2024-06-11 Cat9000V NAT 機能検証

提供:hkatou_Lab
2024年7月16日 (火) 16:42時点におけるHkatou (トーク | 投稿記録)による版

Cat9000 で実装された NAT について、Cat9000V で検証を実施しました。

このページにラボシナリオとして、コンフィグや確認コマンド、疎通確認のポイントなどをまとめています。

目的

PAT で送信元 IP アドレスを変換できること。

検証環境

EVE-NG Community Edition

Cisco Cat9000V 17.10.1

構成図

  • ルータ : RT
  • L3SW : C9K-NAT
  • ホスト : HOST
 
20240611 C9K-NAT

HOST も IOS で設定しています。

IP アドレッシング

文書用例示アドレス
種別 ネットワーク アドレス ホスト インターフェース ホスト アドレス 備考
グローバルアドレス 203.0.113.0/24 RT Lo0 203.0.113.254/32
プライベートアドレス 198.51.100.0/24 RT Eth0/0 198.51.100.254/24
C9K-NAT Gi1/0/7 198.51.100.1/24
192.0.2.0/24 Gi1/0/1 192.0.2.1/24
HOST Eth0/3 192.0.2.11/24

コンフィギュレーション

ここではプロトコル・ホスト別にコンフィギュレーションを簡単に解説します。

自分でコンフィグを組んでみたい人向けに、デフォルトでは表示しません。

このページのリファレンスに記載した、Cisco のサイトを参考に設定してみると良いでしょう。

RT

RT コンフィグ
プロトコル コンフィグ 解説
IPv4 スタティックルーティング
interface Loopback0
 ip address 203.0.113.254 255.255.255.255

interface Ethernet0/0
 no switchport
 ip address 198.51.100.254 255.255.255.0

ip route 192.0.2.0 255.255.255.0 198.51.100.1

C9K-NAT

C9K-NAT コンフィグ
プロトコル コンフィグ 解説
送信元 IP NAT(PAT)
C9K-NAT#show run | s ip nat|1/0/1|1/0/7|license|ACL|RM
license boot level network-advantage

interface GigabitEthernet1/0/1
 no switchport
 ip address 192.0.2.1 255.255.255.0
 ip nat inside

interface GigabitEthernet1/0/7
 no switchport
 ip address 198.51.100.1 255.255.255.0
 ip nat outside

ip nat inside source route-map RM-NAT interface GigabitEthernet1/0/7 overload

ip access-list extended ACL-NAT
 10 permit ip 10.0.0.0 0.255.255.255 any
 20 permit ip 172.16.0.0 0.15.255.255 any
 30 permit ip 192.168.0.0 0.0.255.255 any
 40 permit ip 192.0.2.0 0.0.0.255 any
 50 permit ip 198.51.100.0 0.0.0.255 any

ip access-list extended ACL-NAT-EXCLUDE
 10 permit ip any 10.0.0.0 0.255.255.255
 20 permit ip any 172.16.0.0 0.15.255.255
 30 permit ip any 192.168.0.0 0.0.255.255
 40 permit ip any 192.0.2.0 0.0.0.255
 50 permit ip any 198.51.100.0 0.0.0.255

route-map RM-NAT deny 10
 match ip address ACL-NAT-EXCLUDE

route-map RM-NAT permit 100
 match ip address ACL-NAT
license boot level network-advantage

NAT はライセンスが必要なため、ライセンス レベルを Network Advantage に変更する

設定・保存後に再起動が必要


ip nat inside

NAT 変換前 LAN 側の L3 インターフェースに設定する


ip nat outside

NAT 変換後 WAN 側の L3 インターフェースに設定する


ip nat inside source route-map RM-NAT interface GigabitEthernet1/0/7 overload

ルートマップに該当し、inside で指定したインターフェースに着信したトラフィックを、outside に指定した Gi1/0/7 の IP に PAT する


ip access-list extended ACL-NAT

NAT 対象のトラフィックを ACL で定義する

この例では送信元 IP が RFC1918 プライベートアドレスと、例示アドレスの 192.0.2.0/24 , 198.51.100.0/24 を NAT 対象としている


ip access-list extended ACL-NAT-EXCLUDE

NAT しないトラフィックを ACL で定義する

この例では宛先 IP が RFC1918 プライベートアドレスと、例示アドレスの 192.0.2.0/24 , 198.51.100.0/24 を NAT 非対象としている


route-map RM-NAT deny 10

ACL を呼び出して、deny で NAT 非対象としている


route-map RM-NAT permit 100

ACL を呼び出して、permit で NAT 対象としている

HOST

HOST コンフィグ
プロトコル コンフィグ 解説
IPv4 スタティックルーティング
HOST#show run | s 0/3|ip route
interface Ethernet0/3
 no switchport
 ip address 192.0.2.11 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.0.2.1
インターフェースに IP を振って、デフォルトルートを設定しただけ

疎通確認・動作確認

疎通確認・動作確認
ホスト HOST C9K-NAT 備考
NAT 対象
HOST#ping 203.0.113.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.254, timeout is 2 seconds:
!!!!!
 Success rate is 100 percent (5/5), round-trip min/avg/max = 666/674/681 ms
 HOST#traceroute 203.0.113.254
 Type escape sequence to abort.
 Tracing the route to 203.0.113.254
 VRF info: (vrf in name/id, vrf out name/id)
   1 192.0.2.1 245 msec 229 msec 227 msec
   2 198.51.100.254 492 msec 1388 msec 913 msec
 HOST#
C9K-NAT#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 198.51.100.1:1024 192.0.2.11:10      203.0.113.254:10   203.0.113.254:1024
udp 198.51.100.1:4787  192.0.2.11:35092   203.0.113.254:33439 203.0.113.254:33439
udp 198.51.100.1:4786  192.0.2.11:39492   203.0.113.254:33438 203.0.113.254:33438
udp 198.51.100.1:4785  192.0.2.11:41432   203.0.113.254:33437 203.0.113.254:33437
192.0.2.11 が 198.51.100.1 に NAT された
NAT 非対象
HOST#ping 198.51.100.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.51.100.254, timeout is 2 seconds:
!!!!!
 Success rate is 100 percent (5/5), round-trip min/avg/max = 593/648/811 ms
 HOST#traceroute 198.51.100.254
 Type escape sequence to abort.
 Tracing the route to 198.51.100.254
 VRF info: (vrf in name/id, vrf out name/id)
   1 192.0.2.1 223 msec 221 msec 220 msec
   2 198.51.100.254 432 msec *  434 msec
 HOST#
C9K-NAT#show ip nat translations
C9K-NAT#
ACL で NAT 非対象にしているため、NAT されなかった

動作確認 - ホスト別コマンドリスト

RT

  • show ip route

C9K-NAT

  • show ip route
  • show ip nat translations

HOST

  • show ip route
  • ping
  • traceroute

リファレンス

Catalyst 9000スイッチでのNATの設定と確認

IP Addressing Services Configuration Guide, Cisco IOS XE Dublin 17.12.x (Catalyst 9300 Switches)


脚注