Cisco Support Community
cancel
Showing results for 
Search instead for 
Did you mean: 
Announcements

Welcome to Cisco Support Community. We would love to have your feedback.

For an introduction to the new site, click here. If you'd prefer to explore, try our test area to get started. And see here for current known issues.

ルータ一般 について (Ask the Expert)

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ!

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

今回は ISR, ISR-G2, CISCO7200, CISCO10000, CISCO12000, ASR900, ASR1000 など、一般的なルータ関連の質問にお答えします。

TAC SR Collection(SRC) には「ルータ一般」のカテゴリがありますのでご参照ください。

この中のコンテンツに分類されるような内容の質問が今回の「エキスパートに質問」の対象となります

https://supportforums.cisco.com/community/csc-japan/tac_src/router_general

担当エキスパート: 高尾 竜太 (Ryota Takao)

Cisco Japan TAC のカスタマーサポートエンジニアとして、LAN スイッチ製品、ルータ製品のサポートを担当し、

現在は主に、ルータ製品のサポートを担当している。

Routing & Switching トラック と Service Provider トラック の CCIE 資格を保有。


ディスカッション開催期間: 7月29日(月)~8月11日(日)

[質問の回答方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております!

[エキスパートからの回答について]

質   問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容に    よっては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。

ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。

12 REPLIES
New Member

ルータ一般 について (Ask the Expert)

いつもお世話になっております。

GREトンネル処理をH/Wで行えるルータはございますでしょうか?

また、H/W処理が可能な機器がある場合に、トンネル数など制限はございますでしょうか?

Cisco Employee

ルータ一般 について (Ask the Expert)

いつもお世話になっております。

GRE tunnel の転送処理を H/W で行えるルータですが、転送専用のH/W(Forwarding Engine)を搭載しているようなルータであれば、H/W で転送可能です。

以下のようなルータは転送専用のH/W(Forwarding Engine)を搭載しておりますので、H/W での転送が可能です。

CISCO10000, CISCO12000, ASR903, ASR1000

ISR G1 や ISR G2 ルータは 転送専用のH/W(Forwarding Engine) を搭載しておりませんが、

CEF で処理されるため高速に転送されます。

トンネルの制限は機器ごとに異なります。

全てのルータを確認するのは数が多く難しいので、ご使用するルータをご教示頂ければ、

そのルータについての制限数を確認いたします。

どうぞよろしくお願いします。

New Member

ルータ一般 について (Ask the Expert)

Cisco 892FSP の性能についてご質問させてください。

下記の情報があれば教えていただけますでしょうか。

pps (64byte)

・bps (1500byte)

また、LANSWポート(10/100/1000×8)は、L2のみで利用する際は、

ワイヤレートで処理可能でしょうか

以上、よろしくお願いいたします。

Cisco Employee

Re: ルータ一般 について (Ask the Expert)

お世話になっております。

社内にも頂いた内容について情報はございませんでした。

ですので、代わりに検証を行いました。

私が行った検証結果ですのであくまで参考値として頂ければと思います。

>下記の情報があれば教えていただけますでしょうか。

>・pps (64byte)

>・bps (1500byte)

frame size 64 byte で 460,000pps まで drop なく転送可能でした。

1500 byte の場合、双方向で wirerate(986.842Mbps)で流した場合にも drop は発生いたしませんでした。

>また、LANSWポート(10/100/1000×8)は、L2のみで利用する際は、

>ワイヤレートで処理可能でしょうか

はい、wirerate で転送可能です。

それぞれの検証結果を添付いたしますので、詳細は添付の C892FSP-K9_検証結果.pptx をご確認ください。

よろしくお願いします。

New Member

ルータ一般 について (Ask the Expert)

お世話になります。

P2Pほか、アプリケーションレイヤのトラフィックを識別してQoS可能なルータ(ASR1Kシリーズ)を探しているのですが

ASR1002Xでは実現可能でしょうか。

もしどのモデルから、といった情報があれば教えていただけると幸いです。

以上、よろしくお願い致します。

Cisco Employee

Re: ルータ一般 について (Ask the Expert)

お世話になっております。

アプリケーションレイヤのトラフィックを識別してのQoSはNBARを使用できるルータであれば実現可能です。

ASR1000 シリーズルータであればどのルータでも実現可能です。

*ASR1002Xでも可能です。

以下もご参照頂ければと思います。

Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ:QoS アーキテクチャおよびソリューション

http://www.cisco.com/web/JP/product/hs/routers/asr1000/prodlit/asr1000qosaas_sov.html

どうぞよろしくお願いします。

New Member

Re: ルータ一般 について (Ask the Expert)

データセンターで双方向NATによるアドレス変換を行い、

仮想的なIPアドレスで送信元を隠蔽する

ネットワークを構築したいと考えています。

自社(10.0.148.x)--------------他社(172.23.132.x)

他社からみた自社(172.23.130.x)------------自社から見た他社(10.0.149.x)

図にすると以上のように行いたいと考えています。

ip nat inside source static 10.0.148.x 172.23.132.x

ip nat outside source static 172.23.132.x 10.0.149.x

などの設定をしましたがうまくいきません。

どのような設定をすればよいのでしょうか?

よろしくおねがいいたします。

Cisco Employee

Re: ルータ一般 について (Ask the Expert)

お世話になっております。

それぞれのサブネットマスクは何でしょうか。

もし /24 だとするとネットワークが違うと思います。

また、10.0.149.x に対し static route は設定されていますでしょうか。

Inside -> Outside の場合は NAT 処理よりも先にルーティング処理が行われるため、static route を追加する必要があります。

以下に双方向NATの設定例を示します。

こちらを参考にご設定頂ければと思います。

                10.0.0.0/24             192.168.1.0/24

                 .1    .254               .254    .1

[R1_CISCO892J-K9]GE0---FE8[R2_CISCO892J-K9]GE0---GE0[R3_CISCO892J-K9]

                    ip nat inside    ip nat outside

<R1_CISCO892J-K9 の設定>

interface GigabitEthernet0

ip address 10.0.0.1 255.255.255.0

no shutdown

!

ip route 0.0.0.0 0.0.0.0 10.0.0.254

<R2_CISCO892J-K9(NAT Router) の設定>

interface FastEthernet8

ip address 10.0.0.254 255.255.255.0

ip nat inside

no shutdown

!

interface GigabitEthernet0

ip address 192.168.1.254 255.255.255.0

ip nat outside

no shutdown

!

ip nat inside source static 10.0.0.1 192.168.1.10

ip nat outside source static 192.168.1.1 10.0.0.10

!

ip route 10.0.0.10 255.255.255.255 GigabitEthernet0

!

<R3_CISCO892J-K9 の設定>

interface GigabitEthernet0

ip address 192.168.1.1 255.255.255.0

no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.1.254

上記の設定で忘れがちな設定はR2のstatic routeです。

Inside -> Outside の場合は NAT 処理よりも先にルーティング処理が行われるため、static route を追加する必要があります。

詳細は以下をご参照を頂ければと思います。

NAT の処理順序

http://www.cisco.com/cisco/web/support/JP/100/1008/1008335_5-j.html

どうぞよろしくお願いします。

New Member

Re: ルータ一般 について (Ask the Expert)

返信ありがとうございます。

説明不足ですみません。

自社が/24で他社が/28です。

依頼されたのが、データセンター内のインフラを

自社の監視サーバがあるネットワークと

他社の様々なサーバがあるネットワークで

通信させるのにお互いのアドレス体系を

知られないようにさせたいと考えます。

http://blog.livedoor.jp/misakinori/archives/2565300.html

図を参考に設定を行い、

int g0

ip add 172.23.132.1 255.255.255.240

ip nat outside

int f8

ip add 10.0.148.1 255.255.255.0

ip nat inside

ip nat inside source static 10.0.148.1 172.23.130.1

ip nat outside source static 172.23.132.1 10.0.149.1

ip route 10.0.149.1 255.255.255.0 g0 172.23.132.1

という感じで書いたと思います。

今設定した内容がないので、そのまま載せれなくてすみません。

int f8に接続した端末からPingを打つと

172.23.132.1(隠したいアドレス) と10.0.149.1(見せたいアドレス)

両方にPingが成功する状態でした。

なので172.23.132.1にアクセスリストを設定してPingを飛ばなくしましたが

却下されました。

なので172.23.132.1にPingを打つと10.0.149.1に変換され

172.23.132.1のアドレスを隠すようなことは出来ないのでしょうか?

双方向NATと書きましたが、別の呼び方があるのか

わからないのですがご存じでしたら教えていただきたいと思います。

よろしくお願いします。

Cisco Employee

Re: ルータ一般 について (Ask the Expert)

こんにちは。

横からすみません。

ルーティングの話が少し出ているので、少し追加でコメントします。

Yokota さんの構成でうまくNATされないのは、既存のNAT設定の書き方に問題があるように見受けられます。

現在の設定では、以下のように Router 自体の IP address が変換の対象となっています。

このため、おそらく Fa8 配下の機器からPing をしても、NAT は行われていないと思われます。

現在:

ip nat inside source static 10.0.148.1 172.23.130.1

ip nat outside source static 172.23.132.1 10.0.149.1

これを解決するためには、以下のように NAT 対象を Host のアドレスとする必要があります。

修正:

ip nat inside source static 10.0.148.x 172.23.130.x

ip nat outside source static 172.23.132.x 10.0.149.x

* x は自社・他社のHostのアドレスです。

想定構成:

自社(10.0.148.x)------Fa8(10.0.148.1) c892 Gi0(1772.23.132.1)--------他社(172.23.132.x)

*他社からみた自社(172.23.130.x)

*自社から見た他社(10.0.149.x)

また 修正後の設定では、以下のようなアドレスの組み合わせで NAT router を通過します。

自社が送信するPacket:

Destination: 172.23.130.x

Source: 10.0.148.x

(NAT Router 通過)

他社が受け取るPacket:

Destination: 172.23.132.x

Source: 10.0.149.x

上記のポイントを修正頂き、うまく NAT されるか確認してみてください。

よろしくお願いします。

New Member

Re: ルータ一般 について (Ask the Expert)

返信ありがとうございます。

コメントいただいた設定を試してみました。

結果は、inside端末(10.0.148.100)から

172.23.132.90、 10.0.149.90に

Pingを打つとどちらにも飛びませんでした。

outside端末(172.23.132.90)から

10.0.148.100、172.23.130.100に

Pingを打つと両方に飛びました。

なので、ip routeの追加等をしてみましたがだめでした。

内容は以下の通りです。

interface FastEthernet8

ip address 10.0.148.2 255.255.255.0

ip nat inside

ip virtual-reassembly in

duplex auto

speed auto

!

interface GigabitEthernet0

ip address 172.23.132.82 255.255.255.240

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

!

interface Vlan1

no ip address

!

ip forward-protocol nd

no ip http server

no ip http secure-server

!

!

ip nat inside source static 10.0.148.100 172.23.130.100

ip nat outside source static 172.23.132.90 10.0.149.90

ip route 10.0.148.0 255.255.255.0 FastEthernet8

ip route 10.0.149.0 255.255.255.0 GigabitEthernet0 172.23.132.90

ip route 172.23.130.0 255.255.255.0 FastEthernet8

ip route 172.23.132.0 255.255.255.0 GigabitEthernet0 172.23.132.90

デバッグの結果です。

Router#debug ip nat

IP NAT debugging is on

Router#

*Aug  7 04:28:21.167: NAT*: s=10.0.148.100, d=10.0.149.90->172.23.132.90 [543]

*Aug  7 04:28:23.167: NAT*: s=10.0.148.100->172.23.130.100, d=172.23.132.90 [544]

*Aug  7 04:28:25.183: NAT*: s=10.0.148.100, d=10.0.149.90->172.23.132.90 [545]

*Aug  7 04:28:27.175: NAT*: s=10.0.148.100->172.23.130.100, d=172.23.132.90 [546]

*Aug  7 04:28:29.175: NAT*: s=10.0.148.100, d=10.0.149.90->172.23.132.90 [547]

*Aug  7 04:28:31.163: NAT*: s=10.0.148.100->172.23.130.100, d=172.23.132.90 [548]

*Aug  7 04:28:33.163: NAT*: s=10.0.148.100, d=10.0.149.90->172.23.132.90 [549]

*Aug  7 04:28:35.175: NAT*: s=10.0.148.100->172.23.130.100, d=172.23.132.90 [550]

*Aug  7 04:28:37.175: NAT*: s=10.0.148.100, d=10.0.149.90->172.23.132.90 [551]

*Aug  7 04:28:39.171: NAT*: s=10.0.148.100->172.23.130.100, d=172.23.132.90 [552]

以上、よろしくお願いいたします。

Cisco Employee

Re: ルータ一般 について (Ask the Expert)

こんにちは。

結果は、inside端末(10.0.148.100)から

172.23.132.90、 10.0.149.90に

Pingを打つとどちらにも飛びませんでした。

outside端末(172.23.132.90)から

10.0.148.100、172.23.130.100に

Pingを打つと両方に飛びました。

上記の結果について、NAT の概念的には

inside からは 10.0.149.90 に ping OK、172.23.132.90 には ping NG、

outside からは 172.23.130.100 に ping OK、10.0.148.100 には ping NG、

となるのが期待動作かと思います。

-outside 側から 172.23.130.100 に ping が通っている

-上記 debug で inside -> outside の NAT 自体は成功しているように見える

この2点から Host 側の Routing に問題がないかも合わせて確認してみてはいかがでしょうか。

宜しくお願いします。

2521
Views
15
Helpful
12
Replies