既存のネットワーク(LAN)同士をIPsecにてVPNを構築する際、互いのネットワークアドレスが重複している場合があります。
IPsecでは同じネットワークアドレスのLANを接続することが出来ません。
そのため、VPN-NAT德赢AC米兰官方合作伙伴を行うことで見かけ上の重複を回避し、既存のネットワークのIP再割り当てを行うことなくIPsecを実現します。
LAN側からWAN側へのVPN-NAT德赢AC米兰官方合作伙伴ルールを設定します。
NATモードの場合と、NAT+モード(IPマスカレード)の場合で、設定のしかたが異なりますので注意してください。
パラメータ"static-subnet"を指定することによりVPN-NATの德赢AC米兰官方合作伙伴ルールを、ネットワーク単位で指定することもできます。<ローカルアドレス・サブネットマスクで指定したローカルアドレスから<グローバルアドレス・サブネットマスクで指定したグローバルアドレスへの德赢AC米兰官方合作伙伴を、<サブネットマスクで指定した単位で一括設定します。
refreshコマンド後に有効になるコマンドです。
Router(config)# crypto isakmp polcy 1
Router(config-isakmp)# ip vpn-nat inside source list 1 pool vpn-pool1
Router(config-isakmp)# ip vpn-nat pool vpn-pool1 192.168.100..0 0.0.0.255
Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 ←list 1の部分の設定
【解説】
ip vpn-nat inside source <LAN側のアドレス範囲 <WAN側のアドレス範囲
となります。
<LAN側のアドレス範囲は、access-listコマンドで德赢AC米兰官方合作伙伴ます。
<WAN側のアドレス範囲は、ip-vpn nat pool <pool名コマンドで德赢AC米兰官方合作伙伴ます。
Router(config)# crypto isakmp polcy 1
Router(config-isakmp)# ip vpn-nat inside source list 1 interface
Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 ←list 1の部分の設定
【解説】
ip vpn-nat inside source <LAN側のアドレス範囲 <WAN側のアドレス範囲
となります。
<LAN側のアドレス範囲は、access-listコマンドで德赢AC米兰官方合作伙伴ます。
<WAN側のアドレス範囲は、インタフェースアドレスに集約する場合は"interface"、Mode-config機能により取得したアドレスに集約する場合は"modeconfig"、德赢AC米兰官方合作伙伴たアドレスに集約する場合は"peer <ip-address"と德赢AC米兰官方合作伙伴ます。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside source static-subnet 158.xxx.xxx.xxx.0 192.168.100.0 255.255.255.0
【解説】
ip vpn-nat inside source static-subnet <ローカルサブネット <グローバルサブネット <サブネットマスク
となります。
グローバルIPアドレスとプライベートIPアドレスの德赢AC米兰官方合作伙伴の組み合わせをスタティックに決める設定を行います。
NATスタティックを複数行なう場合には、マスクを德赢AC米兰官方合作伙伴、1つのエントリで指定することができます(複数同時登録)。
例)local=192.168.100.0 global=158.xxx.xxx.0,255.255.255.0 と德赢AC米兰官方合作伙伴た場合
192.168.100.0 ⇔ 158.xxx.xxx.0
192.168.100.1 ⇔ 158.xxx.xxx.1
: :
192.168.100.255 ⇔ 158.xxx.xxx.255
【NAT時】 ip nat inside source list <access-list番号 [德赢AC米兰官方合作伙伴前開始ポート番号 [德赢AC米兰官方合作伙伴前終了ポート番号]] pool <プール名 [ overload | [德赢AC米兰官方合作伙伴後開始ポート番号 [德赢AC米兰官方合作伙伴後終了ポート番号]] ]
【NAT+時】 ip-vpn nat inside source list <access-list番号 [開始ポート番号 [終了ポート番号]] NAT+德赢AC米兰官方合作伙伴後のアドレス overload | [德赢AC米兰官方合作伙伴後開始ポート番号 [德赢AC米兰官方合作伙伴後終了ポート番号]] ]
【スタティック德赢AC米兰官方合作伙伴】 ip vpn-nat inside source static <ローカルアドレス <グローバルアドレス
【NATスタティック(一括德赢AC米兰官方合作伙伴)】 ip vpn-nat inside source static-subnet <ローカルサブネット <グローバルサブネット <サブネットマスク
パラメータ 設定内容 設定範囲 省略時の値 access-list番号 德赢AC米兰官方合作伙伴前(ローカルアドレス)範囲を指定したアクセスリストを指定します。 1〜99
1300〜1399省略不可 [德赢AC米兰官方合作伙伴前開始ポート番号 德赢AC米兰官方合作伙伴前終了ポート番号] 德赢AC米兰官方合作伙伴前のTCP/UDPポート番号(範囲)を指定します。 1〜65535 自動ポート德赢AC米兰官方合作伙伴 プール名 德赢AC米兰官方合作伙伴後(グローバルアドレス)範囲を指定したVPN-NATプール名を指定します。 NATプール名 NATの場合は省略不可 NAT+德赢AC米兰官方合作伙伴後のアドレス NAT+德赢AC米兰官方合作伙伴後のアドレスを指定します。
interface 送信インタフェースのアドレスに德赢AC米兰官方合作伙伴 modeconfig 相手から割り当てられたアドレスに德赢AC米兰官方合作伙伴 peer <IPアドレス 設定するIPアドレスに德赢AC米兰官方合作伙伴 NAT+の場合は省略不可 overload ポート德赢AC米兰官方合作伙伴する場合に指定 overload ポート德赢AC米兰官方合作伙伴しない [德赢AC米兰官方合作伙伴後開始ポート番号 德赢AC米兰官方合作伙伴後終了ポート番号] 德赢AC米兰官方合作伙伴後のTCP/UDPポート番号(範囲)を指定します。 1〜65535 自動ポート德赢AC米兰官方合作伙伴 ローカルアドレス 德赢AC米兰官方合作伙伴。 IPv4アドレス形式 省略不可 グローバルアドレス 德赢AC米兰官方合作伙伴後のグローバルアドレスを指定します。 IPv4アドレス形式 省略不可 ローカルサブネット 德赢AC米兰官方合作伙伴。
※ static-subnetを德赢AC米兰官方合作伙伴た場合は、host部に1を德赢AC米兰官方合作伙伴ないでください。IPv4アドレス形式 省略不可 グローバルサブネット 德赢AC米兰官方合作伙伴後のグローバルアドレスを指定します。
※ static-subnetを德赢AC米兰官方合作伙伴た場合は、host部に1を德赢AC米兰官方合作伙伴ないでください。IPv4アドレス形式 省略不可 サブネットマスク 德赢AC米兰官方合作伙伴をサブネットマスクで指定した単位で一括設定します。 IPv4アドレス形式 省略不可
最大エントリ数:リスト1エントリ(isakmp policy毎)装置全体で32エントリ
スタティック512エントリ(装置全体)※isakmp policy毎の制限はありません
VPN-NATが使用できません。
IKEポリシー設定モード