既存のネットワーク(LAN)同士をIPsecにてVPNを構築する際、互いのネットワークアドレスが重複している場合があります。
IPsecでは同じネットワークアドレスのLANを接続することが出来ません。
そのため、VPN-NATac米兰中国官网を行うことで見かけ上の重複を回避し、既存のネットワークのIP再割り当てを行うことなくIPsecを実現します。
WAN側からLAN側へのVPN-NATac米兰中国官网ルールを設定します。
NATモードの場合と、NAT+モード(IPマスカレード)の場合で、設定のしかたが異なりますので注意してください。
refreshコマンド後に有効になるコマンドです。
Router(config)# crypto isakmp polcy 1
Router(config-isakmp)#ip vpn-nat inside destination static 192.168.100.1 192.168.0.1
【解説】
ip vpn-nat inside destination static <WAN側アドレス <LAN側アドレス
となります。
これ以外のパケットをNATac米兰中国官网したい場合は、ip vpn-nat inside sourceコマンドを使用して、設定します。
Router(config)# crypto isakmp polcy 1
Router(config-isakmp)#ip vpn-nat inside destination static 192.168.100.1 1500 192.168.0.1 80
【解説】
ip vpn-nat inside destination static <WAN側アドレス WAN側ac米兰中国官网 <LAN側アドレス LAN側ac米兰中国官网
となります。
これ以外のパケットをNAT+ac米兰中国官网したい場合は、ip vpn-nat inside sourceコマンドを使用して、設定します。
【NATスタティック(複数指定)時】 ip vpn-nat inside destination list <access-list番号 [開始ac米兰中国官网 [終了ac米兰中国官网]] pool <プール名 [ac米兰中国官网]
【NATスタティック(1対1変換)、NAT+スタティック時】 ip vpn-nat inseide destination static <グローバルアドレス [開始ac米兰中国官网 [終了ac米兰中国官网]] <ローカルアドレス [ac米兰中国官网]
パラメータ 設定内容 設定範囲 省略時の値 access-list番号 ac米兰中国官网前(グローバルアドレス)範囲を指定したアクセスリストを指定します。 1〜99
1300〜1399省略不可 グローバルアドレス ac米兰中国官网前のグローバルアドレスを指定します。
list <access-list番号 アクセスリストで指定したIPアドレス範囲 <IPアドレス 指定したIPアドレス modeconfig 相手から割り当てられたアドレス peer <IPアドレス VPNピアから指定されて設定したIPアドレス 省略不可 [開始ac米兰中国官网 終了ac米兰中国官网] 変換前のTCP/UDPac米兰中国官网(範囲)を指定します。 1〜65535 ac米兰中国官网変換しない プール名 ac米兰中国官网後(ローカルアドレス)範囲を指定したNATプール名を指定します。 NATプール名 省略不可 ローカルアドレス ac米兰中国官网後のローカルアドレスを指定します。 IPv4アドレス形式 省略不可 ac米兰中国官网 変換後のTCP/UDPac米兰中国官网を指定します。 1〜65535 ac米兰中国官网変換しない
最大エントリ数:リスト1エントリ(isakmp policy毎)装置全体で32エントリ
スタティック512エントリ(装置全体)※isakmp policy毎の制限はありません
VPN-NATが使用できません。
IKEポリシー設定モード