ダイヤラインタフェースで NAT Overload を使用する場合の注意点

ドキュメント

2014/03/24 - 18:45
5月 16th, 2012

通常ダイヤラインタフェースでは120秒のデフォルトアイドルタイムアウトが有効になっているため、対象トラフィック ("dialer-list" コマンドで定義します) がリンクを通過しない場合にはアイドルタイムアウトのカウントダウンが開始されます。対象トラフィックがリンクを通過することでアイドルタイムアウトはリセットされますが、対象トラフィックが120秒間通過しなければ接続解除されます。

ダイヤラインタフェースで NAT Overload を使用する場合に、"dialer-list" コマンドにて対象トラフィックが正しく定義されていないと、通過するトラフィックが DDR にて対象トラフィックと分類されずに接続解除されるといったことが発生するため注意が必要です。

以下の構成で簡単に説明します。

DOC-24476

/// NAT Router の設定 ///
!
interface Serial2/0:23
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type primary-ntt
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer string 1234
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname R113
ppp chap password 0 cisco
!
ip nat inside source list TEST-Di1 interface Dialer1 overload
!
ip access-list extended TEST-Di1
permit ip any host 10.1.1.1
!
dialer-list 1 protocol ip list 120
!
access-list 120 permit ip host 10.3.3.2 any
access-list 120 permit ip host 10.2.2.10 any
!

NAT Router のダイヤラインタフェース(Dialer1)には "ip address negotiated" が設定されているため未接続の状態ではダイヤラインタフェースは IP アドレスを持ちません。また NAT の設定ではダイヤラインタフェースの IP アドレスが Inside global アドレスとして使用されるため、接続が完了してダイヤラインタフェースに IP アドレスが割り振られるまでは NAT は動作しません。

そのため、未接続の状態では NAT 変換前の IP アドレス(Inside local アドレス)が DDR の対象トラフィックとして分類されます。この構成の例では、未接続の状態ではホストの IP アドレス 10.3.3.2 が DDR の対象トラフィックとして分類され、ホストからサーバ宛への通信により接続が確立されます。

接続が確立されてダイヤラインタフェースに IP アドレスが割り振られると、NAT 変換後の IP アドレス(Inside global アドレス)が DDR の対象トラフィックとして分類されます。割り振られる IP アドレスは接続先のルータの設定に依存しますが、この構成では IP アドレス 10.2.2.10 が割り振られることにします。この場合、接続が確立した後の状態ではダイヤラインタフェースに割り振られた IP アドレス 10.2.2.10 が DDR の対象トラフィックとして分類されます。

以上のことから、"dialer-list" コマンドで定義するアクセスリスト(access-list 120)では 10.3.1.2 と 10.2.2.10 の2つの IP アドレスが対象トラフィックに含まれるよう予め設定する必要があります。

Loading.

アクション

このドキュメントについて

Related Content