|
◆ NAT&PAT - トラブルシューティング その1
【 問題 1 】下図のNW構成およびルータのコンフィグで、技術部のクライアントPCからインターネット
通信が問題なくできるが、営業部のクライアントPCからインターネット通信ができないのはなぜでしょうか。
以下の回答を読む前に、コンフィグ設定のどこに問題があるのかを考えてみましょう。
【 解答 】
ルータの外部インターフェースを利用してNAT変換を行い通信するためには、技術部、営業部ともに
内部ネットワークに位置付けられているので、インタフェースを「 内部ネットワークに指定する 」必要
があります。営業部のGi0/2は「ip nat outside」と設定するのではなく「ip nat inside」と設定します。
◆ NAT&PAT - トラブルシューティング その2
【 問題 2 】 下図のNW構成とルータのコンフィグで、技術部、営業部ともに、クライアントPCから
時々インターネット通信できないクライアントPCが発生するのはなぜでしょうか。
【 解答 】
上図ではダイナミックNATが設定されいますが、アドレスプール数が6つだけです。技術部と営業部の
合計のクライアント数が25なのでアドレスプールの数が不足していることが分かります。この設定では
インターネットへの同時アクセス数は最大で6台であり、19のグローバルIPアドレスが足りません。
2つの対策案があります。1つはこれらのアドレスプールにPATを有効化させる方法です。もう1つは、
アドレスプールを使用したPATではなくて、外部インターフェースのアドレスを利用したPATを有効化
させる方法です。これらの2つの対策案のコンフィグ設定は以下の通りです。
対策 1
(config)# ip nat inside source list 10 pool TEST overload
対策 2
(config)#no ip nat pool TEST 100.1.1.1 100.1.1.6 netmask 255.255.255.248
(config)#no ip nat inside source list 10 pool TEST
(config)# ip nat inside source list 10 interface GigabitEthernet0/0 overload
◆ NAT&PAT - トラブルシューティング その3
【 問題 3 】下図の構成とルータのコンフィグで、技術部と人事部のクライアントPCからインターネット
通信はできますが、営業部のクライアントPCだけ、インターネット通信ができないのはなぜでしょうか。
【 解答 】 営業部のクライアントPCの送信元アドレスをNAT変換対象を、ACLで定義していないことが
原因です。従って以下のコマンドを追加すれば、技術部のPCもインターネット通信ができるようになります。
(config)# access-list 10 permit 192.168.0.0 0.0.0.255
このネットワーク構成では、スタティックNATとPATの設定が混在していますが、問題なく通信できます。
以下の1〜3のどの混在構成でも問題なく通信できます。
1. スタティックNATとダイナミックNATの混在
2. スタティックNATとPAT(外部インターフェース利用)の混在
3. スタティックNATとPAT(アドレスプール利用)の混在
※ 一般的ではない実装の技術情報ですが、1つのグローバルIPアドレスをPAT(外部インターフェース利用)
として使用しているにも関わらず、スタティックNATとしてそのグローバルIPアドレスを使用することも可能。
|