このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

 ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」ボタンから演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。

演習ファイルのダウンロード

ACLとNAT(その1)

 Ciscoルータにおいて、NATやACL、ルーティングなどの設定がある場合、アクセスリストはNAT変換後にチェックが行われるのでしょうか?あるいは、NAT変換前にチェックが行われるのでしょうか?

疑問になるかと思います。

 また、ルーティングはNAT変換後のIPアドレスを基に行われるのか?変換前のIPアドレスを基に行われるのか?

処理の順番についても、疑問になるかと思います。

パケットがインターフェイスに着信してから処理については、下表のように処理されます。

Inside から Outside へOutside から Inside へ
①IPSec の場合は入力アクセス リストをチェック

②復号化: CET または IPSec

③入力アクセス リストをチェック

④入力レート制限をチェック

⑤入力アカウンティング

⑥Web キャッシュにリダイレクト

⑦ポリシー ルーティング

⑧ルーティング

⑨Inside から Outside への NAT

⑩クリプト(暗号化用のマップのチェックとマーク)

⑪出力アクセス リストをチェック

⑫検査(コンテキストベース アクセス制御(CBAC))

⑬TCP インターセプト

⑭暗号化

⑮キューイング
①IPSec の場合は入力アクセス リストをチェック

②復号化: CET または IPSec

③入力アクセス リストをチェック

④入力レート制限をチェック

⑤入力アカウンティング

⑥Web キャッシュにリダイレクト

⑦Outside から Inside への NAT

⑧ポリシー ルーティング

⑨ルーティング

⑩クリプト(暗号化用のマップのチェックとマーク)

⑪出力アクセス リストをチェック

⑫CBAC 検査

⑬TCP インターセプト

⑭暗号化

⑮キューイング

それでは、NAT 使用時における ACL の配置と処理の順番について検証していきます。

ネットワーク構成は、下図のとおりです。

基本設定

まず、各ルータのホスト名とIPv4アドレスなどの基本設定を行います。

各ルータの基本コンフィグは、以下のとおりです。

●R1のコンフィグ
enable
conf t
hostname R1
ip route 0.0.0.0 0.0.0.0 200.200.200.2
int g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int g0/1
ip address 200.200.200.1 255.255.255.252
no shutdown
end
copy run start

●R2のコンフィグ
enable
conf t
hostname R2
ip route 192.168.1.0 255.255.255.0 200.200.200.1
int g0/1
ip address 200.200.200.2 255.255.255.252
no shutdown
int lo0
ip address 10.0.0.1 255.255.255.0
int lo1
ip address 20.0.0.1 255.255.255.0
int lo2
ip address 30.0.0.1 255.255.255.0
int lo3
ip address 40.0.0.1 255.255.255.0
end
copy run start

PAT(オーバーローディング)の設定

R1ルータにPATを設定する

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface g0/1 overload
R1(config)#int g0/0
R1(config-if)#ip nat inside
R1(config-if)#int g0/1
R1(config-if)#ip nat outside

続きは、次の「ACLとNAT(その2)」で、ACLを配置していきます。

関連コンテンツ