、ICMP エラーを正しく発信元に返せない場合がある。そうなると、パケットを永遠に届けることができなくなってしま う。このように、経路 MTU 探索のための ICMP エラーが正しく届かない状況を、経路 MTU ブラックホールと呼 ぶ。
IP マスカレード変換時に同時に DF ビットを削除してしまうと、この経路 MTU ブラックホールを避けることがで きる。その代わりに、経路 MTU 探索が行われないことになるので、通信効率が下がる可能性がある。
[ ノート ] ファストパス処理は、一度ノーマルパス処理で通過させたパケットの情報を保存しておき、同じ種類のパケット
であれば高速に転送するという処理を行っている。そのため、例えば pingコマンドを実行した場合、最初の 1 回目はノーマルパス処理、2 回目以降はファストパス処理となる。そのため、最初の 1 回は DF ビットが削除され るが、2 回目以降は DF ビットが削除されないという状況だった。
[ 初期値 ] on
[ 適用モデル ] RTX3000 RTX1100 RT107e