NATテーブルの管理(その2)

ここでは、NATを管理するコマンドを紹介していきます。

NAT アドレステーブルのクリア

# clear nat descriptor dynamic nat_descriptor

【設定値及び初期値】

●nat_descriptor

設定値 :

設定値説明
1..2147483647NAT ディスクリプタ番号
all全ての NAT ディスクリプタ番号

【説明】
NATアドレステーブルをクリアする。

インタフェースの NAT アドレステーブルのクリア

# clear nat descriptor interface dynamic interface
# clear nat descriptor interface dynamic pp [peer_num]
# clear nat descriptor interface dynamic tunnel [tunnel_num]

【設定値及び初期値】

●interface
設定値 : LAN インタフェース名、WAN インタフェース名

●peer_num
設定値 :
 ・相手先情報番号
 ・anonymous
 ・省略時は現在選択している相手先

●tunnel_num
設定値 :
 ・トンネルインタフェース番号
 ・省略時は現在選択されているトンネルインタフェース

【説明】
インタフェースに適用されている NATアドレステーブルをクリアする。

NATのIP アドレスマップの消去タイマの設定

# nat descriptor timer nat_descriptor time
# nat descriptor timer nat_descriptor protocol=protocol [port=port_range] time
# nat descriptor timer nat_desciptor tcpfin time2

【設定値及び初期値】

●nat_descriptor
設定値 : NAT ディスクリプタ番号 (1..2147483647)

●time
設定値 : 消去タイマの秒数 (30..21474836)
初期値 : 900

●time2
設定値 : TCP/FIN 通過後の消去タイマの秒数 (1-21474836)
初期値 : 60

●protocol
設定値 : プロトコル

●port_range
設定値 : ポート番号の範囲、プロトコルが TCP または UDP の場合にのみ有効

【説明】
 NATやIPマスカレードのセッション情報を保持する期間を設定する。IP マスカレードの場合は、プロトコルやポート番号別にNATタイマを設定することもできる。
 また、IPマスカレードの場合には、TCP/FIN 通過後のNATタイマを設定することもできる。TCP/FIN が通過したセッションは終了するセッションなので、このタイマを短くすることでNATテーブルの使用量を抑えることができる。

IP マスカレードで変換するセッション数の設定

# nat descriptor masquerade session limit nat_descriptor id limit

【設定値及び初期値】

●nat_descriptor
設定値 : NAT ディスクリプタ番号 (1..2147483647)

●id
設定値 : セッション数設定の識別番号 (1)

●limit
設定値 :
 ・制限値 (1..40000)(RTX3000)
 ・制限値 (1..20000)(RTX1200)
 ・制限値 (1..10000)(RTX810)
 ・制限値 (1..4096)( 上記以外 )
初期値 :
 ・40000(RTX3000)
 ・20000(RTX1200)
 ・10000(RTX810)
 ・4096( 上記以外 )

【説明】
IPマスカレードで変換するセッションの最大数を設定する。

NATテーブルのカスタマイズ

ここでは、NATテーブルをカスタマイズしていきます。

ネットワーク構成は、下図の通りです。

NATディスクリプタ1の全てのプロトコルで、セッション保持期間を5分(300秒)に変更します。

R1# nat descriptor timer 1 300

TCPのポート番号80宛のセッション保持期間を60秒に設定します。

R1# nat descriptor timer 1 protocol=tcp port=80 60

 特定の端末が大量にセッションを使っている場合は、「nat descriptor masquerade session limit」コマンドで、ホスト毎のセッションの最大数を指定します。

 このコマンドは、RTX3000、RTX1500、RTX1200、RTX1100などのルータで使用できます。RTX1000では、使用できません。

端末毎のセッション数を150に設定します。

R1# nat descriptor masquerade session limit 1 1 150

動作検証

ブラウザを起動して動画サイトを中心に、激しくネットサーフィンを行ってみます。

NATのセッション数が、150を超えた辺りから、インターネットへの接続が重くなります。

※ルータの性能によってインターネットへの接続が重くなるセッション数は異なってきます。

 このように、NATのセッション数を制限することで、インターネットへの接続を特定のユーザに独占状態を解消し、他のユーザと平等にすることができ、安定化することができます。

 ただし、端末毎のセッション数については、たくさんのセッションを使用するアプリケーションもあるため、各ネットワークの環境に応じて調整する必要があります。