実習 : ダイナミック NAT とスタティック NAT の設定 トポロジ アドレステーブル デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ ゲートウェイ G0/ N/A S0/0/

実習：ダイナミック

NAT とスタティック NAT の設定

トポロジ

アドレス

_テーブル

デバイス インターフェイス IP アドレス サブネット マスク デフォルト ゲートウェイ ゲートウェイ _{G0/1 192.168.1.1 255.255.255.0 N/A} S0/0/1 209.165.201.18 255.255.255.252 N/A ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/A Lo0 192.31.7.1 255.255.255.255 N/A PC-A（シミュレート されたサーバ） _{NIC 192.168.1.20 255.255.255.0 192.168.1.1} PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1

学習目標

パート _{1：ネットワークの構築と接続の確認} パート _{2：スタティック NAT の設定と確認} パート _{3：ダイナミック NAT の設定と確認}

背景

/シナリオ

ネットワーク アドレス変換（NAT）は、シスコのルータなどのネットワーク デバイスがプライベート ネットワーク内のホ スト _{デバイスにパブリック アドレスを割り当てるプロセスです。NAT を使用する主な理由は、使用可能な IPv4 パブ} リック _{アドレスの数に制限があるため、組織が使用するパブリック IP アドレスの数を減らすためです。}

この実習では、_{ISP は会社に 209.165.200.224/27 のパブリック IP アドレス空間を割り当てています。これにより、会} 社に 30 個のパブリック IP アドレスが提供されます。アドレス、209.165.200.225 ～ 209.165.200.241 はスタティック 割り当て用で、_{209.165.200.242 ～ 209.165.200.254 はダイナミック割り当て用です。スタティック ルートは、ISP と} ゲートウェイ ルータの間で使用され、デフォルト ルートはゲートウェイと ISP ルータの間で使用されます。インターネッ トへの _{ISP 接続が、ISP ルータのループバック アドレスによってシミュレートされます。}

注：_{CCNA の実習で使用するルータは、Cisco IOS Release 15.2（4）M3（universalk9 イメージ）を搭載した Cisco} 1941 Integrated Services Router（ISR）です。また、使用するスイッチは、Cisco IOS Release 15.0（2）（lanbasek9 イメージ）を搭載した _{Cisco Catalyst 2960 です。他のルータ、スイッチ、および Cisco IOS バージョンを使用できます。} モデルと _{Cisco IOS バージョンによっては、使用できるコマンドと生成される出力が、実習とは異なる場合があります。} 正しいインターフェイス _{ID については、この実習の最後にあるルータ インターフェイスの集約表を参照してください。} 注：ルータとスイッチが消去され、スタートアップ コンフィギュレーションがないことを確認してください。不明な場合は、 インストラクターに相談してください。

必要なリソース

• ルータ 2 台（Cisco IOS Release 15.2（4）M3 ユニバーサル イメージまたは同等イメージを搭載した Cisco 1941） • スイッチ 1 台（Cisco IOS Release 15.0(2) の lanbasek9 イメージを搭載した Cisco 2960 または同等機器） • PC 2 台（Tera Term など、ターミナル エミュレーション プログラムを備えた Windows 7、Vista、または XP 搭載

PC） • コンソール ポート経由で Cisco IOS デバイスを設定するためのコンソール ケーブル • トポロジに示すようなイーサネット ケーブルとシリアル ケーブル

パート

1: ネットワークの構築と接続の確認

パート 1 では、ネットワーク トポロジを設定し、インターフェイス IP アドレス、スタティック ルーティング、デバイス アク セス、パスワードなどの基本設定を行います。 手順 1: トポロジに示すようにネットワークを配線します。 トポロジ図に示されているデバイスを接続し、必要に応じてケーブル配線を行います。 手順 2: PC ホストを設定します。 手順 _{3: 必要に応じて、ルータとスイッチを初期設定し、リロードします。} 手順 4: 各ルータの基本設定を行います。 a. DNS lookup をディセーブルにします。 b. アドレス テーブルにリストされているルータの IP アドレスを設定します。 c. DCE シリアル インターフェイスのクロック レートを 1280000 に設定します。 d. トポロジに示すようにデバイス名を設定します。 e. コンソールおよび VTY パスワードとして cisco を割り当てます。 f. 暗号化された特権 EXEC モード パスワードとして class を割り当てます。 g. コンソール メッセージによってコマンド入力が中断されないように、ロギングの同期を設定します。

手順 _{5: ISP 側のシミュレートされた Web サーバを作成します。}

a. 暗号化されたパスワード webpass を持つ webuser という名前のローカル ユーザを作成します。 ISP(config)# username webuser privilege 15 secret webpass

b. ISP の HTTP サーバ サービスをイネーブルにします。 ISP(config)# ip http server

c. ローカル ユーザ データベースを使用するように HTTP サービスを設定します。 ISP(config)# ip http authentication local

手順 _{6: スタティック ルーティングを設定します。} a. 割り当てられたパブリック ネットワーク アドレス範囲 209.165.200.224/27 を使用して、ISP ルータからゲートウェ イ _{ルータへのスタティック ルートを作成します。} ISP(config)# ip route 209.165.200.224 255.255.255.224 209.165.201.18 b. ゲートウェイ ルータから ISP ルータへのデフォルト ルートを作成します。 Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17 手順 _{7: 実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。} 手順 8: ネットワーク接続を確認します。 a. PC のホストから、ゲートウェイ ルータの G0/1 インターフェイスに ping します。ping が失敗した場合は、トラブル シューティングします。 b. 両方のルータのルーティング テーブルを表示し、両方のルータでスタティック ルートがルーティング テーブルに 存在しており正しく設定されていることを確認します。

パート

2: スタティック NAT の設定と確認

スタティック _{NAT はローカル アドレスとグローバル アドレスの 1 対 1 マッピングを使用するので、これらのマッピング} は一定のままです。スタティック _{NAT は、インターネットからアクセス可能なスタティック アドレスを持つ必要がある} Web サーバまたはデバイスの場合に特に有用です。 手順 _{1: スタティック マッピングを設定します。} プライベート内部のサーバ _{アドレス 192.168.1.20 とパブリック アドレス 209.165.200.225 間の変換をルータに指示} するようにスタティック _{マップを設定します。これによって、ユーザはインターネットから PC-A にアクセスできます。} PC-A は、インターネットからアクセスできる固定アドレスのサーバまたはデバイスをシミュレートしています。

Gateway(config)# ip nat inside source static 192.168.1.20 209.165.200.225 手順 2: インターフェイスを指定します。

インターフェイスに、_{ip nat inside および ip nat outside コマンドを発行します。} Gateway(config)# interface g0/1

Gateway(config-if)# ip nat inside Gateway(config-if)# interface s0/0/1 Gateway(config-if)# ip nat outside

手順 _{3: 設定をテストします。}

a. show ip nat translations コマンドを実行して、スタティック NAT テーブルを表示します。 Gateway# show ip nat translations

Pro Inside global Inside local Outside local Outside global --- 209.165.200.225 192.168.1.20 --- --- 内部ローカル _{ホスト アドレスの変換対象は何ですか?} 192.168.1.20 = _________________________________________________________ 内部グローバル アドレスは何によって割り当てられていますか? ____________________________________________________________________________________ 内部ローカル _{アドレスは何によって割り当てられていますか?} ____________________________________________________________________________________ b. PC-A から、ISP の Lo0 インターフェイス（192.31.7.1）へ ping を実行します。ping に失敗した場合は、問題をト

ラブルシューティングして修正します。ゲートウェイ _{ルータで、NAT テーブルを表示します。} Gateway# show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1 --- 209.165.200.225 192.168.1.20 --- ---

PC-A が ISP の 192.31.7.1 へ ICMP 要求（ping）を送信したときに、プロトコルとしてリストされる ICMP と共に NAT エントリがテーブルに追加されました。

この _{ICMP 交換に使用されたポート番号はなんですか? ________________}

注：この実習で ping を成功させるために、PC-A のファイアウォールをディセーブルにしなければならない場合が あります。

c. PC-A から、ISP Lo0 インターフェイスへ telnet を実行し、NAT テーブルを表示します。

Pro Inside global Inside local Outside local Outside global icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1 tcp 209.165.200.225:1034 192.168.1.20:1034 192.31.7.1:23 192.31.7.1:23 --- 209.165.200.225 192.168.1.20 --- ---

注：NAT の ICMP 要求は、タイムアウトになり、NAT テーブルから削除されることがあります。 この変換で使用されたプロトコルは何でしたか_{? ____________}

使用されたポート番号は何ですか_?

内部グローバル_{/ローカル：________________} 外部グローバル_{/ローカル：________________}

d. スタティック NAT が PC-A に設定されたため、ISP からスタティック NAT パブリック アドレス（209.165.200.225） の _{PC-A への ping が正常に実行できることを確認します。}

e. ゲートウェイ ルータで、NAT のテーブルを表示して変換を確認します。 Gateway# show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 209.165.200.225:12 192.168.1.20:12 209.165.201.17:12 209.165.201.17:12 --- 209.165.200.225 192.168.1.20 --- ---

外部ローカルおよび外部グローバル _{アドレスが同じであることがわかります。このアドレスは ISP のリモート ネッ} トワーク発信元アドレスです。ISP からの ping を成功させるため、内部グローバル スタティック NAT アドレス 209.165.200.225 は PC-A（192.168.1.20）の内部ローカル アドレスに変換されました。

f. ゲートウェイ ルータで show ip nat statistics コマンドを使用して、NAT 統計情報を確認します。 Gateway# show ip nat statics

Total active translations: 2 (1 static, 1 dynamic; 1 extended) Peak translations: 2, occurred 00:02:12 ago

Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 39 Misses: 0

CEF Translated packets: 39, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0 注：これはサンプル出力にすぎません。出力は正確に一致しないことがあります。

パート

3: ダイナミック NAT の設定と確認

ダイナミック NAT は、パブリック アドレスのプールを使用して、先着順に割り当てます。内部デバイスが外部ネット ワークへのアクセスを要求すると、ダイナミック _{NAT はプールから使用可能なパブリック IPv4 アドレスを割り当てま} す。ダイナミック NAT の結果は、ローカル アドレスとグローバル アドレスの多対多のアドレス マッピングとなります。 手順 _{1: NAT をクリアします。} ダイナミックな NAT の追加に進む前に、パート 2 の NAT と統計情報をクリアします。 Gateway# clear ip nat translation *

Gateway# clear ip nat statistics

手順 2: LAN のプライベート IP アドレス範囲に一致するアクセス コントロール リスト（ACL）を定義します。 ACL 1 を使用して、192.168.1.0/24 ネットワークの変換を許可します。

Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255 手順 3: NAT インターフェイスの設定がまだ有効であることを確認します。

ゲートウェイ _{ルータで show ip nat statistics コマンドを実行して、NAT 設定を確認します。} 手順 4: 使用可能なパブリック IP アドレスのプールを定義します。

Gateway(config)# ip nat pool public_access 209.165.200.242 209.165.200.254 netmask 255.255.255.224

手順 _{5: 内部発信元リストから外部プールへの NAT を定義します。}

注：_{NAT プール名は大文字と小文字が区別されます。ここに入力されたプール名は以前の手順で使用されたも} のと一致している必要があることを忘れないでください。

Gateway(config)# ip nat inside source list 1 pool public_access 手順 6: 設定をテストします。

a. PC-B から、ISP の Lo0 インターフェイス（192.31.7.1）へ ping を実行します。ping に失敗した場合は、問題をト ラブルシューティングして修正します。ゲートウェイ _{ルータで、NAT テーブルを表示します。}

Gateway# show ip nat translations

Pro Inside global Inside local Outside local Outside global --- 209.165.200.225 192.168.1.20 --- ---

icmp 209.165.200.242:1 192.168.1.21:1 192.31.7.1:1 192.31.7.1:1 --- 209.165.200.242 192.168.1.21 --- ---

PC-B の内部ローカル ホスト アドレスの変換対象は何ですか?

192.168.1.21 = _________________________________________________________

PC-B が ISP の 192.31.7.1 へ ICMP メッセージを送信したときに、プロトコルとしての ICMP と共にダイナミック NAT エントリがテーブルに追加されました。

この _{ICMP 交換に使用されたポート番号はなんですか? ________________}

b. PC-B でブラウザを開き、ISP のシミュレートされた Web サーバ（Lo0 インターフェイス）の IP アドレスを入力しま す。要求された場合は、パスワード_{webpass を使用して webuser としてログインします。}

c. NAT テーブルを表示します。

Pro Inside global Inside local Outside local Outside global --- 209.165.200.225 192.168.1.20 --- --- tcp 209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80 192.31.7.1:80 --- 209.165.200.242 192.168.1.22 --- --- この変換では、どのプロトコルが使用されましたか? ____________ どのポート番号が使用されましたか_? 内部：_{________________}

外部：_{________________}

どの well-known ポート番号とサービスが使用されましたか? ________________

d. ゲートウェイ ルータで show ip nat statistics コマンドを使用して、NAT 統計情報を確認します。 Gateway# show ip nat statistics

Total active translations: 3 (1 static, 2 dynamic; 1 extended) Peak translations: 17, occurred 00:06:40 ago

Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 345 Misses: 0

CEF Translated packets: 345, CEF Punted packets: 0 Expired translations: 20

Dynamic mappings: -- Inside Source

[Id: 1] access-list 1 pool public_access refcount 2 pool public_access: netmask 255.255.255.224

start 209.165.200.242 end 209.165.200.254

type generic, total addresses 13, allocated 1 (7%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0 注：これはサンプル出力にすぎません。出力は正確に一致しないことがあります。 手順 _{7: スタティック NAT エントリを削除します。} 手順 _{7 で、スタティック NAT エントリが削除されています。NAT エントリを確認できます。} a. パート 2 のスタティック NAT を削除します。子エントリを削除するか確認が求められたら、「yes」と入力します。 Gateway(config)# no ip nat inside source static 192.168.1.20 209.165.200.225 Static entry in use, do you want to delete child entries? [no]: yes

b. NAT と統計情報をクリアします。

c. 両方のホストから ISP（192.31.7.1）へ ping を実行します。 d. NAT テーブルと統計情報を表示します。

Gateway# show ip nat statistics

Total active translations: 4 (0 static, 4 dynamic; 2 extended) Peak translations: 15, occurred 00:00:43 ago

Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 16 Misses: 0

Expired translations: 11 Dynamic mappings:

-- Inside Source

[Id: 1] access-list 1 pool public_access refcount 4 pool public_access: netmask 255.255.255.224

start 209.165.200.242 end 209.165.200.254

type generic, total addresses 13, allocated 2 (15%), misses 0 Total doors: 0

Appl doors: 0 Normal doors: 0 Queued Packets: 0

Gateway# show ip nat translation

Pro Inside global Inside local Outside local Outside global icmp 209.165.200.243:512 192.168.1.20:512 192.31.7.1:512 192.31.7.1:512 --- 209.165.200.243 192.168.1.20 --- --- icmp 209.165.200.242:512 192.168.1.21:512 192.31.7.1:512 192.31.7.1:512 --- 209.165.200.242 192.168.1.21 --- --- 注：これはサンプル出力にすぎません。出力は正確に一致しないことがあります。

復習

1. NAT がネットワークで使用される理由は何ですか? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 2. NAT の制限事項は何ですか? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________

ルータ

インターフェイスの集約表

ルータ _{インターフェイスの集約}

ルータのモデル _{Ethernet Interface #1 Ethernet Interface #2 Serial Interface #1 Serial Interface #2} 1800 Fast Ethernet 0/0

(F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 1900 Gigabit Ethernet 0/0

(G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2801 Fast Ethernet 0/0

(F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 2811 Fast Ethernet 0/0

(F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2900 Gigabit Ethernet 0/0

(G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 注：ルータがどのように設定されているかを確認するには、インターフェイスを調べ、ルータの種類とルータが持つイン ターフェイスの数を識別します。各ルータ _{クラスの設定のすべての組み合わせを効果的に示す方法はありません。この} 表には、デバイスにイーサネットおよびシリアル _{インターフェイスの取り得る組み合わせに対する ID が記されています。} その他のタイプのインターフェイスは、たとえ特定のルータに含まれている可能性があるものであっても、表には一切含ま れていません。_{ISDN BRI インターフェイスはその一例です。カッコ内の文字列は、インターフェイスを表すために Cisco} IOS コマンドで使用できる正規の省略形です。