【NAT】ポートアドレス変換（PAT）

ポートアドレス変換（PAT）
設定
確認

ポートアドレス変換（PAT）

　LANにもっと多くのコンピュータがあり、ISPからは単一のグローバルIPアドレスしか払い出されない場合は、ポートアドレス変換を使用します。ISPからのグローバルIPアドレスは固定し、送信元のポート番号を変換します。

　下記の図の通り、R2からR4への通信は、R3で送信元アドレスを192.168.34.3(fastEthernet0/0.34)とし、ポートアドレス変換するものとします。

設定

　まず、R3のインターフェースでNATの内部と外部を定義します。

R3(config)#interface FastEthernet0/0.23
R3(config-subif)# ip nat inside
R3(config-subif)#exit
R3(config)#interface FastEthernet0/0.34
R3(config-subif)# ip nat outside

　次に、送信元となるNAT内部のアドレスをアクセスリストで定義します。今回は、アクセスリスト1とし192.168.23.0/24を設定します。

R3(config)# access-list 1 permit 192.168.23.0 0.0.0.255

　最後にアクセスリストと送信元インタフェースを紐付けます。

R3(config)# ip nat inside source list 1 interface FastEthernet0/0.34 overload

　設定を前から順番に、ip nat でinsideで受信したsourceのアドレスをlist 1からFastEthernet0/0.34 にポート変換（overload）します.

確認

　まず、R2に複数のIPアドレスとデフォルトルートを設定します。

R2(config)#int fa0/0.23
R2(config-subif)#ip address 192.168.23.2 255.255.255.0 
R2(config-subif)#ip address 192.168.23.22 255.255.255.0 secondary 
R2(config-subif)#ip address 192.168.23.222 255.255.255.0 secondary 
R2(config-subif)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.3

　では、R2からR4へPingやTelnet (TCP 23番、80番)を実行します。

R2#ping 192.168.34.4                      
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.34.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 184/209/224 ms
R2#ping 192.168.34.4 source 192.168.23.22 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.34.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.23.22 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/222/532 ms
R2#ping 192.168.34.4 source 192.168.23.222
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.34.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.23.222 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/94/100 ms
R2#telnet 192.168.34.4
Trying 192.168.34.4 ... Open

Password required, but none set

[Connection to 192.168.34.4 closed by foreign host]
R2#telnet 192.168.34.4
Trying 192.168.34.4 ... Open

Password required, but none set

[Connection to 192.168.34.4 closed by foreign host]
R2#telnet 192.168.34.4 80
Trying 192.168.34.4, 80 ... 
% Connection refused by remote host

R3のNATテーブルを確認します。

R3# show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.34.3:10   192.168.23.2:10    192.168.34.4:10    192.168.34.4:10
tcp 192.168.34.3:17776  192.168.23.2:17776 192.168.34.4:23    192.168.34.4:23
tcp 192.168.34.3:22663  192.168.23.2:22663 192.168.34.4:23    192.168.34.4:23
tcp 192.168.34.3:34556  192.168.23.2:34556 192.168.34.4:80    192.168.34.4:80
icmp 192.168.34.3:11    192.168.23.22:11   192.168.34.4:11    192.168.34.4:11
icmp 192.168.34.3:12    192.168.23.222:12  192.168.34.4:12    192.168.34.4:12

　Inside Global（NATを実行しているルーターの外部インターフェイスのIPアドレス）が192.168.34.３のみ使用されています。上の例では、送信元のポート番号はNAT前と同じ番号に変換されていますが、もし、変換後のポート番号が競合すれば、未使用の番号に変換されます。