- - PR -
CISCOのアドレス変換の設定について
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-07-23 12:23
下記のような運用をしたいと考えています。
サーバは複数のインターフェースを持ち、各インターフェース毎にセグメントが異なる。 その内1つのセグメントYにルータAを一台追加する。 サーバはルータAの先にあるセグメントXと通信したいが サーバにセグメントXのルーティング情報を追記したくない。 (もちろんデフォルトゲートウェイは別のルータに向いてる) よって、ルータAに何らかの仕組みを入れる必要があると考えており、 例えば、ルータAでセグメントYから「あるIP」の要求が来た場合のみ、セグメントXへ転送する といった仕組みがあれば使用したいと考えています。 当方の技術不足で、普通にNATを使っても、ルータの間でIPが変換されるだけで 希望する機能は使用できておりません。 何方様かご教示お願い致します。 -------------------------------------------------------------------- Router#sh ver Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T2, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2006 by Cisco Systems, Inc. Compiled Tue 16-May-06 12:21 by kellythw ROM: System Bootstrap, Version 12.3(8r)YH6, RELEASE SOFTWARE (fc1) Router uptime is 2 hours, 16 minutes System returned to ROM by power-on System image file is "flash:c181x-advipservicesk9-mz.124-6.T2.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1812-J (MPC8500) processor (revision 0x300) with 98304K/32768K bytes of memory. Processor board ID FHK100452WF, with hardware revision 0000 10 FastEthernet interfaces 1 ISDN Basic Rate interface 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2142 | ||||||||
|
投稿日時: 2007-07-24 00:00
とりあえず、図だけ。
インターネット上のホストは、セグメントXへの経路情報を持っていません。 セグメントYから通信を開始する場合は、サーバ公開設定が応用できます。 設定は、少し学習してみてください。 _________________ _福田太郎_ | ||||||||
|
投稿日時: 2007-07-24 09:35
ご返答ありがとうございました。
1:1の通信では正常に稼動致しました。 ただ、Cisco1812Jに2つ以上のセグメントを追加しようとすると、下記の通りエラーとなります。 Router(config)#ip nat inside source static 192.168.1.2 192.168.195.100 % 192.168.1.2 already mapped (192.168.1.2 -> 172.31.240.100) そこでルートマップを使用し、対応したいと考えましたが (http://www.cisco.com/japanese/warp/public/3/jp/service/tac/105/nat_routemap-j.html#second) 設定が正常に動きません。恐らくコンフィグに誤りがあると思いますが 異常な場所がどこなのか検討つきませんでした。 <最終的に下記のように[Cisco1812J]配下に各々のセグメントを追加したい> Server3(192.168.1.2) | | (Segment--X) | |(Inside) |実IP(192.168.1.1) [Cisco1812J] |実IP(172.1.240.80) |実IP(192.168.195.80) |(Outside) |(Outside) |◆NAT-IP(172.1.240.100) |◆NAT-IP(192.168.195.100) | | |(Segment--Y) |(Segment--Z) | | Server1(172.1.240.19) Server2 (192.168.195.64) ||| ||| (1,2共にSegment--Xへの経路は記述しない) ||| ||| ||| ||| いくつかのセグメント いくつかのセグメント ---------------------------------------------------------------------- Router#sh run Building configuration... Current configuration : 2019 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable password bbb ! no aaa new-model ! resource policy ! memory-size iomem 25 ! ! ip cef ! ! no ip domain lookup ! ! ! ! ! ! ! ! ! interface FastEthernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 no ip address ip nat outside ip virtual-reassembly duplex auto speed auto ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 3 spanning-tree portfast ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 switchport mode trunk ! interface Vlan1 no ip address ! interface Vlan2 ip address 172.1.240.80 255.255.255.0 ip nat outside ip virtual-reassembly ! interface Vlan3 ip address 192.168.195.80 255.255.255.0 ip nat outside ip virtual-reassembly ! ! ! no ip http server no ip http secure-server ip nat pool pool-101 172.1.240.100 172.1.240.100 prefix-length 30 ip nat pool pool-102 192.168.195.100 192.168.195.100 prefix-length 30 ip nat inside source route-map MAP-101 pool pool-101 ip nat inside source route-map MAP-102 pool pool-102 ! access-list 101 permit ip 172.1.240.0 0.0.0.255 any access-list 102 permit ip 192.168.195.0 0.0.0.255 any ! ! ! route-map MAP-101 permit 10 match ip address 101 ! route-map MAP-102 permit 10 match ip address 102 ! ! ! ! control-plane ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 password aaa login ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end | ||||||||
|
投稿日時: 2007-07-24 14:21
割り込み失礼。
Config書けない者ですが、気付いた点を少々。 1.ネットワーク図はBBコードの「CODEタグ」使うとズレません。 詳細はこのページトップの[FAQ]参照。 2.クラスBプライベートアドレスは172.16.0.0〜172.31.254.254 の範囲です。 # 172.1.240.*/24は作法的には正しくありません。 3.Config中でおかしいと感じた箇所 >access-list 101 permit ip 172.1.240.0 0.0.0.255 any >access-list 102 permit ip 192.168.195.0 0.0.0.255 any # 詳しくは判りませんが、ルートマップアプローチだと、この書き方では # 拙いと思います。 [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-07-24 14:23 ] | ||||||||
|
投稿日時: 2007-07-24 22:09
;悩ましいですね。
Server3にセカンダリIPを付与すれば、解決しそうな気がします。 前述のConfigでは、Server3がマップされているIPアドレスが不明になってます。 Server1やServer2は、Server3への経路を知らないので、 このままでは1812Jではなく、Defaultの経路を向きますので、 Routemapに引っかかるパケットが発生しませんね。 routemapで解決するには、Segment--X側にmapを用意すべきです。 interface FastEthernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside ip nat pool pool-101 172.1.240.100 172.1.240.100 prefix-length 30 ip nat pool pool-102 192.168.195.100 192.168.195.100 prefix-length 30 ip nat inside source route-map MAP-101 pool pool-101 ip nat inside source route-map MAP-102 pool pool-102 ! access-list 101 deny ip host 192.168.1.2 host 172.16.240.100 access-list 101 permit ip host 192.168.1.2 172.16.240.0 0.0.0.255 access-list 102 deny ip host 192.168.1.2 host 192.168.195.100 access-list 102 permit ip host 192.168.1.2 192.168.195.0 0.0.0.255 ! ! ! route-map MAP-101 permit 10 match ip address 101 ! route-map MAP-102 permit 10 match ip address 102 リストのレンジと、NATのレンジが被ってますが、この辺がお茶目ですね。 Server3がSegment--YZの100に通信できないようにしないと大変ですね。 リストで頭の中がぐにゃぐにゃになって来たら、 セカンダリアドレスを思い出してください。 _________________ _福田太郎_ | ||||||||
|
投稿日時: 2007-07-25 18:00
BackDoor様
たらお様 >>1.ネットワーク図はBBコードの「CODEタグ」使うとズレません。 >> 詳細はこのページトップの[FAQ]参照。 ありがとうございます。次回以降注意させて頂きます。 >>2.クラスBプライベートアドレスは172.16.0.0〜172.31.254.254 >> の範囲です。 >># 172.1.240.*/24は作法的には正しくありません。 申し訳ありません。社内のIPをそのまま記載したくなかったので IPの一部を変更していました。 基本ですよね。。。。ご指摘ありがとうございます。 >>3.Config中でおかしいと感じた箇所 >>>access-list 101 permit ip 172.1.240.0 0.0.0.255 any >>>access-list 102 permit ip 192.168.195.0 0.0.0.255 any >># 詳しくは判りませんが、ルートマップアプローチだと、この書き方では >># 拙いと思います。 >>前述のConfigでは、Server3がマップされているIPアドレスが不明になってます。 全く気がつかなかったです。。。。 確かにこのままだと紐付けができていないようです。 >リストで頭の中がぐにゃぐにゃになって来たら、 >セカンダリアドレスを思い出してください。 早速投入しようかと思いましたが、残念ながら対向の「Server3」 が特殊な機器でIPを一つしか設定できないようです。 これができれば静的NATで万事解決できたのですが。。。。 たらお様にご教示して頂きました設定を設定してみます。 完了後またご報告致します。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。