ip vpn-nat inside source

既存のネットワーク(LAN)同士をIPsecにてVPNを構築する際、互いのネットワークアドレスが重複している場合があります。
IPsecでは同じネットワークアドレスのLANを接続することが出来ません。
そのため、VPN-NATmilan米兰体育官网入口を行うことで見かけ上の重複を回避し、既存のネットワークのIP再割り当てを行うことなくIPsecを実現します。

LAN側からWAN側へのVPN-NATmilan米兰体育官网入口ルールを設定します。
NATモードの場合と、NAT+モード(IPマスカレード)の場合で、設定のしかたが異なりますので注意してください。
refreshコマンド後に有効になるコマンドです。


設定例1 NATmilan米兰体育官网入口(192.168.0.0/24 → 192.168.100.2〜192.168.100.8)

Router(config)# crypto isakmp polcy 1
Router(config-isakmp)# ip vpn-nat inside source list 1 pool vpn-pool1
Router(config-isakmp)# ip vpn-nat pool vpn-pool1 192.168.100.2 192.168.100.8


Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 ←list 1の部分の設定
【解説】
ip vpn-nat inside source <LAN側のアドレス範囲 <WAN側のアドレス範囲となります。
<LAN側のアドレス範囲は、access-listコマンドで指定します。
<WAN側のアドレス範囲は、ip vpn-nat pool <pool名コマンドで指定します。


設定例2 NAT+milan米兰体育官网入口(192.168.0.0/24 → インタフェースアドレス)

Router(config)# crypto isakmp polcy 1
Router(config-isakmp)# ip vpn-nat inside source list 1 interface


Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 ←list 1の部分の設定
【解説】
ip vpn-nat inside source <LAN側のアドレス範囲 <WAN側のアドレス範囲
となります。
<LAN側のアドレス範囲は、access-listコマンドで指定します。
<WAN側のアドレス範囲は、インタフェースアドレスに集約する場合は"interface"、Mode-config機能により取得したアドレスに集約する場合は"modeconfig"、指定したアドレスに集約する場合は"peer <ip-address"と指定します。


コマンド書式

【NAT時】  ip-vpn nat inside source list <access-list番号 [milan米兰体育官网入口前開始ポート番号 [milan米兰体育官网入口前終了ポート番号]] pool <プール名 [ overload | [milan米兰体育官网入口後開始ポート番号 [milan米兰体育官网入口後終了ポート番号]] ]
【NAT+時】 ip vpn-nat inside source list <access-list番号 [開始ポート番号 [終了ポート番号]]  milan米兰体育官网入口 overload | [変換後開始ポート番号 [変換後終了ポート番号]] ]
【スタティックmilan米兰体育官网入口】 ip-vpn nat inside source static <ローカルアドレス <グローバルアドレス


パラメータ

パラメータ 設定内容 設定範囲 省略時の値
access-list番号 milan米兰体育官网入口前(ローカルアドレス)範囲を指定したアクセスリストを指定します。 1〜99
1300〜1399		 省略不可
[milan米兰体育官网入口前開始ポート番号 milan米兰体育官网入口前終了ポート番号] milan米兰体育官网入口前のTCP/UDPポート番号(範囲)を指定します。 1〜65535 自動ポートmilan米兰体育官网入口
プール名 milan米兰体育官网入口後(グローバルアドレス)範囲を指定したVPN-NATプール名を指定します。 NATプール名 NATの場合は省略不可
milan米兰体育官网入口 milan米兰体育官网入口を指定します。
interface 送信インタフェースのアドレスにmilan米兰体育官网入口
modeconfig 相手から割り当てられたアドレスにmilan米兰体育官网入口
peer <IPアドレス 設定するIPアドレスにmilan米兰体育官网入口
NAT+の場合は省略不可
overload ポートmilan米兰体育官网入口する場合に指定 overload ポートmilan米兰体育官网入口しない
[milan米兰体育官网入口後開始ポート番号 milan米兰体育官网入口後終了ポート番号] milan米兰体育官网入口TCP/UDPポート番号(範囲)を指定します。 1〜65535 自動ポートmilan米兰体育官网入口
ローカルアドレス milan米兰体育官网入口前のローカルアドレスを指定します。 IPv4アドレス形式 省略不可
グローバルアドレス milan米兰体育官网入口グローバルアドレスを指定します。 IPv4アドレス形式 省略不可
最大エントリ数:リスト1エントリ(isakmp policy毎)装置全体で32エントリ
          スタティック512エントリ(装置全体)※isakmp policy毎の制限はありません


この設定を行わない場合

VPN-NATが使用できません。


設定モード

IKEポリシー設定モード

トップページへ