既存のネットワーク(LAN)同士をIPsecにてVPNを構築する際、互いのネットワークアドレスが重複している場合があります。
IPsecでは同じネットワークアドレスのLANを接続することが出来ません。
そのため、VPN-NATmilan米兰体育官网入口を行うことで見かけ上の重複を回避し、既存のネットワークのIP再割り当てを行うことなくIPsecを実現します。
WAN側からLAN側へのVPN-NATmilan米兰体育官网入口ルールを設定します。
NATモードの場合と、NAT+モード(IPマスカレード)の場合で、設定のしかたが異なりますので注意してください。
パラメータ"static-subnet"を指定することによりVPN-NATのmilan米兰体育官网入口ルールを、ネットワーク単位で指定することもできます。<グローバルアドレス・サブネットマスクで指定したグローバルアドレスから<ローカルアドレス・サブネットマスクで指定したローカルアドレスへのmilan米兰体育官网入口を、<サブネットマスクで指定した単位で一括設定します。
VPN-NATと、IPsecインタフェースでのNAT※の、それぞれ設定に不整合がない場合は、IPsecインタフェースでのNATが有効となり、VPN-NATは無効となります。
※IPsecインタフェースでのNATはV01.11(00)以降サポ−ト
refreshコマンド後に有効になるコマンドです。
IKEv1専用コマンド
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside destination static 192.168.100.1 192.168.0.1
【解説】
ip vpn-nat inside destination static <WAN側アドレス <LAN側アドレス
となります。
これ以外のパケットをNATmilan米兰体育官网入口したい場合は、ip vpn-nat inside sourceコマンドを使用して、設定します。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside destination static 192.168.100.1 1500 192.168.0.1 80
【解説】
ip vpn-nat inside destination static <WAN側アドレス WAN側ポート番号 <LAN側アドレス LAN側ポート番号
となります。
これ以外のパケットをNAT+milan米兰体育官网入口したい場合は、ip vpn-nat inside sourceコマンドを使用して、設定します。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#ip vpn-nat inside destination static-subnet 158.xxx.xxx.0 192.168.100.0 255.255.255.0
【解説】
ip vpn-nat inside destination static-subnet<グローバルサブネット <ローカルサブネット <サブネットマスク
となります。
グローバルIPアドレスとプライベートIPアドレスのmilan米兰体育官网入口の組み合わせをスタティックに決める設定を行います。
NATスタティックを複数行なう場合には、マスクをmilan米兰体育官网入口、1つのエントリで指定することができます(複数同時登録)。
例)local=192.168.100.0 global=158.xxx.xxx.0,255.255.255.0 とmilan米兰体育官网入口た場合
192.168.100.0 ⇔ 158.xxx.xxx.0
192.168.100.1 ⇔ 158.xxx.xxx.1
: :
192.168.100.255 ⇔ 158.xxx.xxx.255
【NATスタティック(複数指定)時】 ip vpn-nat inside destination list <access-list番号 [開始ポート番号 [終了ポート番号]] pool <プール名 [ポート番号]
【NATスタティック(1対1milan米兰体育官网入口)、NAT+スタティック時】 ip vpn-nat inside destination static <グローバルアドレス [開始ポート番号 [終了ポート番号]] <ローカルアドレス [ポート番号]
【NATスタティック(一括milan米兰体育官网入口)】 ip vpn-nat inside destination static-subnet <グローバルサブネット <ローカルサブネット <サブネットマスク
パラメータ 設定内容 設定範囲 省略時の値 access-list番号 milan米兰体育官网入口前(グローバルアドレス)範囲を指定したアクセスリストを指定します。 1〜99
1300〜1399省略不可 グローバルアドレス milan米兰体育官网入口。
list <access-list番号 アクセスリストでmilan米兰体育官网入口たIPアドレス範囲 <IPアドレス milan米兰体育官网入口たIPアドレス modeconfig 相手から割り当てられたアドレス peer <IPアドレス VPNピアから指定されて設定したIPアドレス 省略不可 [開始ポート番号 終了ポート番号] milan米兰体育官网入口前のTCP/UDPポート番号(範囲)を指定します。 1〜65535 ポートmilan米兰体育官网入口しない プール名 milan米兰体育官网入口後(ローカルアドレス)範囲を指定したNATプール名を指定します。 NATプール名 省略不可 ローカルアドレス milan米兰体育官网入口。 IPv4アドレス形式 省略不可 ポート番号 milan米兰体育官网入口後のTCP/UDPポート番号を指定します。 1〜65535 ポートmilan米兰体育官网入口しない グローバルサブネット milan米兰体育官网入口。
※static-subnetをmilan米兰体育官网入口た場合は、host部に1をmilan米兰体育官网入口ないでください。IPv4アドレス形式 省略不可 ローカルサブネット milan米兰体育官网入口。
※static-subnetをmilan米兰体育官网入口た場合は、host部に1をmilan米兰体育官网入口ないでください。IPv4アドレス形式 省略不可 サブネットマスク milan米兰体育官网入口をサブネットマスクで指定した単位で一括設定します。 IPv4アドレス形式 省略不可
最大エントリ数:リスト1エントリ(isakmp policy毎)装置全体で32エントリ
スタティック512エントリ(装置全体)※isakmp policy毎の制限はありません
VPN-NATが使用できません。
NATmilan米兰体育官网入口ルールは以下の順序で適用されます。
1)staticmilan米兰体育官网入口ルール
2)listによるmilan米兰体育官网入口ルール
同じ種類のルール内では、Prefix長が長いルールが優先して適用されます。
同一Prefix長の設定が複数あった場合には、config上で先に登録されたものが優先されます。
なお、configには、以下の順に登録され、同じ種類については入力順に登録されます。
1)staticmilan米兰体育官网入口ルール(既存のホストアドレス指定)
2)static-subnetmilan米兰体育官网入口ルール
3)listによるmilan米兰体育官网入口ルール
IKEポリシー設定モード