シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

NAT使用時のACLについて

お世話になります。

現在NTT回線を利用して固定IP一つをNATしブロードバンドルーターとして設定しています。

以下のように標準のACLを作成し PPPOEを張っているDialerインターフェースにOverloadしています。

access-list 1 permit 192.168.100.0 0.0.0.255

ip nat inside source list 1 interface Dialer1 overload

諸事情がありこのACLを標準でなく100番台の拡張ACLに置き換える必要がでてきました。

そこで単純に以下のようにACLとNATの設定を書き換えたのですがLAN側からインターネットに

アクセスできたりできなかったりしてしまいます。(もしかするとどのLAN側の端末からもネットに出られないのかもしれません)

※アクセスが出来ないというのはLAN側の端末から外部のWEBサイトに対してPING疎通を行って確認しました。

access-list 100 permit ip 192.168.100.0 0.0.0.255 any

ip nat inside source list 100 interface Dialer1 overload

念のためこちらのコンフィグに切替えた後以下のコマンドでNATテーブルをクリアにしていますが、

つながらない状態です。

clear ip nat translation *

標準ACLと拡張ACLは同一となるように記載しているつもりですが、何か決定的なミスがあるのでしょうか。

つながらないので先に記載した標準ACLにオーバーロードしなおすとすんなり全ての端末がネットにアクセス可能となります。

宜しくお願いします。

1 件の受理された解決策

受理された解決策
New Member

NAT使用時のACLについて

list で指定できるのは標準ACLのみになると思いますので、拡張ACLを使用する場合には

list ではなく route-map を使用すべきかと思います。

こちらのページにサンプル設定が記載されていました。

http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr/command/ipaddr-i3.html#wp1284532593

3 件の返信
New Member

NAT使用時のACLについて

list で指定できるのは標準ACLのみになると思いますので、拡張ACLを使用する場合には

list ではなく route-map を使用すべきかと思います。

こちらのページにサンプル設定が記載されていました。

http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr/command/ipaddr-i3.html#wp1284532593

New Member

NAT使用時のACLについて

suzuki様

ご連絡ありがとうございます。

色々試した結果、ROOTMAPを適用することにしました。しかしROOTMAPであってもACLの最後にlogオプションを付けるとアクセスが出来なくlogオプションを外すと問題無くアクセスできる問題を発見しました。

これらは標準ACLでもNATを利用しているときは同じようで、たとえば以下のような挙動になります。

アクセス出来る

access-list 1 permit 192.168.100.0 0.0.0.255

ip nat inside source list 1 interface Dialer1 overload

アクセス出来ない

access-list 1 permit 192.168.100.0 0.0.0.255 log

ip nat inside source list 1 interface Dialer1 overload

これはバグ?なのかもしれないと思い色々検索してみましたが見当たりませんでした。 ひとまずLOGオプションを付けずにROOTMAPを適用して現在は問題無く動作しています。

New Member

NAT使用時のACLについて

追記

NATで利用するACLにはLOGオプションは非対応とCISCOのサイトに記載がありました。

LOGと付けることができるようですが意図した動作にならないようです。

おそらくこのあたりではまっていたのだと思います。

2049
閲覧回数
4
いいね!
3
返信
作成コンテンツを作成するには してください