- PR -

DynamicNATとStaticNATの共存

1
投稿者投稿内容
かっき
会議室デビュー日: 2007/03/13
投稿数: 2
投稿日時: 2007-03-13 21:33
おはつになります。
どなたかお教え願えると助かります。

interface FastEthernet0/0
ip address 10.46.2.9 255.255.255.0
ip nat inside
speed 100
full-duplex
!
interface FastEthernet1/0
ip address 10.1.204.1 255.255.255.252
ip nat outside
speed 100
full-duplex

ip nat pool dyn_nat_pool 172.19.0.1 172.19.3.247 netmask 255.255.252.0
ip nat inside source list 102 pool dyn_nat_pool
ip nat outside source static 172.16.254.2 10.63.23.32
access-list 102 permit ip 10.4.48.0 0.0.7.255 any

ip route 10.63.23.0 255.255.255.0 NEXT-Hop
ip route 10.4.48.0 255.255.248.0 NEXT-Hop

との設定をし、クライアントPC(10.4.48.100/21)から宛先(10.63.23.32)に
通信が行えたのですが、IOC12.1(121-16.bin)からIOC12.4(124-1c.bin)に
移行した際に動かなくなりました。

つまり、

IOC12.1(121-16.bin)ではOK
IOC12.4(124-1c.bin)ではNG

でした。

あまり考えたくはないのですが、IOCのバグって考えられるのでしょうか。
仮にIOC12.4(124-1c.bin)で動くコマンドがあるのなら、ご教授願いえると
大変助かります。

乱雑な質問で、大変申し訳ございませんが、宜しくお願い致します。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-03-14 10:00
Ciscoチックなルーターですね。オリムピック仕様?

コード:

◆10.63.23.32/24
 |
 :
 :
 |
[RouterA]
 |10.1.204.2/30
 |
 |(out)10.1.204.1/30 <static_NAT ●172.16.254.2 ◆10.63.23.32>
[RouterB]
 |(in)10.46.2.9/24 <dynamic_NAT 172.19.0.1-172.19.3.247/21>
 |(VIP)●172.16.254.2
 |
 |10.46.2.?/24
[RouterC]−‥‥−(172.19.0.0/21)
 |
 :
 :
 |(10.4.48.0/21)
 |
10.4.48.100




ということだと思いますが、修正があればお願いします。

問題の部分はStaticNATの定義で、DynamicNATは無罪放免でしょう。
ホスト10.63.23.32は、NATにより仮想ホスト172.16.254.2として存在しています。

10.4.48.100が、10.63.23.32と通信するには、
設計意図からすると、172.16.254.2宛に通信しなければなりません。

察するに、今まで何らかの原因でStaticNATが正常に動作していなかったというオチ。
NATが正常動作すれば、10.63.23.32からのパケットが送信元172.16.254.2に変換されます。
よって、特に制限がない限り、10.63.23.32側から10.4.48.100に通信開始したら
問題なく通信できると思われます。



_________________
_福田太郎_
かっき
会議室デビュー日: 2007/03/13
投稿数: 2
投稿日時: 2007-03-14 11:18
福田様

早速のご回答ありがとうございます。

簡単な仕様(設計概念)を申し上げますと、
送信元(10.4.48.0/21)が、RouterにてDynamicNAT(poolアドレスは172.19.0.1〜172.19.0.247)とされ、かつStaticNATされるのが目的です。

なので、実際の対向側(ホスト)は実アドになります。
つまりは、先にも記載しましたが、クライアント(10.4.48.100とします)が割当(宛先:10.63.23.32)に、pingを打ったとき、ホスト側では、poolアドレス(172.19.0.1〜172.19.0.247)で到達できればOKになります。

ご回答頂いてる内容なのですが、切り分けのため、一旦、DynamicNATを外して試験をしましたが、疎通は取れていました。当然、その際の時の、ホスト側のSourceIPは、10.4.48.100でした。
よって、StaticNATは正常動作してるかと思われます。

また、逆(StaticNAT:無効、DynamicNAT:有効)にした際には、疎通が取れなかったため、どちらかと言えば、DynamicNAT設定に問題ありなのかな?っと思っておりました。

後、上記の構成図で[RouterC]の「172.19.0.0/22」の動きはありません。
更に追記させて頂きますと、OUT:10.46.2.1/24でIN:10.4.48.1/21にしてあります。[RouterA]では、OUT:172.16,254,1/24でホストサーバは、172.16.254.2/24です。
他は、正解です。configだけでほぼ構成図が解ってしまうところは凄いです。(これ本音ベースです。)

宜しくお願い致します。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-03-14 14:02
久しくD-NATしてないため、勘違いしてました。;

コード:

●172.16.254.2/24
 |
 :
 :
 |172.16.254.1/24
[RouterA]
 |10.1.204.2/30
 |
 |(VIP)◆172.19.0.1-172.19.3.247/21
 |(out)10.1.204.1/30 <●static_NAT 172.16.254.2 10.63.23.32>
[RouterB] ! バージョンアップ後、不具合
 |(in)10.46.2.9/21 <◆dynamic_NAT 172.19.0.1-172.19.3.247/21 10.4.48.0/21>
 |(VIP)●10.63.23.32
 |
 |10.46.2.?/24
[RouterC]
 |
 :
 :
 |(10.4.48.0/21)
 |
◆10.4.48.100




これで正解ですかね。●と◆の用法を変えました。


[切り分け]
StaticNAT:有効、DynamicNAT:無効 → OK
StaticNAT:無効、DynamicNAT:有効 → NG

から、かなり根の深い問題のようですね。
ダイナミックNATがどのように動作しているのかデバッグしたいところです。

Debug負荷が問題にならない程度なら、
#debug ip nat ののち疎通試験して
#undebug all
#show log してみてください。

debug負荷が充分小さければ、ご存知かもしれませんが、telnet画面では、
#terminal monitor ←→ #terminal defult monitor
で画面出力制御ができます。コンソール画面なら、
#logging console ←→ #no logging console です。


_________________
_福田太郎_
1

スキルアップ/キャリアアップ(JOB@IT)