PATを設定する (プールしたアドレスを使用する方法)
想定するネットワーク構成図
ラボ・シナリオで使用するネットワーク構成図
・物理 PC の VirtualBox 上に、PC-A、PC-B、PC-C、PC-D の4つの仮想 PC を構成する。・PC-A、PC-B、PC-C は物理 PC に標準搭載している LAN ポートを使用するように VirtualBox を設定する。
・物理 PC に USB-LAN 変換ケーブルを1つ接続し、PC-D がそれを使用するように VirtualBox を設定する。
※ ISP から与えられたグローバルアドレスは 200.10.10.8/29 とする。
- RT-A をネットワーク構成図に示す通り設定し、RT-B へのデフォルトルートを構成しなさい。
- RT-B をネットワーク構成図に示す通り設定し、200.10.10.8/29 のネットワークへ行くためのスタティックルートを構成しなさい。
- 次の情報を基に RT-A で PAT を設定しなさい。
- PAT で使用する内部グローバルアドレスの範囲を指定しプール名 (任意) で登録
ip nat pool [プール名] [開始IPアドレス] [終了IPアドレス] netmask [サブネットマスク]
または
ip nat pool [プール名] [開始IPアドレス] [終了IPアドレス] prefix-length [プレフィックス長]
ここで指定したグローバルアドレスだけが PAT で使用される - 内部グローバルアドレスへの変換を許可する内部ローカルアドレスを指定するためのアクセスリストの設定
access-list [アクセスリスト番号] permit [送信元IPアドレス] [ワイルドカードマスク]
ここで指定したローカルアドレスだけがグローバルアドレスに変換してインターネットに接続できる - PAT による変換で使用するアクセスリストとプールを指定
ip nat inside source list [アクセスリスト番号] pool [プール名] overload - 内部ネットワークの指定
ip nat inside - 外部ネットワークの指定
ip nat outside - RT-A で、sh ip nat translations コマンドを実行しなさい。
- PC-A、PC-B、PC-C、PC-D をネットワーク構成図に示す通り設定します。
- RT-A で、debug ip nat コマンドを実行しなさい。
- PC-D で Telnet サーバーを構成しなさい。
- PC-A、PC-B、PC-C から PC-D へ telnet を実行しなさい。
- RT-A で、sh ip nat translations コマンドを実行しなさい。
< RT-A > Router# conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# host RT-A RT-A(config)# int f0/0 RT-A(config-if)# ip add 192.168.1.1 255.255.255.0 RT-A(config-if)# no shut RT-A(config-if)# int f0/1 RT-A(config-if)# ip add 10.10.10.1 255.255.255.0 RT-A(config-if)# no shut RT-A(config-if)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 RT-A(config)#
< RT-B > Router# conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# host RT-B RT-B(config)# int f0/0 RT-C(config-if)# ip add 10.10.10.3 255.255.255.0 RT-B(config-if)# no shut RT-B(config-if)# int f0/1 RT-B(config-if)# ip add 161.14.1.2 255.255.255.0 RT-B(config-if)# no shut RT-B(config-if)# ip route 200.10.10.8 255.255.255.248 10.10.10.1 RT-B(config)# ^Z
| ISP から与えられたアドレスの範囲 | 200.10.10.8/29 |
|---|---|
| PAT で使用するグローバルアドレス | 200.10.10.9~200.10.10.10 |
| プール名 | INET |
| インターネットへの接続を許可するローカルアドレスの範囲 | 192.168.1.0/24 |
< RT-A > RT-A(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ← 変換するアドレス範囲をアクセスリストにて設定 RT-A(config)# ip nat pool INET 200.10.10.9 200.10.10.10 netmask 255.255.255.248 ← PAT の設定 RT-A(config)# ip nat inside source list 1 pool INET overload ← PAT の設定 RT-A(config)# int f0/0 RT-A(config-if)# ip nat inside ← F0/0 側を内部ネットワークに指定 RT-A(config-if)# int f0/1 RT-A(config-if)# ip nat outside ← F0/1 側を外部ネットワークに指定 RT-A(config-if)# ^Z RT-A#
[プールを使用した PAT の設定手順]
設定手順およびコマンドは、ダイナミック NAT とほとんど同じです。(overload が付くだけ)
設定手順およびコマンドは、ダイナミック NAT とほとんど同じです。(overload が付くだけ)
< RT-A > RT-A# sh ip nat translations RT-A#
< PC-A > C:\> netsh interface ipv4 set address "イーサネット" static 192.168.1.10 255.255.255.0 192.168.1.1 C:\> ipconfig Windows IP 構成 イーサネット アダプター イーサネット: 接続固有の DNS サフィックス . . . . .: IPv4 アドレス . . . . . . . . . . . .: 192.168.1.10 サブネット マスク . . . . . . . . . .: 255.255.255.0 デフォルト ゲートウェイ . . . . . . .: 192.168.1.1 C:\>
< PC-B > C:\> netsh interface ipv4 set address "イーサネット" static 192.168.1.11 255.255.255.0 192.168.1.1 C:\> ipconfig Windows IP 構成 イーサネット アダプター イーサネット: 接続固有の DNS サフィックス . . . . .: IPv4 アドレス . . . . . . . . . . . .: 192.168.1.11 サブネット マスク . . . . . . . . . .: 255.255.255.0 デフォルト ゲートウェイ . . . . . . .: 192.168.1.1 C:\>
< PC-C > C:\> netsh interface ipv4 set address "イーサネット" static 192.168.1.12 255.255.255.0 192.168.1.1 C:\> ipconfig Windows IP 構成 イーサネット アダプター イーサネット: 接続固有の DNS サフィックス . . . . .: IPv4 アドレス . . . . . . . . . . . .: 192.168.1.12 サブネット マスク . . . . . . . . . .: 255.255.255.0 デフォルト ゲートウェイ . . . . . . .: 192.168.1.1 C:\>
< PC-D > C:\> netsh interface ipv4 set address "イーサネット" static 161.14.1.10 255.255.255.0 161.14.1.2 C:\> ipconfig Windows IP 構成 イーサネット アダプター ローカル エリア接続: 接続固有の DNS サフィックス . . . . .: IPv4 アドレス . . . . . . . . . . . .: 161.14.1.10 サブネット マスク . . . . . . . . . .: 255.255.255.0 デフォルト ゲートウェイ . . . . . . .: 161.14.1.2 C:\>
各 PC から余計なパケットが出て行かないように、ネットワーク周りの設定には気を付けてください。
< RT-A > RT-A# debug ip nat IP NAT debugging is on RT-A#
debug コマンドで、NAT 変換の動作を確認することができます。
Windows 8.1 の場合
[スタート] ボタンを右クリック → [コントロールパネル] → [プログラム] → [Windows の機能の有効化または無効化] の順にクリックし、[Windows の機能] ダイアログボックスで、[Telnet サーバー] のチェックボックスをオンにする。
次の5つのコマンドを実行する。
1) sc config tlntsvr start=demand ← Telnet サーバーサービスを手動で起動できるようにする
2) net user telnetuser cisco /add ← Telnet で使用するユーザアカウント telnetuser を作成する (パスワード cisco)
3) net localgroup telnetclients telnetuser /add ← telnetuser というユーザアカウントを telnetclients グループに所属させる
4) tlntadmn config maxconn=5 ← Telnet セッションの同時接続数を最大 5 にする
5) net start telnet ← Telnet サーバーサービスを起動する
[スタート] ボタンを右クリック → [コントロールパネル] → [プログラム] → [Windows の機能の有効化または無効化] の順にクリックし、[Windows の機能] ダイアログボックスで、[Telnet サーバー] のチェックボックスをオンにする。
次の5つのコマンドを実行する。
1) sc config tlntsvr start=demand ← Telnet サーバーサービスを手動で起動できるようにする
2) net user telnetuser cisco /add ← Telnet で使用するユーザアカウント telnetuser を作成する (パスワード cisco)
3) net localgroup telnetclients telnetuser /add ← telnetuser というユーザアカウントを telnetclients グループに所属させる
4) tlntadmn config maxconn=5 ← Telnet セッションの同時接続数を最大 5 にする
5) net start telnet ← Telnet サーバーサービスを起動する
C:\> sc config tlntsvr start=demand [SC] ChangeServiceConfig SUCCESS C:\> net user telnetuser cisco /add コマンドは正常に終了しました。 C:\> net localgroup telnetclients telnetuser /add コマンドは正常に終了しました。 C:\> tlntadmn config maxconn=5 設定が正常に更新されました。 C:\> net start telnet Telnet サービスを開始します. Telnet サービスは正常に開始されました。 C:\>
< PC-A > C:\> telnet -l telnetuser 161.14.1.10
Microsoft Telnet クライアントへようこそ エスケープ文字は 'CTRL+]' です パスワード情報を インターネット ゾーンのリモート コンピューターに送信しようとし ていますが、この操作は安全でない可能性があります。送信しますか? (y/n): n ← ここは no
Welcome to Microsoft Telnet Service password: cisco ← 実際には表示はされない
*=============================================================== Microsoft Telnet Server. *=============================================================== C:\Users\telnetuser>
< PC-B > C:\> telnet -l telnetuser 161.14.1.10
Microsoft Telnet クライアントへようこそ エスケープ文字は 'CTRL+]' です パスワード情報を インターネット ゾーンのリモート コンピューターに送信しようとし ていますが、この操作は安全でない可能性があります。送信しますか? (y/n): n ← ここは no
Welcome to Microsoft Telnet Service password: cisco ← 実際には表示はされない
*=============================================================== Microsoft Telnet Server. *=============================================================== C:\Users\telnetuser>
< PC-C > C:\> telnet -l telnetuser 161.14.1.10
Microsoft Telnet クライアントへようこそ エスケープ文字は 'CTRL+]' です パスワード情報を インターネット ゾーンのリモート コンピューターに送信しようとし ていますが、この操作は安全でない可能性があります。送信しますか? (y/n): n ← ここは no
Welcome to Microsoft Telnet Service password: cisco ← 実際には表示はされない
*=============================================================== Microsoft Telnet Server. *=============================================================== C:\Users\telnetuser>
< RT-A > RT-A# sh ip nat translations Pro Inside global Inside local Outside local Outside global tcp 200.10.10.9:49159 192.168.1.10:49159 161.14.1.10:23 161.14.1.10:23 tcp 200.10.10.9:1024 192.168.1.11:49159 161.14.1.10:23 161.14.1.10:23 tcp 200.10.10.9:49161 192.168.1.12:49161 161.14.1.10:23 161.14.1.10:23 RT-A#
ダイナミック NAT の時と同様に、内部グローバルアドレスは 200.10.10.9 と 200.10.10.10 の2つを設定しましたが、上記を見て分かるように、PAT では1つのアドレスしか使用していません。内部ホストがもっとたくさんあって、200.10.10.9 で使用できるポート番号を全て使いきった時に、次のアドレスの 200.10.10.10 が使われます。