既存のネットワーク(LAN)同士をIPsecにてVPNを構築する際、互いのネットワークアドレスが重複している場合があります。
IPsecでは同じネットワークアドレスのLANを接続することが出来ません。
そのため、VPN-NAT米兰体育中国官方网站を行うことで見かけ上の重複を回避し、既存のネットワークのIP再割り当てを行うことなくIPsecを実現します。
WAN側からLAN側へのVPN-NAT米兰体育中国官方网站ルールを設定します。
NATモードの場合と、NAT+モード(IPマスカレード)の場合で、設定のしかたが異なりますので注意してください。
パラメータ"static-subnet"を指定することによりVPN-NATの変換ルールを、ネットワーク単位で指定することもできます。<グローバルアドレス・米兰体育中国官方网站グローバルアドレスから<ローカルアドレス・米兰体育中国官方网站ローカルアドレスへの変換を、<米兰体育中国官方网站単位で一括設定します。
refreshコマンド後に有効になるコマンドです。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside destination static 192.168.100.1 192.168.0.1
【解説】
ip vpn-nat inside destination static <WAN側アドレス <LAN側アドレス
となります。
これ以外のパケットをNAT米兰体育中国官方网站したい場合は、ip vpn-nat inside sourceコマンドを使用して、設定します。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside destination static 192.168.100.1 1500 192.168.0.1 80
【解説】
ip vpn-nat inside destination static <WAN側アドレス WAN側ポート番号 <LAN側アドレス LAN側ポート番号
となります。
これ以外のパケットをNAT+米兰体育中国官方网站したい場合は、ip vpn-nat inside sourceコマンドを使用して、設定します。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside destination static-subnet 158.xxx.xxx.xxx.0 192.168.100.0 255.255.255.0
【解説】
ip vpn-nat inside destination static-subnet<グローバルサブネット <ローカルサブネット <サブネットマスク
となります。
グローバルIPアドレスとプライベートIPアドレスの米兰体育中国官方网站の組み合わせをスタティックに決める設定を行います。
NATスタティックを複数行なう場合には、マスクを米兰体育中国官方网站、1つのエントリで指定することができます(複数同時登録)。
例)local=192.168.100.0 global=158.xxx.xxx.0,255.255.255.0 と米兰体育中国官方网站場合
192.168.100.0 ⇔ 158.xxx.xxx.0
192.168.100.1 ⇔ 158.xxx.xxx.1
: :
192.168.100.255 ⇔ 158.xxx.xxx.255
【NATスタティック(複数指定)時】 ip vpn-nat inside destination list <access-list番号 [開始ポート番号 [終了ポート番号]] pool <プール名 [ポート番号]
【NATスタティック(1対1米兰体育中国官方网站)、NAT+スタティック時】 ip vpn-nat inside destination static <グローバルアドレス [開始ポート番号 [終了ポート番号]] <ローカルアドレス [ポート番号]
【NATスタティック(一括米兰体育中国官方网站)】 ip vpn-nat inside destination static-subnet <グローバルサブネット <ローカルサブネット <サブネットマスク
パラメータ 設定内容 設定範囲 省略時の値 access-list番号 変換前(グローバルアドレス)範囲を米兰体育中国官方网站アクセスリストを指定します。 1〜99
1300〜1399省略不可 グローバルアドレス 米兰体育中国官方网站。
list <access-list番号 アクセスリストで米兰体育中国官方网站IPアドレス範囲 <IPアドレス 米兰体育中国官方网站IPアドレス modeconfig 相手から割り当てられたアドレス peer <IPアドレス VPNピアから指定されて設定したIPアドレス 省略不可 [開始ポート番号 終了ポート番号] 変換前のTCP/UDPポート番号(範囲)を米兰体育中国官方网站ます。 1〜65535 ポート米兰体育中国官方网站しない プール名 変換後(ローカルアドレス)範囲を米兰体育中国官方网站NATプール名を指定します。 NATプール名 省略不可 ローカルアドレス 米兰体育中国官方网站。 IPv4アドレス形式 省略不可 ポート番号 変換後のTCP/UDPポート番号を米兰体育中国官方网站ます。 1〜65535 ポート米兰体育中国官方网站しない グローバルサブネット 米兰体育中国官方网站。
※static-subnetを米兰体育中国官方网站場合は、host部に1を指定しないでください。IPv4アドレス形式 省略不可 ローカルサブネット 米兰体育中国官方网站。
※static-subnetを米兰体育中国官方网站場合は、host部に1を指定しないでください。IPv4アドレス形式 省略不可 サブネットマスク 変換を米兰体育中国官方网站単位で一括設定します。 IPv4アドレス形式 省略不可
最大エントリ数:リスト1エントリ(isakmp policy毎)装置全体で32エントリ
スタティック512エントリ(装置全体)※isakmp policy毎の制限はありません
VPN-NATが使用できません。
IKEポリシー設定モード