cisco双方向NATの設定と陥りやすい間違いを詳しく解説

今回は双方向NATについてご紹介をさせて頂きます。

その前にNATについて簡単に説明をさせて頂きますと、NATとは、Network Address Translationの略でIPアドレスを変換する技術です。

一般的には、プライベートIPアドレスをグローバルIPアドレスに変換する技術とされています。多くの企業様では社内ではプライベートアドレスを使用していて、インターネットに接続する際はグローバルIPアドレスに変換して通信ができるようになっています。

NATにもソースNAT、ディスチネーションNATがあります。それぞれ送信元アドレスの変換、宛先アドレスの変換を行うことを意味しています。

今回ご紹介する双方向NATとは、1台のNAT機能を持ったデバイスで内部の送信元アドレス、および外部の送信元アドレスを同時にNAT変換を行うことを言います。

例えば、ご覧のネットワークがある場合
insideの送信元を、192.168.4.1 から192.168.2.3へ
また、 outsideの送信元を192.168.3.1 から 192.168.1.3 へとIPアドレスを変換します。

cisco双方向NATの設定と陥りやすい間違いを詳しく解説

 

この双方向NATのメリットは、
 内部ホストと外部ホストの両方が相手のネットワークを意識する必要が無い。
 内部ホストと外部ホストともにデフォルトゲートウェイの設定をしなくても通信ができる
 お互いの実IPアドレスを知らなくても通信可能な双方向NATです。

などのメリットがあります。

では、実際に設定をしてみましょう。

cisco双方向NATの設定と陥りやすい間違いを詳しく解説

要件はこのとおりで、
・大阪RT、名古屋RTともにお互い相手のnetworkを知らない。
・大阪RTは東京RTの192.168.1.3しか知らない。
・名古屋RTも東京RTの192.168.2.3しか知らない。

前回、第26回で無料のciscoシミュレーションソフトである「パケットトレーサー」をご紹介させて頂きました。
今回は実際にそのパケットトレーサーを使用しながら設定したいと思います。

まず、最初に大阪RTの設定ですが、このようにとてもシンプルです。
見てお分かりのように名古屋RTへのルーティング192.168.3.0/24は入っておりません。

Osaka_RT#sh run
Building configuration…

Current configuration : 821 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Osaka_RT
!
ip cef
no ipv6 cef
!
license udi pid CISCO2901/K9 sn FTX152438F9-
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.240
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.4.254 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
logging synchronous
login
!
end

同様に、名古屋RTの設定も行います。
大阪RTへのルーティング192.168.4.0/24は設定されていません。
また、スタティックルートされたパケットが到着しているかどうかを確認する為、gi0/0にアクセスリストを追加しております。

Nagoya_RT#sh run
Building configuration…

Current configuration : 880 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Nagoya_RT
!
ip cef
no ipv6 cef
!
license udi pid CISCO2901/K9 sn FTX152463Q1-
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.2.1 255.255.255.240
ip access-group 100 in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.3.254 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
access-list 100 permit ip any any
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
logging synchronous
login
!
!
!
end

東京RTの設定ポイントは、この3つのコマンドです。

ip nat inside source static 192.168.4.1 192.168.2.3
ip nat outside source static 192.168.3.1 192.168.1.3
ip route 192.168.1.3 255.255.255.255 gi0/1

上の2つのコマンドでは、
inside側の送信元IPアドレス192.168.4.1を192.168.2.3へ、
outside側の送信元IPアドレス192.168.3.1を192.168.1.3へNAT変換しています。

ここで注意したいのは送信元IPアドレス192.168.4.1を192.168.2.3へ変換するということは、送信先192.168.2.3が192.168.4.1へNAT変換されるということでもあります。

また、3つ目のコマンドは、192.168.1.3へのルートを追加しています。
これはinside側の処理がルーティングをしてからNAT変換される為、このルーティングコマンドがないと通信できませんのでご注意下さい。

outside側はNAT変換してからルーティングされるので特別なルーティングは不要です。

そしてこちらが東京RTの設定です。

Tokyo_RT#sh run
Building configuration…

Current configuration : 1226 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Tokyo_RT
!
ip cef
no ipv6 cef
!
license udi pid CISCO2901/K9 sn FTX1524U402-
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.1.2 255.255.255.240
ip access-group 101 in
ip nat inside
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.2.2 255.255.255.240
ip access-group 102 out
ip nat outside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source static 192.168.4.1 192.168.2.3
ip nat outside source static 192.168.3.1 192.168.1.3
ip classless
ip route 192.168.1.3 255.255.255.255 GigabitEthernet0/1
ip route 192.168.4.0 255.255.255.0 192.168.1.1
ip route 192.168.3.0 255.255.255.0 192.168.2.1
!
ip flow-export version 9
!
!
access-list 101 permit ip any host 192.168.1.3
access-list 102 permit ip any host 192.168.3.1
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
logging synchronous
login
!
end

youtubeでもご紹介しておりますのでぜひご覧ください。

 

CISCO Router/switchの便利なコンソール設定

ここでは、CISCO Router/switchのコンソールログイン設定や初期に設定しておきたい設定をご紹介致します。

必要最低限のセキュリティ設定やこれから設定を行うにあたって、知っておくと便利なコマンドや設定をご紹介しております。

また、接続ポートを写真入りでご紹介しておりますので、ciscoルーター/スイッチへのケーブル接続が分からないって方はぜひ参考にしてみて下さいね(^^♪

この内容については動画でもご紹介しておりますので、読むのが面倒って方はこちらの動画をご覧下さい。

CISCO Router/switchの便利なコンソール設定

接続方法の種類

ciscoルーター/スイッチにアクセスする方法には、以下の3つの方法があります。

 コンソールポート接続
 AUXポート接続
 VTYポート接続

コンソールとは、ローカルで機器にダイレクト接続し制御・操作ができる入出力装置のことです。コンソールポートから接続ができると、遠く離れた場所(リモート)から接続できなくなっても現地に人が居ればcisco機器に直接ログインして操作を行うことができます。ルーティングを変更していてリモートから入れなくなくなったってことはたまにあります(^^;

AUXは、Auxiliary Portの略で補助のポートという意味です。最近はあまり使用しませんが、モデム経由でルータに接続したい場合に使用します。これは、あらかじめ公衆回線(電話回線/ISDN回線)を利用してAUXポートにモデムを接続しておくことで、万が一、WAN回線が障害で接続できない時に公衆回線から機器へ接続し状態を確認できるとても役立つポートです。また、AUXポートを利用して他のcisco機器のコンソールポートへアクセスしログインすることも可能となります。

VTYポートとは、物理的なポートではありません。VTYは、Virtual Terminal Lineの略で仮想端末のポートを意味しています。Ciscoルータ上で仮想的に複数ポートを
 持つことにより、複数のユーザが同時にアクセスすることが可能になります。デフォルトではVTYポート番号は、line vty 0 4とあることから仮想ポートとしては 0~4 の5ポートあります。ですので、Ciscoルータに同時に5つのtelnetセッションを接続することができます。VTYポートは、小さい番号から使用されていきます。

 

ケーブルの接続

冒頭で、ciscoルーター/スイッチにアクセスする方法を3つご紹介致しましたが物理的はポートは、コンソールポートとAUXポートのみです。VTYポートは仮想端末ポートですからケーブルをさすことはできません。

では、コンソールポートとAUXポートをcisco 892でご紹介を致します。

コンソールポートとAUXポートをcisco 892でご紹介

コンソールポートは分かりやすく、ciscoさんも水色で分かるように印字してくれています。同様に、AUXポートもはっきり記されているのでまず間違うことはないでしょう。

コンソールケーブルは、cisco機器に添付されています。水色のケーブルでパソコンに接続する側はD-sub 9ピンになっています。もう一方のcisco機器側に接続する側はLANケーブルと同じRJ-45のケーブになっています。

ciscoコンソールケーブル

現在、販売されている多くのパソコンには、D-sub 9ピンのインターフェイスが無くなってきているので、USB to D-sub9ピン変換アダプタを使用して接続します。ELECOMやBUFFALO・IODATAなどから2千円前後で販売されています。こちらが私が使用している変換アダプターです。

usb-dsub9pin変換アダプター

 

接続ポート設定

では、具体的にコンソールポートの設定をご紹介致します(^^♪

グローバルコンフィグレーションモードから以下のように投入します。

Switch(config)#line console 0
Switch(config-line)#password パスワード
Switch(config-line)#login

これでコンソールポートの最低限の設定は完了ですが、「logging sync」も投入しておくことをオススメ致します。
この「logging sync」は、ログがコンソールに表示される際に、入力中のコマンドを妨げることなく再表示してくれます。ですので、このコマンドはおまじないだと思って必ず入力するようにしましょう。

Router#
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line console 0       ←コンソールポートを設定
Router(config-line)#password cisco  ←パスワードを設定
Router(config-line)#login        ←ログイン時に認証をすることを明示
Router(config-line)#logging sync   ←ログで入力中のコマンドが邪魔されない
Router(config-line)#

 

VTYポートも基本的にはコンソールポートの設定と同様です。

Router#
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line vty 0 4           ←仮想端末0から4までの5つを設定
Router(config-line)#password cisco  ←パスワードを設定
Router(config-line)#login       ←ログイン時に認証をすることを明示
Router(config-line)#logging sync   ←ログで入力中のコマンドが邪魔されない
Router(config-line)#

 

実際にコンソールポートの設定を動画でもご紹介しております。登録の様子が非常に分かりやすいのでぜひご覧ください。

 

 

CISCO Router/switchのログイン方法と特権モード

ここでは、CISCO Router/switchのコンソールログイン方法や設定の追加や変更・機器管理を行える特権モードコンフィグレーションモードについてご紹介を致します。

この内容は、CISCO router/switchを初めて触るって方向けなので、これらについてもう既に知っているという方は読み飛ばして下さい。

基礎からしっかりと覚えたいという方はまずは基本を覚えましょう。また、普段慣れたエンジニアがよく使う方法も記載しておりますのでぜひ参考にしてみて下さい。

CISCO Router/switchのログイン方法と特権モード

Cisco IOSのモードとログイン方法

Cisco IOSでは、セキュリティ機能として以下の2つのモードがあります。
 ユーザーモード(ユーザーEXECレベル)
 特権モード(特権EXECレベル)

それらモードの大きな違いは、ユーザーモードは基本的なモニタコマンドだけしか使用をすることができません。
が、特権モードでは、すべてのルータコマンド(設定や管理など)にアクセスすることができます。
※使用できるコマンドの比較を載せているので細かく知りたい方はこちらをご覧下さい。

エンジニアの方は常に特権モードで登録作業やトラブルシューティングを行います。ですのであまりユーザーモードで作業を行うことはありません。ログインするとすぐに特権モードに移る癖がついています(^^♪

また、特権モードになるとルーターのインターフェイスやQOSなど数々の設定が可能になります。その設定できるモードには、以下の2つのモードがあります。
 グローバルコンフィグレーションモード
 特定コンフィグレーションモード

グローバルコンフィグレーションモードは、ルータに名前を設定したり、パスワードを設定したりと機器共通の設定で、特定コンフィグレーションモードは、特定のポートやコントローラーを設定する時に使用します。

ルータを起動した直後はユーザーモードです。ここから特権モードへ移るには[enable」コマンドを使用します。
見分け方は、プロンプトが「>」から「#」へ変わります。
ユーザーモードは、「>」、特権モードは「#」と覚えておきましょう。

Router>           ←ユーザーモード
Router>enable        ←特権モードへ移行するコマンド
Router#           ←特権モード

特権モードからユーザーモードへ戻るには、「disable」コマンドを使用します。ですが実際現場ではあまり使いません。

Router#disable        ←特権モードからユーザーモードへ戻る
Router>

インターフェイスなどの設定を行うには、グローバルコンフィグレーションモードに移行する必要があります。
グローバルコンフィグレーションモードに移行するには、特権モードで「configure terminal」コマンドを使用します。
通常、「conf t」と入力をします。

Router>enable
Router#configure terminal
Router(config)#

グローバルコンフィグレーションモードではプロンプトに「(config)#」が追加されます。

グローバルコンフィグレーションモードから特権モードに戻るには、「exit」コマンドを使用します。直接ユーザーモードに戻ったり、ログアウトすることはできません。

Router(config)#exit
Router#

最も多く使用するインターフェイスなどの設定を行うには、特定コンフィグレーションモードに移行します。
特権モード→グローバルコンフィグレーションモード→interfaceポート コマンドという流れになります。

Router>enable
Router#conf t
Router(config)#
Router(config)#interface FastEthernet 0/1
Router(config-if)#

特定コンフィグレーションモードからグローバルコンフィグレーションモードに戻るには、exitコマンドを使用します。endコマンドを使用すると特権モードに戻ることができます。通常、「CTL+Z」で特権モードに戻るエンジニアが多いです(^^♪

Router(config-if)#end
Router#

 

C3750 Version 12.2(25r)SECで使用できるコマンドをユーザーモードと特権モードで比較してみました。

ユーザーモードで使えるコマンド 特権モードで使えるコマンド
access-enable
clear
connect
disable
disconnect
enable
exit
help
lock
login
logout
mrinfo
mstat
mtrace
name-connection
ping
rcommand
release
renew
resume
set
show
systat
tclquit
telnet
terminal
traceroute
tunnel
where

access-enable
access-template
archive
beep
cd
clear
clock
cns
configure
connect
copy
debug
delete
diagnostic
dir
disable
disconnect
dot1x
enable
eou
erase
event
exit
format
fsck
help
if-mgr
ip
ipe
license
lock
login
logout
mkdir
monitor
more
mrinfo

mrm
mstat
mtrace
name-connection
no
ping
power
pwd
ommand
release
reload
remote
rename
renew
resume
rmdir
rsh
send
session
set
setup
show
systat
tclquit
tclsh
telnet
terminal
test
traceroute
tunnel
udld
undebug
upgrade
verify
vmps
vtp
where
write

 

CISCOルーター、スイッチの設定についてもっと知りたい方はこちら