NATテーブルの管理(その2)
ここでは、NATを管理するコマンドを紹介していきます。
NAT アドレステーブルのクリア
# clear nat descriptor dynamic nat_descriptor
【設定値及び初期値】
●nat_descriptor
設定値 :
設定値 | 説明 |
1..2147483647 | NAT ディスクリプタ番号 |
all | 全ての NAT ディスクリプタ番号 |
【説明】
NATアドレステーブルをクリアする。
インタフェースの NAT アドレステーブルのクリア
# clear nat descriptor interface dynamic interface
# clear nat descriptor interface dynamic pp [peer_num]
# clear nat descriptor interface dynamic tunnel [tunnel_num]
【設定値及び初期値】
●interface
設定値 : LAN インタフェース名、WAN インタフェース名
●peer_num
設定値 :
・相手先情報番号
・anonymous
・省略時は現在選択している相手先
●tunnel_num
設定値 :
・トンネルインタフェース番号
・省略時は現在選択されているトンネルインタフェース
【説明】
インタフェースに適用されている NATアドレステーブルをクリアする。
NATのIP アドレスマップの消去タイマの設定
# nat descriptor timer nat_descriptor time
# nat descriptor timer nat_descriptor protocol=protocol [port=port_range] time
# nat descriptor timer nat_desciptor tcpfin time2
【設定値及び初期値】
●nat_descriptor
設定値 : NAT ディスクリプタ番号 (1..2147483647)
●time
設定値 : 消去タイマの秒数 (30..21474836)
初期値 : 900
●time2
設定値 : TCP/FIN 通過後の消去タイマの秒数 (1-21474836)
初期値 : 60
●protocol
設定値 : プロトコル
●port_range
設定値 : ポート番号の範囲、プロトコルが TCP または UDP の場合にのみ有効
【説明】
NATやIPマスカレードのセッション情報を保持する期間を設定する。IP マスカレードの場合は、プロトコルやポート番号別にNATタイマを設定することもできる。
また、IPマスカレードの場合には、TCP/FIN 通過後のNATタイマを設定することもできる。TCP/FIN が通過したセッションは終了するセッションなので、このタイマを短くすることでNATテーブルの使用量を抑えることができる。
IP マスカレードで変換するセッション数の設定
# nat descriptor masquerade session limit nat_descriptor id limit
【設定値及び初期値】
●nat_descriptor
設定値 : NAT ディスクリプタ番号 (1..2147483647)
●id
設定値 : セッション数設定の識別番号 (1)
●limit
設定値 :
・制限値 (1..40000)(RTX3000)
・制限値 (1..20000)(RTX1200)
・制限値 (1..10000)(RTX810)
・制限値 (1..4096)( 上記以外 )
初期値 :
・40000(RTX3000)
・20000(RTX1200)
・10000(RTX810)
・4096( 上記以外 )
【説明】
IPマスカレードで変換するセッションの最大数を設定する。
NATテーブルのカスタマイズ
ここでは、NATテーブルをカスタマイズしていきます。
ネットワーク構成は、下図の通りです。

NATディスクリプタ1の全てのプロトコルで、セッション保持期間を5分(300秒)に変更します。
R1# nat descriptor timer 1 300
TCPのポート番号80宛のセッション保持期間を60秒に設定します。
R1# nat descriptor timer 1 protocol=tcp port=80 60
特定の端末が大量にセッションを使っている場合は、「nat descriptor masquerade session limit」コマンドで、ホスト毎のセッションの最大数を指定します。
このコマンドは、RTX3000、RTX1500、RTX1200、RTX1100などのルータで使用できます。RTX1000では、使用できません。
端末毎のセッション数を150に設定します。
R1# nat descriptor masquerade session limit 1 1 150
動作検証
ブラウザを起動して動画サイトを中心に、激しくネットサーフィンを行ってみます。

NATのセッション数が、150を超えた辺りから、インターネットへの接続が重くなります。
※ルータの性能によってインターネットへの接続が重くなるセッション数は異なってきます。
このように、NATのセッション数を制限することで、インターネットへの接続を特定のユーザに独占状態を解消し、他のユーザと平等にすることができ、安定化することができます。
ただし、端末毎のセッション数については、たくさんのセッションを使用するアプリケーションもあるため、各ネットワークの環境に応じて調整する必要があります。