NAT の設定

（注）

簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a および Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。Cisco vManage から Cisco Catalyst SD-WAN Manager への変更、Cisco vAnalytics から Cisco Catalyst SD-WAN Analytics への変更、Cisco vBond から Cisco Catalyst SD-WAN Validator への変更、Cisco vSmart から Cisco Catalyst SD-WAN コントローラへの変更、および Cisco コントローラから Cisco Catalyst SD-WAN 制御コンポーネントへの変更。すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名前への移行時は、ソフトウェア製品のユーザーインターフェイス更新への段階的なアプローチにより、一連のドキュメントにある程度の不一致が含まれる可能性があります。

NAT の設定

Cisco IOS XE Catalyst SD-WAN には、次のタイプのネットワークアドレス変換（NAT）設定が含まれます。

NAT ダイレクトインターネットアクセス（DIA）：トラフィックを中央サイトやデータセンターにルーティングするのではなく、リモートサイトがトラフィックをインターネットに直接ルーティングできるようにします。
NAT サービス側：ネットワークオーバーレイのサービスホストとの間で送受信されるデータトラフィックに、内部および外部 NAT を設定できます。サービス側 NAT は、構成された一元化されたデータポリシーと一致する、内部および外部ホストアドレスのデータトラフィックを変換します。

NAT は、IP アドレスを保護するように設計されています。NAT では、登録されていない IP アドレスを使用するプライベート IP ネットワークがインターネットに接続できるようにします。NAT はデバイス上で動作し、通常は 2 つのネットワークを接続します。パケットが別のネットワークに転送される前に、NAT は内部ネットワークのプライベート（グローバルに一意ではない）アドレスを正当なアドレスに変換します。

NAT は、単一のデバイスがインターネット（またはパブリックネットワーク）とローカルネットワーク（またはプライベートネットワーク）の間のエージェントとして機能することを可能にします。それは、ネットワークの外部に対してコンピュータのグループ全体を表すために必要な一意の IP アドレスは 1 つだけです。

（注）

NAT がメンテナンス操作を実行するときは、NAT データベースをロックする必要があります。NAT データベースがロックされている場合、NAT は変換用のパケットを処理しません。通常、NAT メンテナンス操作は 1 秒未満から数秒以内です。通常、未変換パケットを送信する NAT は問題になりません。これらのパケットは ISP によってドロップされるためです。

次のコマンドを設定して、NAT データベースの更新時に NAT がパケットをドロップするようにします。

ip nat service modify-in-progress drop

NAT ダイレクトインターネットアクセス

表 1. 機能の履歴
機能名	リリース情報	説明
ループバックインターフェイスとしての NAT プール、スタティック NAT、および NAT のサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.2.1r Cisco vManage 20.1.1	この機能は、ループバックインターフェイスアドレスの NAT 設定、ダイレクトインターネットアクセス（DIA）の NAT プールサポート、およびスタティック NAT をサポートします。
OMP を介した NAT ルートのアドバタイズ	Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a	この機能を使用すると、Cisco Catalyst SD-WAN オーバーレイ管理プロトコル（OMP）を介して NAT ルートをブランチルータにアドバタイズできます。この機能は、Cisco SD-WAN Manager デバイス CLI テンプレートを介してのみ設定できます。
IPv6 トンネルを介した NAT DIA IPv4 のサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a Cisco vManage リリース 20.8.1	この機能は、IPv6 ネットワークの使用時に IPv4 クライアントが IPv4 サーバーにアクセスするためのサポートを提供します。 IPv4 トラフィックは、IPv6 トンネルを介してインターネットにルーティングされます。 CLI または CLI アドオンテンプレートを使用して、IPv6 トンネルを介して NAT DIA IPv4 を設定できます。
NAT DIA を使用した PPP ダイヤラインターフェイスのサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a Cisco vManage リリース 20.9.1	この機能により、次の Point-to-Point Protocol（PPP）ダイヤラインターフェイスのサポートが追加されます。PPP over Ethernet（PPPoE）、PPP over Asynchronous Transfer Mode（PPPoA）、および PPP over Ethernet Asynchronous Transfer Mode（PPPoEoA）。 PPP ダイヤラインターフェイスを使用して、IPv4 サービスおよびサイトにアクセスできます。
HSRP によるスタティック NAT マッピングのサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a Cisco vManage リリース 20.9.1	この機能を使用すると、両方のホットスタンバイルータプロトコル（HSRP）ルータが同じスタティック NAT マッピングで構成されている場合、アクティブデバイスのみがスタティック NAT マッピングエントリのアドレス解決プロトコル（ARP）要求に応答します。HSRP アクティブデバイスからスタンバイデバイスにフェールオーバーするトラフィックは、フェールオーバーする前に ARP 要求がタイムアウトするのを待つ必要はありません。
NAT DIA およびゾーンベースのファイアウォールの ALG サポート	Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a Cisco vManage リリース 20.9.1	この機能は、アプリケーションパケットのペイロード内の IP アドレスを変換するアプリケーションレベルゲートウェイ（ALG）のサポートを提供します。ドメインネームシステム（DNS）、FTP、Session Initiation Protocol（SIP）などの特定のプロトコルでは、パケットペイロード内の IP アドレスとポート番号の変換に NAT ALG が必要です。
NAT DIA によるポートフォワーディングのサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a Cisco vManage リリース 20.9.1	この機能を使用すると、1 つ以上のポート転送ルールを定義して、外部ネットワークから特定のポートで受信したパケットを送信し、内部ネットワーク上のデバイスに到達させることができます。 Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a および Cisco vManage リリース 20.9.1 より前は、ポートフォワーディングはサービス側の NAT でのみ利用可能でした。
NAT 高速ロギングのサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a Cisco vManage リリース 20.9.1 — Also Cisco IOS XE リリース 17.6.4 以降の 17.6.x リリース Cisco vManage リリース 20.6.4 以降の 20.6.x リリース	この機能は、NAT によるすべての変換の高速ロギング（HSL）を有効または無効にする機能を提供します。デバイス CLI テンプレートまたは CLI アドオン機能テンプレートを使用して、NAT HSL を設定できます。
既知の Cisco Catalyst SD-WAN ポートの送信元ポート保持に対するサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.10.1a Cisco vManage リリース 20.10.1	この機能により、NAT 時に既知の Cisco Catalyst SD-WAN ポートを保持できます。
宛先 NAT のサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a Cisco vManage リリース 20.11.1	この機能は、WAN エッジデバイスを通過するパケットの宛先アドレスを変更します。宛先 NAT はプライベートアドレス宛てのトラフィックを、変換された宛先パブリック IP アドレスにリダイレクトするために使用されます。
ループバックインターフェイスを使用した NAT DIA によるポートフォワーディング	Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a Cisco vManage リリース 20.11.1	この機能は、ループバックインターフェイスを使用した NAT DIA によるポートフォワーディングをサポートします。デバイス CLI テンプレートまたは CLI アドオン機能テンプレートを使用して、ループバックインターフェイスを設定できます。
NAT DIA およびゾーンベースのファイアウォールの ALG サポート拡張	Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a Cisco vManage リリース 20.11.1	NAT DIA の ALG サポートは、次のプロトコルに対応するように拡張されています。簡易ファイル転送プロトコル（TFTP）ポイントツーポイントトンネリングプロトコル（PPTP） Sun リモートプロシージャコール（SUNRPC） Skinny Client Control Protocol（SCCP） H.323
複数の NAT タイプの設定のサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a Cisco Catalyst SD-WAN Manager リリース 20.14.1	この機能は、複数の NAT タイプ（インターフェイス、ループバックインターフェイス、またはダイレクトインターネットアクセス（DIA）の NAT プール）の設定をサポートします。一元管理型データポリシーを使用して、エッジルータから出る DIA トラフィックのさまざまな NAT タイプを組み合わせるためのルールを割り当てます。NAT を完全にバイパスすることもできます。

NAT DIA に関する情報

NAT DIA を使用すると、ブランチサイトは、検査のために中央サイトを経由するのではなく、トラフィックをインターネットに直接ルーティングできます。これにより、クラウドベースのアプリケーションは、不要な帯域幅を使用することなく、インターネットやクラウドサービスプロバイダーに直接アクセスできます。

NAT DIA フロースティッキネス

サポートされる最小リリース：Cisco IOS XE リリース 17.6.1a、Cisco vManage リリース 20.6.1

NAT DIA がアプリケーション一致の集中型データポリシーで設定されている場合、パスの変更により、NAT DIA ポリシーの対象となるアプリケーションフローがリセットされる可能性があります。たとえば、アプリケーションリストに一致するデータポリシーがあり、アクションが NAT DIA である場合、最初のいくつかのパケットはディープパケットインスペクション（DPI）によって識別されない可能性があります。したがって、NAT DIA アプリケーションポリシーに一致しないパケットは、Cisco Catalyst SD-WAN オーバーレイパスへのルーティングに従います。フローが識別されると、フローの後のパケットは、データポリシーで定義されている NAT DIA パスを使用します。このパス変更により、フローがリセットされます。これは、パスが異なると、サーバーへのクライアント送信元またはポートの組み合わせが異なることを意味し、サーバーは不明な TCP フローをリセットします。

NAT パスのフローレベル状態を記録するために、フロースティッキネス機能が有効になっています。フローの最初のパケットが非 NAT の場合、このフローの残りのパケットは非 NAT パスを使用します。最初のパケットフローが NAT DIA パスを経由する場合、このフローの残りのパケットは NAT DIA パスを使用します。これは、NAT DIA データポリシーではデフォルトで有効になっています。

フロースティッキネスを無効にするには、CLI アドオンテンプレートを使用してローカライズされたポリシーで flow-stickiness-disable コマンドを使用します。

インターフェイス上の複数の NAT DIA 方式

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a、Cisco Catalyst SD-WAN Manager リリース 20.14.1

NAT 設定には、インターフェイスオーバーロード、インターフェイス DIA プール、またはインターフェイスループバックを含めることができます。1 つのインターフェイスに複数の NAT プールを許可し、プールに一致しないトラフィックにはデフォルトのインターフェイスを設定できるため、NAT DIA を設定するための堅牢なオプションが提供されます。Cisco IOS XE Catalyst SD-WAN デバイスを設定すると、内部サブネットからの NAT DIA トラフィックは 1 つのパブリック IP アドレスに割り当てられ、他のすべての NAT DIA トラフィックはデフォルトのインターフェイスにフォールバックします。

たとえば、電話機の特定サブネットの IP を大部分のインターネットトラフィックとは異なるパブリックアドレスに変換する NAT を適用する必要がある場合があります。また、音声にパブリッククラウドサービスを使用し、音声サブネットのすべてのトラフィックで特定の IP アドレスを使用する必要がある場合もあります。これらのシナリオでは、特定の DIA トラフィック用に複数の NAT プールが必要であり、通常のトラフィック用のデフォルト NAT インターフェイスも必要です。

CLI コマンド、機能テンプレート、または設定グループを使用して、複数の NAT DIA 方式を設定できます。複数の NAT タイプを使用してインターフェイスを設定した後、match-action 条件に基づいてルールを作成するための一元管理型トラフィックポリシーを設定します。設定されたポリシー一致条件と指定した終了 DIA インターフェイスに基づいて、ポリシーは送信元アドレス変換に適切な NAT 方式を選択します。

複数の NAT DIA 方式が存在する場合、トラフィックは任意の DIA インターフェイスで終了でき、対応する NAT タイプが選択されます。トラフィックが特定の NAT DIA インターフェイスを通過するようにするには、ローカル TLOC オプションを含めるように一元管理型トラフィックポリシーを設定し、NAT DIA インターフェイスに優先 TLOC カラーを割り当てます。一致条件に基づいて、ポリシーは出力の優先カラーに関連付けられた DIA インターフェイスを選択します。

（注）

この機能は IPv4 アドレスのみをサポートします。
特定の一致条件（データポリシーのシーケンス）では、複数の送信元 DIA インターフェイスまたは送信元 DIA プールを同じ一致インターフェイスに対応させることはできません。ただし、別のシーケンスで指定できます。たとえば、デフォルトの NAT タイプがインターフェイスオーバーロードの場合、同じインターフェイスの 2 番目の方式（match-interface）をインターフェイスオーバーロードにすることはできません。ただし、2 番目の方式は、NAT プールまたはループバックインターフェイスにすることができます。

NAT DIA の利点

優れたアプリケーションパフォーマンスを実現
帯域幅の消費と遅延の削減に貢献
帯域幅コストの削減に貢献
リモートサイトでの DIA による、ブランチオフィスのユーザーエクスペリエンスの向上

NAT DIA の制限事項

NAT64：
- NAT DIA プールは NAT64 ではサポートされていません。
複数の NAT DIA：
- インターフェイスごとに複数の NAT DIA プールをサポートするには、Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a 以降が必要です。
複数の NAT マッピング：
- NAT マッピングには、インターフェイス過負荷、インターフェイス DIA プール、またはインターフェイスループバックを含めることができます。同じインターフェイスでの複数の NAT マッピングには、Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a 以降が必要です。
共有 IP アドレス：
- NAT プールで使用される IP アドレスは、インターフェイスアドレスまたはスタティックアドレスマッピングと共有できません。
WAN インターフェイスには少なくとも 1 つの NAT が必要：
- 少なくとも 1 つの形式の NAT が WAN インターフェイスで有効になっていない場合、Cisco SD-WAN Manager はサービス側 VPN である [Cisco VPN] テンプレートに NAT DIA ルートを設定しません。
非トンネルトラフィック
- NAT DIA または非トンネルトラフィックは、L3 TLOC 拡張ではサポートされません。
ポート割り当て制限
- 単一の IP アドレスに NAT DIA を設定する場合、TCP および UDP プロトコル用にそれぞれ約 55,000 個のポートを変換でき、合計で最大 110,000 個のポート変換が可能です。
- 複数の IP アドレス（NAT プール）に NAT DIA を設定する場合、プール内の IP アドレスごとに約 62,000 個のポートを TCP および UDP プロトコル用に変換できます。NAT プールからの IP アドレスはランダムに選択され、ラウンドロビン方式に基づいていません。

NAT DIA の設定

NAT DIA を有効にするためのワークフロー

既存の [Cisco VPN Interface Ethernet] テンプレートを編集して、NAT を有効にします。Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、インターフェイスに複数の NAT タイプを設定できます。

インターフェイスの過負荷（デフォルト）を設定します。

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、設定した最初の NAT タイプが Cisco VPN インターフェイスイーサネットのデフォルトまたはプライマリ NAT 方式になります。インターフェイスオーバーロード、NAT プール、またはループバックインターフェイスのいずれかです。

そのインターフェイスに設定する追加の NAT タイプは、セカンダリ NAT 方式になります。

NAT プールを設定します。
ループバックインターフェイスを設定します。

ループバックインターフェイスの設定の詳細については、「NAT プールおよびループバックインターフェイスの設定」を参照してください。
（オプション）スタティック NAT を設定します。

スタティック NAT の設定の詳細については、「サービス側スタティック NAT の設定」を参照してください。

[Cisco VPN] テンプレートを使用して NAT DIA ルートを設定します。これは、サービス VPN からのユーザートラフィックをインターネットトランスポートに直接転送するために使用されるサービス側 VPN テンプレートです。

NAT プールとループバックインターフェイスの設定

NAT プールは、必要に応じて NAT 変換に割り当てられる IPv4 アドレスの範囲です。

ループバックインターフェイスと呼ばれるソフトウェアのみのインターフェイスを指定して、物理インターフェイスをエミュレートできます。ループバックインターフェイスは、デバイス上の仮想インターフェイスであり、無効にするまでアップ（アクティブ）のままです。Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、インターフェイスに複数の NAT タイプを設定できます。

設定グループを使用した NAT DIA の設定

Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。
設定グループ名の横にある […] をクリックし、[Edit] を選択します。
[Transport & Management Profile] をクリックします。
[Actions] で […] をクリックして、VPN0 機能を編集します。
[Add Sub-Feature] をクリックし、[Ethernet Interface] を選択します。
[NAT] をクリックします。
[IPv4 Settings] をクリックします。
[NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして NAT を有効にします。
次のいずれかのオプションを選択して、[NAT Type] を設定します。
- interface
- pool
- loopback
Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、[Add Multiple NAT] をクリックして、さらに NAT プールを設定します。

デフォルトは [Interface] オプションです。

[NAT Type] フィールドで、[Pool] オプションをクリックし、次の NAT プールパラメータを入力します。

表 2. NAT プールパラメータ
パラメータ名	説明
範囲の開始	NAT プールの開始 IP アドレスを入力します。フィールドを有効にするには、スコープを [Default] から [Global] に変更します。 NAT プールの開始 IP アドレスを入力します。
範囲の終了	NAT プールの終了 IP アドレスを入力します。フィールドを有効にするには、スコープを [Default] から [Global] に変更します。 NAT プールの最後の IP アドレスを入力します。
Prefix Length	NAT プールのプレフィックス長を入力します。
[UDP Timeout]	UDP セッションを介した NAT 変換がタイムアウトする時刻を入力します。範囲：1 ～ 8947 分デフォルト：1 分
[TCP Timeout]	TCP セッションを介した NAT 変換がタイムアウトする時刻を入力します。範囲：1 ～ 8947 分デフォルト：60 分（1 時間）

ループバックインターフェイスを設定します。Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、[Add Multiple NAT] をクリックして、複数のループバックインターフェイスを設定します。

[NAT Type] フィールドで、[Loopback] オプションをクリックし、ループバックインターフェイスの名前を入力します。

（注）

特定の一致条件（データポリシーのシーケンス）では、複数の送信元 DIA インターフェイスまたは送信元 DIA プールを同じ一致インターフェイスに対応させることはできません。ただし、別のシーケンスで指定できます。たとえば、デフォルトの NAT タイプがインターフェイスオーバーロードの場合、同じインターフェイスの 2 番目の方式（match-interface）をインターフェイスオーバーロードにすることはできません。ただし、2 番目の方式は、NAT プールまたはループバックインターフェイスにすることができます。

[Save] をクリックします。

ポリシーグループを使用した一致パラメータとアクションパラメータの設定

設定グループを使用して複数の NAT タイプを設定した後、match-action 条件を適用するように [Application & Priority SLA] ポリシーを設定します。NAT DIA トラフィックが一元管理型データポリシーの一致部分の条件に一致した場合、パケットは受け入れられます。その後、受け入れられたパケットにアクションパラメータを関連付けることができます。詳細については、「Application and Priority SLA」を参照してください。

Cisco SD-WAN Manager のメニューから、[Configuration] > [Policy Groups] > [Application & Priority SLA] を選択します。
ポリシーグループ名の横にある […] をクリックし、[Edit] を選択します。
ページの右上隅にある [Advanced Layout] ボタンをクリックして、詳細ビューに切り替えます。
[Add Traffic Policy] をクリックし、新しいトラフィックポリシーの詳細を入力して、[Accept] を選択します。
[Add] をクリックします。
[Add Rules] をクリックし、トラフィックの名前とシーケンスを入力します。詳細については、「Configure Traffic Rules」[英語] を参照してください。
[Add Match] をクリックして、一致条件をルールに関連付けます。詳細については、「Match Parameters - Data Policy」を参照してください。
[Add Action] をクリックし、[NAT VPN] を選択して、前の手順で指定した一致条件に NAT DIA アクションを関連付けます。
- [DIA Pool]：NAT DIA プールのカンマ区切りリストを入力します。最大 4095 個の NAT プールを入力できます。
- [DIA Interface]：NAT DIA インターフェイスのカンマ区切りリストを入力します。
- [ByPass]：トラフィックは、送信元 IP アドレスに NAT を適用せずに、パブリックインターネットに関連付けられた DIA インターフェイスから出ます。

機能テンプレートを使用した NAT DIA の設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Cisco VPN Interface Ethernet] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
[NAT] をクリックします。
[IPv4] をクリックします。
[NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして NAT を有効にします。
インターフェイスの過負荷を設定します。

[NAT Type] フィールドで、[Interface] がインターフェイス過負荷モードに対して有効になっていることを確認します。

デフォルトは [Interface] オプションです。

NAT プールを設定します。Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、[Add Multiple NAT] をクリックして、さらに NAT プールを設定します。

[NAT Type] フィールドで、[Pool] オプションをクリックし、次の NAT プールパラメータを入力します。

表 3. NAT プールパラメータ

パラメータ名

説明

[NAT Pool Range Start]

NAT プールの開始 IP アドレスを入力します。

フィールドを有効にするには、スコープを [Default] から [Global] に変更します。
NAT プールの開始 IP アドレスを入力します。

[NAT Pool Range End]

NAT プールの終了 IP アドレスを入力します。

フィールドを有効にするには、スコープを [Default] から [Global] に変更します。
NAT プールの最後の IP アドレスを入力します。

[NAT Pool Prefix Length]

NAT プールのプレフィックス長を入力します。

Overload

[On] をクリックして、ポートごとの変換を有効にします。デフォルトは [On] です。

（注）

[Overload] が [Off] に設定されている場合、ダイナミック NAT のみがエンドデバイスで設定されます。ポートごとの NAT は設定されていません。

[UDP Timeout]

UDP セッションを介した NAT 変換がタイムアウトする時刻を入力します。

範囲：1 ～ 8947 分

デフォルト：1 分

[TCP Timeout]

TCP セッションを介した NAT 変換がタイムアウトする時刻を入力します。

範囲：1 ～ 8947 分

デフォルト：60 分（1 時間）

[NAT Type] フィールドで、[Loopback] オプションをクリックし、次の値を入力します。

表 4. NAT ループバックパラメータ
パラメータ	説明
[NAT Inside Source Loopback Interface]	ループバックインターフェイスの IP アドレスを指定します。
[UDP Timeout]	UDP セッションを介した NAT 変換がタイムアウトする時刻を入力します。デフォルト設定：1 分範囲：1 ～ 65536 分
[TCP Timeout]	TCP セッションを介した NAT 変換がタイムアウトする時刻を入力します。デフォルトは 60 分（1 時間）です。範囲：1 ～ 65536 分

（注）

1 つの仮想インターフェイスで NAT 設定を持つ 1 つのテンプレートのデバイスを、別の仮想インターフェイスで NAT 設定を持たない別のテンプレートに移動する場合、NAT 設定を再度有効にする前に、最初に NAT 設定を無効にしてから仮想インターフェイスを削除する必要があります。デバイスが最初に接続されたテンプレートで NAT を無効にします。

[更新（Update）] をクリックします。

一元管理型データポリシーを使用した一致パラメータとアクションパラメータの設定

機能テンプレートを使用して複数の NAT タイプを設定した後、match-action 条件を適用するように一元管理型データポリシーでトラフィックルールを設定します。NAT DIA トラフィックが一元管理型データポリシーの一致部分の条件に一致した場合、パケットは受け入れられます。その後、受け入れられたパケットにアクションパラメータを関連付けることができます。トラフィックポリシーの設定に関する詳細については、「Configure Traffic Rules」を参照してください。トラフィックポリシーを作成したら、一致条件とアクション条件を指定します。

トラフィックデータポリシーを設定します。詳細については、「Configure Traffic Rules」[英語] を参照してください。
トラフィックデータポリシーでカスタムシーケンスタイプを作成したら、[Sequence Rule] をクリックし、新しいトラフィックポリシーの詳細を設定し、[Accept] を選択します。
一致条件を設定します。詳細については、「Match Parameters - Data Policy」を参照してください。
[Actions] > [Accept] の順にクリックします。
[NAT VPN] をクリックし、次の NAT DIA アクションから選択して、前の手順で指定した一致条件に関連付けます。
- [ByPass]：トラフィックは、送信元 IP アドレスに NAT を適用せずに、パブリックインターネットに関連付けられた DIA インターフェイスから出ます。
- [Pool]：NAT DIA プールのカンマ区切りリストを入力します。最大 4095 個の NAT プールを入力できます。
- [Interface]：NAT DIA インターフェイスのカンマ区切りリストを入力します。最大 4 つのインターフェイスを入力できます。

CLI を使用した複数の NAT タイプの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a、Cisco Catalyst SD-WAN Manager リリース 20.14.1

NAT DIA インターフェイスを設定します。

interface interface-name
 ip address ip-address prefix/length
 no ip redirects
 load-interval interval-number
 negotiation auto
 ip nat outside
 !

デフォルトの NAT 方式が NAT プールであり、代替またはセカンダリ NAT 方式がインターフェイスオーバーロードである複数の NAT DIA 方式を設定します。
```
ip nat inside source list list-name pool pool-name overload egress-interface interface-name
```
match-interface キーワードを使用して、代替またはセカンダリ NAT 方式を設定します。ここで、代替またはセカンダリ NAT 方式はインターフェイスオーバーロードです。
```
ip nat inside source list list-name interface interface-name overload match-interface interface-name
```
match-interface キーワードの詳細については、『Cisco Catalyst SD-WAN Qualified Command Reference Guide』の ip nat inside source コマンドを参照してください。

次に、デフォルトの NAT 方式が NAT プールを使用し、代替またはセカンダリ NAT 方式が match-interface によるインターフェイスオーバーロードを使用する、複数の NAT DIA を設定するための設定例を示します。

interface GigabitEthernet1
 ip address 10.1.1.1 255.255.255.0
 no ip redirects
 load-interval 30
 negotiation auto
 ip nat outside
 !
 ip nat inside source list dia-list pool natpool1 overload egress-interface GigabitEthernet1
 ip nat inside source list dia-list interface GigabitEthernet1 overload match-interface GigabitEthernet1

次に、デフォルトの方式が NAT プールまたはインターフェイスオーバーロードである場合に、代替またはセカンダリ NAT 方式としてループバックインターフェイスを設定する例を示します。

interface GigabitEthernet1
 ip address 10.1.1.1
 no ip redirects
 load-interval 30
 negotiation auto
 ip nat outside
 !
 ip nat inside source list dia-list interface Loopback10 overload match-interface GigabitEthernet1
 ip nat inside source list dia-list interface Loopback11 overload match-interface GigabitEthernet1

次に、デフォルトの方式がインターフェイスオーバーロードまたは NAT プールである場合に、NAT プールを代替方式またはセカンダリ方式として設定する例を示します。

interface GigabitEthernet1
 ip address 10.1.1.1
 no ip redirects
 load-interval 30
 negotiation auto
 ip nat outside
 !
 ip nat pool natpool10 10.10.10.10 10.10.10.10 prefix-length 24 
 ip nat inside source list dia-list pool natpool1 overload match-interface GigabitEthernet1
 ip nat inside source list dia-list pool natpool2 overload match-interface GigabitEthernet1

トラフィックデータポリシーの設定

機能テンプレートを使用して複数の NAT タイプを設定した後、match-action 条件を適用するように一元管理型データポリシーでトラフィックルールを設定します。NAT DIA トラフィックが一元管理型データポリシーの一致部分の条件に一致した場合、パケットは受け入れられます。

次に、トラフィックデータポリシーを設定するための設定例を示します。

data-policy data-policy-name
  vpn-list list-name
   sequence sequence-number
    match source-data-prefix-list data-prefix list-name
    !
    action accept
     count vpn-list-name
     nat use-vpn 0
     nat source-dia-pool pool-id
     nat source-dia-interface interface-name
    !
   !
   default-action drop
  !

次に、トラフィックデータポリシーの設定例を示します。

data-policy MULTIPLE-NAT-DIA-TRAFFIC
  vpn-list VPN1
   sequence 1
    match source-data-prefix-list NAT-DIA-PREFIX-LIST
    !
    action accept
     count VPN1-TRAFFIC
     nat use-vpn 0
     nat source-dia-pool 1
         !
   !
   default-action drop
  !

トラフィックデータポリシーの設定の詳細については、「Configure Centralized Policies Using the CLI」を参照してください。

次に、上記のトラフィックデータポリシーに対応する設定例を示します。デフォルトの NAT 方式はインターフェイスオーバーロードであり、代替またはセカンダリ NAT 方式は NAT プールです。

interface GigabitEthernet1
 ip address 10.1.1.1 255.255.255.0
 no ip redirects
 load-interval 30
 negotiation auto
 ip nat outside
 !
 ip nat inside source list dia-list pool natpool1 overload match-interface GigabitEthernet1
 ip nat inside source list dia-list interface GigabitEthernet1 overload

NAT DIA ルートの設定

すべてのサービス VPN は、パケットを DIA トラフィック用のトランスポート VPN にルーティングします。サービス側 VPN の NAT DIA ルートを設定します。

（注）

サービス側 VPN である [Cisco VPN] テンプレートで IPv4 DIA ルートを設定します。

Cisco VPN テンプレートを使用した NAT DIA ルートの設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates]を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある . . . をクリックし、[Edit] を選択します。
[IPv4 Route] をクリックします。
[New IPv4 Route] をクリックします。
[Prefix] フィールドに、NAT の IPv4 プレフィックスを入力します。
[Gateway] フィールドで、[VPN] をクリックします。
[Enable VPN] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして VPN を有効にします。
[更新（Update）] をクリックします。

CLI を使用した NAT DIA ルートの設定

以下は、NAT DIA ルートを設定するための設定例です。

Device(config)# interface GigabitEthernet3
ip address 192.0.2.1 255.255.255.0
ip nat outside
no shut

interface GigabitEthernet2
vrf forwarding 1
ip address 10.0.0.1 255.255.255.0
no shut

ip nat route vrf 1 0.0.0.0 0.0.0.0 global
ip route 0.0.0.0 0.0.0.0 192.0.2.2

NAT DIA ルート設定の確認

次に、show ip route コマンドの出力例を示します。

Device# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

次に、show ip route vrf 1 コマンドの出力例を示します。

Device# show ip route vrf 1

Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

OMP を介した NAT ルートのアドバタイズ

次のセクションでは、OMP を介した NAT ルートのアドバタイズについて説明します。

OMP を介した NAT ルートのアドバタイズに関する情報

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、OMP を介してアドバタイズされるように NAT DIA デフォルトルートを設定できます。OMP はすべての Cisco IOS XE Catalyst SD-WAN デバイスでデフォルトで有効になっているため、OMP を明示的に設定または有効にする必要はありません。オーバーレイネットワークが機能するには、OMP が動作可能である必要があります。OMP を無効にすると、オーバーレイネットワークが無効になります。

NAT64 アドバタイズメントがネットワーク上の指定された Cisco IOS XE Catalyst SD-WAN デバイスのいずれかに設定されている場合、OMP は NAT デフォルトルートをブランチにアドバタイズします。ブランチはデフォルトルートを受け取り、それを使用してすべての DIA トラフィックのハブに到達します。Cisco IOS XE Catalyst SD-WAN デバイスは、すべての DIA トラフィックのインターネットゲートウェイとして機能します。

CLI を使用した OMP による NAT ルートのアドバタイズの有効化

OMP を介してデフォルトルートをアドバタイズするには、sdwan omp コマンドを使用します。

次の設定を使用して、OMP を介して NAT ルートをアドバタイズします。

（注）

このコマンドは、デバイス CLI テンプレートのみを使用してテストされています。

ip nat route vrf 1 0.0.0.0 0.0.0.0 global
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet3 overload
sdwan
 omp
  address-family vrf 1
   advertise network 0.0.0.0/0
interface GigabitEthernet3
 ip nat outside

（注）

NAT DIA が設定されている場合にのみ、NAT ルートがアドバタイズされるようにします。

advertise network キーワードは、OMP への NAT ルートのアドバタイズメントを設定する際に必須です。

CLI を使用した OMP による NAT ルートのアドバタイズの確認

デフォルトルート情報を表示するには、show sdwan omp routes コマンドを使用します。

Device# show sdwan omp routes

Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale 
Ext -> extranet 
Inv -> invalid 
Stg -> staged
IA -> On-demand inactive 
U -> TLOC unresolved								
			                       PATH			            ATTRIBUTE			
VPN	PREFIX	     FROM PEER	ID	LABEL	STATUS   	TYPE	      TLOC IP	 COLOR	       ENCAP      PREFERENCE
10	0.0.0.0/0           10.1.1.3	23	1002	C,I,R     	installed	10.1.1.10	biz-internet	ipsec         -
	                      10.1.1.3	24	1002	R	         installed	10.1.1.30	biz-internet	ipsec         -
10	10.2.0.0/16         10.1.1.3	27	1002	C,I,R	     installed	10.1.1.10	biz-internet	ipsec         -
	                      10.1.1.3	28	1002	R	         installed	10.1.1.30	biz-internet	ipsec         -
10	172.254.32.76/30    10.1.1.3	26	1002	C,I,R     	installed	10.1.1.30	biz-internet	ipsec         -
10	172.254.51.124/30   10.1.1.3	25	1002	C,I,R	     installed	10.1.1.30	biz-internet	ipsec         -
10	172.254.249.164/30  10.1.1.3	22	1002	C,I,R	     installed	10.1.1.10	biz-internet	ipsec         -
10	172.254.252.12/30   10.1.1.3	21	1002	C,I,R     	installed	10.1.1.10	biz-internet	ipsec         -
10	172.30.1.0/24       0.0.0.0	75	1002	C,Red,R          installed	10.1.1.26	gold	        ipsec         -
	                      0.0.0.0	76	1002	C,Red,R          installed	10.1.1.26	silver	      ipsec         -
	                      10.1.1.3	29	1002	Inv,U     	installed	10.1.1.36	gold	         ipsec         -
	                      10.1.1.3	30	1002	Inv,U     	installed	10.1.1.36	silver	       ipsec         -

スポークで作成された NAT DIA ルートに関する情報を表示するには、 show ip route vrf 1 コマンドを使用します。

Device# show ip route vrf 10

Routing Table: 10
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D	- EIGRP, EX - EIGRP external, 0 - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  El - OSPF external type 1, E2 - OSPF external type m - OMP
n	- NAT, Ni - NAT inside, No - NAT outside, Nd - NAT IA i - IS-IS, su - IS-IS summary, Ll - IS-IS level-1, L2 - IS-IS level-2 is - IS-IS inter area, * - candidate default, U - per-user static route
H	- NHRP, G - NHRP registered, g - NHRP registration summary
o	- ODR, P - periodic downloaded static route, 1 - LISP a - application route
+	- replicated route, % - next hop override, p - overrides from PfR & - replicated local route overrides by connected

Gateway of last resort is 10.1.1.10 to network 0.0.0.0

m	0.0.0.0/0 [251/0] via 10.1.1.10,2d16h, Sdwan-system-intf
        10.0.0.0/16 is subnetted, 1 subnets

show sdwan omp routes コマンドを使用して、スポークのデフォルトルートを表示します。


Device# show sdwan omp routes vpn 10

Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale 
Ext -> extranet 
Inv -> invalid 
Stg -> staged
IA -> On-demand inactive 
U -> TLOC unresolved								
			                       PATH			         ATTRIBUTE			
VPN	PREFIX	     FROM PEER	ID	LABEL	STATUS	TYPE	   TLOC IP	COLOR	       ENCAP      PREFERENCE
10	0.0.0.0/0           10.1.1.3	23	1002	C,I,R	installed	10.1.1.10	biz-internet	ipsec         -
	                      10.1.1.3	24	1002	R	    installed	10.1.1.30	biz-internet	ipsec         -

IPv6 トンネルを介した NAT DIA IPv4

次のセクションでは、IPv6 トンネルを介した NAT DIA IPv4 の設定について説明します。

IPv6 トンネルを介した NAT DIA IPv4 に関する情報

IPv6 トンネルを介した NAT DIA IPv4 により、IPv6 専用デバイスは IPv4 Web サイトおよびサービスにアクセスできます。

トラフィックフローは、オーバーレイネットワークのサービス側（LAN）からトランスポート側（WAN）です。

サービス側の送信 IPv4 アドレスは、トンネルインターフェイスでパブリック IPv4 アドレスに変換されます。

デバイス CLI または CLI アドオンテンプレートを使用して、IPv6 トンネル経由で NAT DIA IPv4 を設定します。

IPv6 トンネルを介した NAT DIA IPv4 の利点

IPv6 専用デバイスからの IPv4 アクセスを提供します。
IPv6 トンネルを介した IPv4 トラフィックのルーティングをサポートします。
トンネルインターフェイスで、サービス側送信元IPv4 アドレスからパブリック IPv4 アドレスへの変換をサポートします。

IPv6 トンネルを介した NAT DIA IPv4 の制限事項

NAT DIA トラッカーはサポートされていません。
統合脅威防御（UTD）はサポートされていません。
トンネルインターフェイスでのキープアライブトラフィックはサポートされていません。

IPv6 トンネルを介した NAT DIA IPv4 の使用例

顧客は IPv6 専用のデバイスを持っていますが、IPv4 の Web サイトとサービスにアクセスする必要があります。このシナリオをサポートするには、IPv4 トラフィックをインターネットに転送するために IPv6 トンネルを使用します。

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a および Cisco vManage リリース 20.11.1

ボーダールータは、IPv6 トラフィックと IPv4 トラフィック間のゲートウェイとして機能し、スタティック IPv6 トンネルを介して IPv4 方向のトラフィックを送信します。ボーダールータと IPv6 トンネルが到達不能な場合、WAN エッジデバイスは IPv6 トンネルが非アクティブであるかどうかを判断できないため、トラフィックを再ルーティングできません。

IPv4 DIA トラッカーを IPv6 トンネルとボーダールータに関連付けると、WAN エッジデバイスは、トラッカーのステータスに基づいて IPv6 トンネルがアクティブかどうかを判断できます。IPv4 トラッカーが非アクティブの場合、関連付けられた IPv6 トンネルも非アクティブになり、トラフィックはルーティングテーブルに基づいて代替パスに再ルーティングされます。IPv4 トラッカーがアクティブな場合、関連付けられている IPv6 トンネルもアクティブになり、トラフィックは IPv6 トンネルで再開されます。

IPv6 トンネルを介して NAT DIA IPv4 を設定するためのワークフロー

Cisco SD-WAN Manager の設定

既存の [Cisco VPN Interface Ethernet] テンプレートを編集して、NAT を有効にします。
1. インターフェイスの過負荷（デフォルト）を設定します。
2. NAT プールを設定します。
  
  NAT プールの設定の詳細については、「NAT プールとループバックインターフェイスの設定」を参照してください。
[Cisco VPN] テンプレートを使用して NAT DIA ルートを設定します。

NAT DIA ルートの設定の詳細については、「NAT DIA ルートの設定」を参照してください。

CLI 設定

IPv6 トンネルを介して IPv4 を設定します。
トンネルインターフェイスで ip nat outside コマンドを設定します。
IPv6 トンネルを介して IPv4 トラフィックをルーティングするための NAT DIA ルートを設定します。

CLI を使用した IPv6 トンネル経由の NAT DIA IPv4 の設定

IPv6 トンネルのグローバルデフォルトルートを設定します。

Device(config)# interface Tunnel1000
Device(config-if)# ip address 10.1.15.15 255.255.255.0
Device(config-if)# ip mtu 1460
Device(config-if)# ip tcp adjust-mss 1420
Device(config-if)# load-interval 30
Device(config-if)# tunnel source GigabitEthernet3
Device(config-if)# tunnel mode ipv6
Device(config-if)# tunnel destination 2001:DB8:A1:10::10
Device(config-if)# tunnel route-via GigabitEthernet3 mandatory
Device(config-if)# tunnel path-mtu-discovery
!
Device(config)# ip route 0.0.0.0 0.0.0.0 Tunnel1000

ip nat outside コマンドを使用して、IPv6 トンネルを介して IPv4 を設定します。
```
Device(config)# interface Tunnel1000 
Device(config)# ip nat outside
```

NAT プールとインターフェイス過負荷モードを使用して、IPv6 トンネルを介して IPv4 を設定します。

Device(config)# interface Tunnel1000 
Device(config)# ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload

または

Device(config)# ip nat pool natpool10 203.0.113.1 203.0.113.25 prefix-length 24
Device(config)# ip nat inside source list nat-dia-vpn-hop-access-list pool natpool10 overload egress-interface Tunnel1000

サービス側 VPN 内で NAT DIA ルートを設定します。

Device(config)# ip nat route vrf 10 0.0.0.0 0.0.0.0 global

（注）

一元化されたデータポリシーを使用して NAT DIA ルートを設定している場合は、nat use-vpn 0 コマンドを使用します。

CLI を使用した IPv6 トンネル経由の NAT DIA IPv4 の設定（Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a リリース以降）

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a および Cisco vManage リリース 20.11.1

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

（注）

デフォルトでは、CLI テンプレートはグローバルコンフィギュレーションモードでコマンドを実行します。

IPv4 NAT DIA トラッカーを使用して、IPv6 トンネルを介した NAT DIA IPv4 を設定できます。NAT DIA トラッカーの詳細については、「NAT DIA トラッカー」を参照してください。

エンドポイントのステータスをトラッキングするためのエンドポイントトラッカーを設定します。

endpoint-tracker tracker-name
エンドポイントの IP アドレスを設定します。

endpoint-ip ip-address
トラッカーのトラッカータイプを設定します。

tracker-type interface-name
IPv6 トンネル経由の NAT DIA IPv4 を設定します。

詳細については、CLI を使用した IPv6 トンネル経由の NAT DIA IPv4 の設定を参照してください。

IPv4 DIA トラッカーを使用して IPv6 トンネル経由の NAT DIA IPv4 を設定するための完全な設定例を次に示します。


       endpoint-tracker test1
        endpoint-ip 10.0.12.13
        tracker-type interface

          interface Tunnel5
          ip address 192.168.9.2 255.255.255.0
          ip nat outside
          endpoint-tracker test1
          tunnel source GigabitEthernet8
          tunnel mode ipv6
           tunnel destination 2A00:B00::1D1E:CA68
           tunnel path-mtu-discovery

           interface GigabitEthernet8
           no ip address
           negotiation auto
           ipv6 address 2A00:B00::1D1E:CA58/64
           no mop enabled
           no mop sysid

        ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel5 overload
        ip nat route vrf 1 0.0.0.0 0.0.0.0 global
        ip route 0.0.0.0 0.0.0.0 Tunnel5

CLI アドオンテンプレートを使用した IPv6 トンネルによる NAT DIA IPv4 の設定

はじめる前に

新しい CLI アドオンテンプレートを作成するか、既存の CLI アドオンテンプレートを編集します。

CLI Add-on Feature Templates の詳細については、「CLI Add-on Feature Templates」を参照してください。

CLI アドオンテンプレートを使用した IPv6 トンネルによる NAT DIA IPv4 の設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。
[Feature Templates] をクリックします。
[Add template] をクリックします。
デバイスリストからデバイスを選択します。
OTHER TEMPLATES 領域で、CLI Add-On Template をクリックします。
[CLI Add-On Template] エリアで、設定を入力します。

次の設定例に示すように、IPv6 トンネルを介して IPv4 を設定します。

interface Tunnel1000
 no shutdown
 ip address 203.0.113.1 255.255.255.0
 ip nat outside
 load-interval 30
 tunnel source GigabitEthernet1
 tunnel destination 2001:DB8:A1:10::10
 tunnel mode ipv6
 tunnel path-mtu-discovery
 tunnel route-via GigabitEthernet1 mandatory
!
ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
ip route 0.0.0.0 0.0.0.0 Tunnel1000 203.0.113.2
ip nat route vrf 10 0.0.0.0 0.0.0.0 global

[Save（保存）] をクリックします。

作成した CLI アドオンテンプレートが [CLI Configuration] に表示されます。
CLI アドオンテンプレートをデバイスにアタッチします。

IPv6 トンネル設定を介した NAT DIA IPv4 の確認

NAT DIA ルートエントリの確認

次に、show ip nat route-dia コマンドの出力例を示します。

Device# show ip nat route-dia 
route add [1] addr [0.0.0.0] vrfid [2] prefix len [0] 
route add [1] addr [0.0.0.0] vrfid [4] prefix len [0]

出力例では、2 つの NAT ルートアドバタイズメントが有効になっています。

NAT DIA ルーティングテーブルエントリの確認

次に、show ip route vrf 1 nat-route コマンドの出力例を示します。

Device# show ip route vrf 1 nat-route 
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP 
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

n*Nd  0.0.0.0/0 [6/0], 00:40:17, Null0

この出力例では、n*Nd 0.0.0.0/0 が構成済みの NAT DIA ルートです。

IP 変換の表示

次に、show ip nat translations コマンドの出力例を示します。

Device# show ip nat translations
show ip nat translations 
Pro  Inside global        Inside local          Outside local         Outside global
tcp  203.0.113.1:5201     10.20.24.150:5201     10.20.25.150:5201     10.20.25.150:5201
icmp 203.0.113.1:25440    10.20.24.150:25440    10.20.25.150:25440    10.20.25.150:25440
Total number of translations: 2

出力例には、2 つの変換があります。

IP NAT グローバル統計の確認

次に、show ip nat statistics コマンドの出力例を示します。

Device# show ip nat statistics
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Outside interfaces:
  Tunnel1000
Inside interfaces: 
Hits: 1012528  Misses: 56
Expired translations: 3
Dynamic mappings:
-- Inside Source
[Id: 3] access-list nat-dia-vpn-hop-access-list interface Tunnel1000 refcount 2
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0  Out-to-in drops: 0
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

出力例では、トンネル 11000 に 2 つの変換があります。

show ip nat statistics コマンドの出力には、設定したすべての IP アドレスプールと NAT マッピングに関する情報が表示されます。

NAT グローバル統計のクリア

clear ip nat statistics コマンドを使用して、NAT グローバル統計をクリアします。

Device# clear ip nat global statistics

NAT の統計情報の表示

次に、show platform hardware qfp active feature nat datapath stats コマンドの出力例を示します。

Device# show platform hardware qfp active feature nat datapath stats
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Outside interfaces:
  Tunnel1000
Inside interfaces: 
Hits: 1012528  Misses: 56
Expired translations: 3
Dynamic mappings:
-- Inside Source
[Id: 3] access-list nat-dia-vpn-hop-access-list interface Tunnel1000 refcount 2
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0  Out-to-in drops: 0
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

NAT グローバルカウンタの確認：データパスマップ

次に、show platform hardware qfp active feature nat datapath map コマンドの出力例を示します。

Device# show platform hardware qfp active feature nat datapath map
I/f Map Table

if_handle 65529 next 0x0 hash_index 220
laddr 0.0.0.0 lport 0 map 0xdec942c0 refcnt 0
gaddr 203.60.10.1 gport 0 proto 0 vrfid 0x0
src_type 1 flags 0x80100 cpmapid 3
I/f Map Table End
edm maps 0
mapping id 1 pool_id 0 if_handle 0xfff9 match_type 0 source_type 1 domain 0 proto 0 Local IP 0.0.0.0, 
Local Port 0 Global IP 203.60.10.1 Global Port 0 Flags 0x80100 refcount 0 cp_mapping_id 3 
next 0x0 hashidx 50 vrfid 0 vrf_tableid 0x0 rg 0 pap_enabled 0 egress_ifh 0x14

NAT グローバルカウンタの確認：セッションダンプ

次に、show platform hardware qfp active feature nat datapath sess-dump コマンドの出力例を示します。

Device# show platform hardware qfp active feature nat sess-dump
id 0xdd70c1d0 io 10.20.24.150 oo 10.20.25.150 io 5201 oo 5201 it 203.0.113.1 ot 10.20.25.150 it 5201 ot 5201 pro 6 vrf 4 tableid 4 bck 65195 in_if 0 out_if 20 ext_flags 0x1 in_pkts 183466 in_bytes 264182128 out_pkts 91731 out_bytes 2987880flowdb in2out fh 0x0 flowdb out2in fh 0x0 
id 0xdd70c090 io 10.20.24.150 oo 10.20.25.150 io 25965 oo 25965 it 203.0.113.1 ot 10.20.25.150 it 25965 ot 25965 pro 1 vrf 4 tableid 4 bck 81393 in_if 0 out_if 20 ext_flags 0x1 in_pkts 27 in_bytes 38610 out_pkts 27 out_bytes 38610flowdb in2out fh 0x0 flowdb out2in fh 0x0

IPv6 トンネルを介した NAT DIA IPv4 の設定例

Device# show sdwan running-config | section Tunnel1000|GigabitEthernet1
interface GigabitEthernet1
 ip address 10.1.15.15 255.255.255.0
 no ip redirects
 load-interval 30
 negotiation auto
 ipv6 address 2001:DB8:A1:F::F/64
 ipv6 enable
 ipv6 nd ra suppress all
 service-policy output shape_GigabitEthernet1 
!
interface Tunnel1000
 no shutdown
 ip address 203.0.113.1 255.255.255.0
 ip nat outside
 load-interval 30
 tunnel source GigabitEthernet1
 tunnel destination 2001:DB8:a1:10::10
 tunnel mode ipv6
 tunnel path-mtu-discovery
 tunnel route-via GigabitEthernet1 mandatory
!
ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
ip route 0.0.0.0 0.0.0.0 Tunnel1000 203.0.113.2
ip nat route vrf 10 0.0.0.0 0.0.0.0 global

NAT DIA を使用したダイヤラインターフェイス

次のセクションでは、NAT DIA を使用したダイヤラインターフェイスの設定について説明します。

NAT DIA でのダイヤラインターフェイスの使用に関する情報

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

この機能は、NAT DIA 使用例の Point-to-Point Protocol（PPP）ダイヤラインターフェイスのサポートを提供します。ダイヤラインターフェイスを使用して、IPv4 インターネットサービスおよびサイトにアクセスします。

ダイヤラインターフェイスは、デフォルトルーティング情報、カプセル化プロトコル、使用するダイヤラプールなど、クライアントからのトラフィックを処理する方法を指定します。

次のダイヤラインターフェイスがサポートされています。

Point-to-Point Protocol over Ethernet（PPPoE）
Point-to-Point Protocol over Asynchronous Transfer Mode（PPPoA）
Point-to-Point Protocol over Ethernet over Asynchronous Transfer Mode（PPPoEoA）

PPPoE の設定の詳細については、『Cisco Catalyst SD-WAN Systems and Interfaces Guide, Cisco IOS XE Catalyst SD-WAN リリース 17.x』の「PPPoE の設定」セクションを参照してください。

NAT DIA の TCP 最大セグメントサイズの調整

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a および Cisco vManage リリース 20.9.1 から始めて、TCP セッションのドロップを防ぐために、TCP 最大セグメントサイズ（MSS）の値を調整できます。

TCP MSS の設定の詳細については、『Cisco Catalyst SD-WAN Systems and Interfaces Guide, Cisco IOS XE Catalyst SD-WAN リリース 17.x』の「Configure TCP MSS and Clear Dont Fragment」セクションを参照してください。

NAT DIA でダイヤラインターフェイスを使用する利点

NAT DIA によるインターフェイス過負荷モードのサポート
NAT DIA を使用したルートベースおよびデータポリシーベースの構成のサポート
NAT プールとループバックのサポート
スタティック NAT 設定のサポート
スタティック NAT ポート転送のサポート
着信コールまたは発信コールの要件に基づいた物理インターフェイスのさまざまな特性
NAT DIA によるダイヤラインターフェイス経由のスタティックまたはネゴシエートされた IP アドレスのサポート

NAT DIA ダイヤラインターフェイスのワークフロー

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

次の図は、IPv4 クライアントトラフィックがダイヤラインターフェイスを介してルーティングされ、IPv4 インターネットサイトおよびサービスに到達する方法を示しています。

NAT DIA でダイヤラインターフェイスを使用する場合の制限事項

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

ダイヤラインターフェイスでは NAT DIA のみがサポートされています。
ダイヤラインターフェイスではサービス側 NAT はサポートされていません。
デバイス CLI または CLI アドオンテンプレートを使用する場合、PPPoE ジャンボフレームは 1800 バイトに制限されます。
次の PPPoA ダイヤラインターフェイスカプセル化の設定はサポートされていません。Cisco SD-WAN Manager 機能テンプレートを使用した　AAL5MUX、AAL5SNAP、AAL5NLPID、または bridge-dot1q です。これらの PPPoA カプセル化を設定する場合は、CLI テンプレートを使用してカプセル化を設定する必要があります。
NAT DIA トラッカーは、ip unnumbered インターフェイスを持つダイヤラインターフェイスではサポートされていません。
NAT DIA パスの設定は、WAN インターフェイスのループバックではサポートされていません。

CLI テンプレートを使用した NAT DIA でダイヤラインターフェイスの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

NAT DIA を有効にして PPPoE ダイヤラインターフェイスを設定します。

Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a および Cisco vManage リリース 20.9.1 から使用できる dialer down-with-vInterface コマンドは、PPP セッションが停止したときにダイヤラインターフェイスを停止します。

interface interface-type-number
 pppoe enable group global
 pppoe-client dial-pool-number dialer-pool-number
!
interface Dialer dialer-number
 description interface vers le BAS
 mtu bytes
 ip address negotiated
 ip mtu bytes
 ip nat outside
 encapsulation encapsulation-type
 ip tcp adjust-mss bytes
 dialer pool dialer-pool-number
 dialer down-with-vInterface
 ppp chap hostname hostname
 ppp chap password password
 ppp authentication chap callin
 ppp ipcp route default
 service-policy output shape_Dialer dialer-number

インターフェイスオーバーロードモードでダイヤラインターフェイスを介して ip nat outside を有効にします。
```
interface Dialer dialer-number
ip nat outside
ip nat inside source list nat-dia-vpn-hop-access-list interface Dialer dialer-number overload
```
サービス側 VPN の NAT DIA ルートを設定します。

サービス側 VPN の NAT DIA ルートの設定に関する詳細については、「NAT DIA ルートの設定」を参照してください。

または

一元化されたデータポリシーを使用して、サービス側 VPN の NAT DIA ルートを設定します。
```
ip nat route vrf vrf-id route-prefix prefix-mask global
```

（注）

Pool-overload-config を使用した NAT マッピングと同じトランザクションでダイヤラインターフェイスが削除されると、追加の非 NAT 設定が生成されます。次に示すように、異なるトランザクションを使用して各 NAT 設定を個別に削除します。

Device(config)# no ip nat inside source list global-list pool natpool-Dialer100-0 overload egress-interface Dialer100
Device(config)# commit
 
Device(config)# no interface Dialer100
Device(config)# commit

NAT DIA でダイヤラインターフェイスを設定するための完全な設定例を次に示します。

interface Dialer100
 mtu 1492
 ip address negotiated
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 100
 dialer down-with-vInterface
 endpoint-tracker tracker-google 
 ppp authentication chap callin
 ppp chap hostname branch1.ppp1
 ppp chap password 7 01100F175804
 ppp ipcp route default
 service-policy output shape_GigabitEthernet0/0/1
!
interface GigabitEthernet0/0/1
 no ip redirects
 pppoe enable group global
 pppoe-client dial-pool-number 100
!
sdwan
 interface Dialer100
  tunnel-interface
   encapsulation ipsec weight 1
   color mpls restrict
  exit
 exit
ip nat inside source list nat-dia-vpn-hop-access-list interface Dialer100 overload
ip nat route vrf 10 0.0.0.0 0.0.0.0 global

ダイヤラインターフェイス設定の確認

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

次のセクションでは、ダイヤラインターフェイスの設定を確認する方法について説明します。

NAT DIA IP ルート設定の確認

次に、show ip route vrf コマンドの出力例を示します。

Device# show ip route vrf 10
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

n*Nd 0.0.0.0/0 [6/0], 4d01h, Null0
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

出力例では、n*Nd 0.0.0.0/0 が設定済みの NAT DIA ルートです。

IP アドレスの変換の確認

次に、show ip nat translations コマンドの出力例を示します。

Device# show ip nat translations
Pro   Inside global       Inside local        Outside local    Outside global
tcp   192.0.2.1:80        10.10.0.100:8080    ---               ---
---   192.0.2.2.198       10.10.0.254         ---               ---
tcp   192.0.2.1:8000      10.10.0.253:23      ---               ---
tcp   192.0.2.25:25185    10.0.0.1:43878      203.0.113.1:80    203.0.113.1:80
tcp   192.0.2.3:48871     10.0.0.2:48871      203.0.113.2:80    203.0.113.2:80
tcp   192.0.2.3:63242     10.0.0.2:63242      203.0.113.2:80    203.0.113.2:80
tcp   192.0.2.3:52929     10.0.0.2:52929      203.0.113.2:80    203.0.113.2:80
tcp   192.0.2.4:25184     10.0.0.4:28456      203.0.113.1:80    203.0.113.1:80
udp   192.0.2.3:64681     10.0.0.2:64681      203.0.113.1:53    203.0.113.1:53
udp   192.0.2.3:65504     10.0.0.2:64670      203.0.113.1:53    203.0.113.1:53
tcp   192.0.2.25:25186    10.0.0.1:28455      203.0.113.1:80    203.0.113.1:80
Total number of translations: 11

サンプル出力では、11 の変換があります。

PPPoE セッションの表示

次に、show pppoe session コマンドの出力例を示します。

Device# show pppoe session
     1 client session 

Uniq ID  PPPoE  RemMAC          Port                    VT  VA         State
           SID  LocMAC                                      VA-st      Type
    N/A    391  84b2.61cc.9903  Gi0/0/1.100           Di100 Vi2        UP      
                c884.a1f4.b981  VLAN: 100                   UP

この出力例では、PPPoE ダイヤラインターフェイスが UP と表示されています。

次に、show ppp all コマンドの出力例を示します。

Device# show ppp all
Interface/ID OPEN+ Nego* Fail-     Stage    Peer Address    Peer Name
------------ --------------------- -------- --------------- --------------------
Vi2          LCP+ IPCP+ CDPCP-     LocalT   172.16.100.1    SDWAN-AGGREGE

PPP ネゴシエーション情報の確認

次に、show interfaces Dialer コマンドの出力例を示します。

Device# show interfaces Dialer100
Dialer100 is up, line protocol is up 
  Hardware is Unknown
  Internet address is 172.16.100.101/32
  MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec, 
     reliability 255/255, txload 255/255, rxload 255/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi2
  Last input 00:09:05, output 00:00:09, output hang never
  Last clearing of "show interface" counters 1w0d
  Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: weighted fair
  Output queue: 0/1000/64/0 (size/max total/threshold/drops) 
     Conversations  0/0/16 (active/max active/max total)
     Reserved Conversations 0/0 (allocated/max allocated)
     Available Bandwidth 56 kilobits/sec
  5 minute input rate 42220429000 bits/sec, 23 packets/sec
  5 minute output rate 1520154000 bits/sec, 23 packets/sec
     755339342 packets input, 2706571669546067 bytes
     696497150 packets output, 97523835049377 bytes
Bound to:
Virtual-Access2 is up, line protocol is up 
  Hardware is Virtual Access interface
  Internet address will be negotiated using IPCP
  MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec, 
     reliability 255/255, txload 177/255, rxload 177/255
  Encapsulation PPP, LCP Open
  Stopped: CDPCP
  Open: IPCP

この出力例では、Dialer100 が稼働しており、回線プロトコルが稼働しています。 Virtual-Access2 も稼働しており、回線プロトコルも稼働しています。

NAT DIA でダイヤラインターフェイスを使用するための設定例

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

この例は、NAT プール、内部スタティック NAT 、およびポートフォワーディングでのダイヤラインターフェイスの設定を示しています。

ip nat pool natpool10 203.0.113.1 203.0.113.25 prefix-length 24
ip nat inside source list nat-dia-vpn-hop-access-list interface Dialer100 overload
ip nat inside source list nat-dia-vpn-hop-access-list pool natpool10 overload
egress-interface Dialer100
ip nat inside source static 10.10.80.254 10.1.1.198 vrf 10 egress-interface Dialer100
ip nat inside source static tcp 10.10.80.100 8080 interface Dialer100 8080 vrf 10
ip nat inside source static tcp 10.10.80.253 23 10.1.1.200 8201 vrf 10 egress-interface
Dialer100

HSRP による NAT DIA スタティック NAT マッピング

次のセクションでは、HSRP を使用した NAT DIA スタティック NAT マッピングの設定について説明します。

HSRP によるスタティック NAT マッピングについて

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

HSRP は、ファーストホップ IP デバイスのフェールオーバーを透過的に実行できるように設計された First-Hop Redundancy Protocol（FHRP）です。デフォルトゲートウェイの IP アドレスが設定されたネットワーク上の IP ホストにファーストホップのルーティング冗長性を確保することによって、ハイアベイラビリティを提供します。HSRP は、ルータグループ内のアクティブデバイスとスタンバイデバイスを識別するために使用されます。

HSRP 設定の詳細については、『Cisco Catalyst SD-WAN Systems and Interfaces Configuration Guide, Cisco IOS XE Release 17.x』の「Hot Standby Router Protocol (HSRP)」の章を参照してください。

ARP でのアドレス解決

Address Resolution Protocol（ARP）は、ホストのハードウェアアドレスをホストの既知の IP アドレスから検出します。このハードウェアアドレスは Media Access Control（MAC）アドレスとも呼ばれます。ARP が保持するキャッシュ（テーブル）では、MAC アドレスが IP アドレスにマッピングされています。

Gratuitous ARP

ホストが自身の IP アドレスを解決するために ARP 要求を送信する場合、それは Gratuitous ARP と呼ばれます。ARP 要求パケットでは、送信元と宛先の IP アドレスは、同じ送信元 IP アドレス自体で満たされています。宛先 MAC アドレスはイーサネットブロードキャストアドレスです。

ルータがアクティブになると、影響を受ける LAN セグメントに HSRP 仮想 MAC アドレスを含む Gratuitous ARP パケットをブロードキャストします。セグメントがイーサネットスイッチを使用する場合、スイッチは仮想 MAC アドレスの場所を変更できます。これによりパケットが、アクティブでなくなったルータの代わりにアクティブルータに流れます。ルータがデフォルトの HSRP MAC アドレスを使用する場合、エンドデバイスは、gratuitous ARP を必要としません。

HSRP によるスタティック NAT マッピング

NAT スタティックマッピングで設定され、デバイスが所有するアドレスに対して ARP クエリがトリガーされると、NAT はこの HSRP グループに設定された仮想 MAC アドレスで応答します。2 つのデバイスがアクティブおよびスタンバイとして動作します。HSRP グループに属するように、アクティブデバイスとスタンバイデバイスの NAT 内部インターフェイスを設定します。
アクティブルータとスタンバイルータの両方が同じスタティック NAT マッピングで設定されている場合、アクティブデバイスだけがスタティック NAT マッピングエントリの ARP 要求に応答します。HSRP アクティブデバイスからスタンバイデバイスにフェールオーバーするトラフィックは、フェールオーバーする前に ARP 要求がタイムアウトするのを待つ必要はありません。
新しい HSRP アクティブデバイスは、ARP 要求がタイムアウトするのを待たずに、スタティック NAT マッピングエントリの所有権を自動的に再開します。HSRP アクティブデバイスは、スタティック NAT マッピングエントリの Gratuitous ARP 要求も送信します。これは、ip nat outside source static コマンドにマッピングされている HSRP グループ名を利用して行われます。

HSRP を使用したスタティック NAT マッピングの詳細については、『IP Addressing: NAT Configuration Guide』を参照してください。

HSRP によるスタティック NAT マッピングの利点

トラフィックはフェイルオーバーする前に ARP エントリがタイムアウトするのを待機する必要がないため、冗長性が確保されます
HSRP アクティブルータのみが、NAT アドレスで設定されたルータへの着信 ARP 要求に応答します。

HSRP によるスタティック NAT マッピングの制約事項

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

NAT64 および NAT66 は、HSRP を使用したスタティック NAT マッピングではサポートされていません。
IPv6アドレスはサポートされていません。サポートされているのは IPv4 アドレスだけです。
サービス側オブジェクトトラッカーは、外部スタティック NAT ではサポートされていません。
両方の HSRP ルータ（アクティブとスタンバイ）は、同じグループ名と同じスタティック NAT マッピングを持つ必要があります。

CLI テンプレートを使用した HSRP によるスタティック NAT マッピングの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

ハイアベイラビリティのために、HSRP グループ名と redundancy キーワードを指定した ip nat outside を使用して、アクティブおよびスタンバイ HSRP ルータを設定します。

interface interface-type-number
 no shutdown
 vrf forwarding vrf-name
 ip address ip-address ip-address
 standby version number
 standby group-number ip ip-address
 standby group-number name hsrp_lan
 standby group-number preempt
 standby group-number priority priority-value
 standby group-number timers msec timer-value timer-value
 negotiation auto
exit
!
ip nat inside source list global interface interface-type-number overload
ip nat outside source static ip-address ip-address vrf vrf-name redundancy hsrp_lan match-in-vrf

（注）

冗長性キーワードは、ip nat outside source static コマンドでのみサポートされています。ip nat inside source static コマンドでは、redundancy キーワードはサポートされていません。

HSRP アクティブルータとスタンバイルータの両方に、同じ HSRP グループ名と同じスタティック NAT マッピングを設定します。

宛先 NAT の ip nat outside コマンドの設定に加えて、送信元 IP を変換するための ip nat inside コマンドを設定します。

サービス側からインターネットにパケットを送信すると、NAT DIA は宛先 IP アドレス（プライベート IP アドレスの場合もある）をパブリック IP アドレスに変換します。これは、宛先 NAT と呼ばれます。

ip nat outside 機能をサポートする一元化されたデータポリシーを構成します。宛先 NAT 宛てのトラフィックは、ポリシーシーケンスに該当しない場合があります。
```
policy
data-policy policy-name
vpn-list vpn_list
sequence number
match
source-ip ip-address
!
action accept
nat use-vpn 0
!
!
sequence number
match
source-ip      ip-address
destination-ip ip-address
!
action accept
nat pool pool-number
!
!
default-action accept
!
!
lists
vpn-list vpn_list
vpn vpn-name
vpn vpn-name
!
!
```
一元化されたポリシーの nat use-vpn 0 部分により、宛先 IP が変換された後に、一致するトラフィックが VPN 0 に送信されます。

次に、HSRP を使用してスタティック NAT マッピングを設定するための完全な設定例を示します。

!
interface GigabitEthernet1
ip address 209.165.201.96 255.255.255.0
ip nat outside
standby version 2
standby 300 ip 209.165.201.34
standby 300 priority 120
standby 300 preempt
standby 300 name hsrp_wan
!
interface GigabitEthernet3
vrf forwarding 2
ip address 192.168.0.96 255.255.255.0
standby version 2
standby 500 ip 192.168.0.94
standby 500 priority 120
standby 500 preempt
standby 500 name hsrp_lan
!
!
ip nat inside source list global interface GigabitEthernet1 overload
!
ip nat outside source static 209.165.201.1 192.168.0.1 vrf 2 redundancy hsrp_lan match-in-vrf
!

一元化されたデータポリシーを使用して HSRP でスタティック NAT マッピングを設定するための完全な構成例を次に示します。

policy
data-policy test_policy
vpn-list vpn_list
sequence 10
match
source-ip 192.168.0.0/24
!
action accept
nat use-vpn 0
!
!
sequence 20
match
source-ip      192.168.0.0/24
destination-ip 209.195.201.0/32
!
action accept
nat pool 1
!
!
default-action accept
!
!
lists
vpn-list vpn_list
vpn 0
vpn 2
!
!

HSRP を使用したスタティック NAT マッピングの確認

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

次のセクションでは、HSRP を使用したスタティック NAT 設定の確認について説明します。

HSRP グループ名に関連付けられた IP アドレスの表示

次に、show ip nat redundancy コマンドの出力例を示します。

Device# show ip nat redundancy
IP             Redundancy-Name    ID     Use-count
192.168.0.200  hsrp_lan           0      1

上記の出力は、HSRP グループ名に関連付けられた IP アドレスを示しています。

Use-count 列の数字は、この IP アドレスを使用するスタティック NAT CLI の数を示します。

HSRP グループ名に関連付けられた IP アドレスを表示するための新しいコマンド show ip nat redundancy が追加されました。詳細については、『Cisco IOS XE Catalyst SD-WAN Qualified Command Reference Guide』を参照してください。

変換された IP アドレスの表示

次に、show ip nat translations コマンドの出力例を示します。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  ---                   ---                   192.168.0.200         209.165.201.1              
icmp 192.168.0.1:174       192.168.0.1:174       192.168.0.200:174     209.165.201.1:174
icmp 192.0.2.1:174         192.168.0.1:174       209.165.201.1:174     209.165.201.1:174
icmp 192.168.0.1:174       192.168.0.1:174       192.168.0.200:174     209.165.201.1:174
Total number of translations: 4

上記の出力は、4 つの変換があることを示しています。

HSRP スタンバイルータの情報の表示

次に、スタンバイルータの情報を表示する show standby コマンドの出力例を示します。

Device# show standby
GigabitEthernet1 - Group 300 (version 2)
  State is Active
    1 state change, last state change 22:33:42
  Virtual IP address is 209.165.201.1
  Active virtual MAC address is 0000.0c9f.f12c (MAC In Use)
    Local virtual MAC address is 0000.0c9f.f12c (v2 default)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 1.584 secs
  Preemption enabled
  Active router is local
  Standby router is unknown
  Priority 120 (configured 120)
  Group name is "hsrp_wan" (cfgd)
  FLAGS: 1/1
GigabitEthernet3 - Group 500 (version 2)
  State is Active
    5 state changes, last state change 00:00:18
  Virtual IP address is 192.168.0.94
  Active virtual MAC address is 0000.0c9f.f1f4 (MAC In Use)
    Local virtual MAC address is 0000.0c9f.f1f4 (v2 default)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 0.544 secs
  Preemption enabled
  Active router is local
  Standby router is unknown
  Priority 120 (configured 120)
  Group name is "hsrp_lan" (cfgd)
  FLAGS: 1/1

仮想 MAC アドレスを使用して ARP テーブルの NAT IP アドレスを表示する

次に、show arp vrf コマンドの出力例を示します。

Device# show arp vrf 2
Protocol  Address          Age (min)  Hardware Addr    Type   Interface
Internet  192.168.0.1             -   0000.0c9f.f1f4   ARPA   GigabitEthernet3
Internet  192.168.0.10           11  0050.56bc.780b    ARPA   GigabitEthernet3
Internet  192.168.0.11          100   0050.56bc.608e   ARPA   GigabitEthernet3
Internet  192.168.0.14           83   0050.56bc.4748   ARPA   GigabitEthernet3
Internet  192.168.0.94            -   0000.0c9f.f1f4   ARPA   GigabitEthernet3
Internet  192.168.0.96            -   0050.56bc.1378   ARPA   GigabitEthernet3
Internet  192.168.0.98           73   0050.56bc.3967   ARPA   GigabitEthernet3

上記の出力は、NAT アドレス 192.168.0.1 が仮想 MAC アドレス 0000.0c9f.f1f4 で ARP テーブルに追加されることを示しています。

NAT DIA を使用したアプリケーションレベルのゲートウェイ

次のセクションでは、NAT DIA を使用したアプリケーションレベルゲートウェイ（ALG）の設定に関して説明します。

NAT DIA を使用した ALG の使用に関する情報

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

アプリケーションレベルゲートウェイ（ALG）は、アプリケーションレイヤゲートウェイとも呼ばれ、アプリケーションパケットのペイロード内の IP アドレスを変換するアプリケーションです。ALG を使用してアプリケーション層プロトコルを解釈し、ファイアウォールと NAT 変換を実行します。

パケットペイロードにアドレス情報を埋め込むプロトコルは、ALG のサポートを必要とします。次のプロトコルでは、アプリケーションペイロードの NAT 変換に ALG が必要です。

ドメインネームシステム（DNS）
ファイル転送プロトコル（FTP）
Session Initiation Protocol（SIP）

SIP は、SIP に基づく VoIP ソリューションに NAT を展開する機能を追加します。

Cisco vManage リリース 20.11.1 および Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a 以降、次のプロトコルがサポートされます。

簡易ファイル転送プロトコル（TFTP）
ポイントツーポイントトンネリングプロトコル（PPTP）
Sun リモートプロシージャコール（SUNRPC）
Skinny Client Control Protocol（SCCP）
H.323

（注）

ゾーンベースのファイアウォール（ZBFW）が NAT DIA に対して有効になっている場合、NAT ALG 機能は ZBFW と相互運用します。

ALG の詳細については、『IP アドレッシング：NAT コンフィギュレーションガイド』を参照してください。

NAT DIA を使用して ALG を使用する利点

クライアントアプリケーションが、ダイナミック TCP または UDP ポートを使用してサーバーアプリケーションと通信できるようにします。
NAT DIA で設定された NAT ALG とゾーンベースのファイアウォール（ZBFW）間の相互運用性をサポートします。

NAT DIA を使用した ALG の使用に関する制限事項

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

サービス側 NAT を使用した ALG はサポートされていません。NAT DIA のみがサポートされています。
ip nat outside source コマンドを使用した ALG の設定はサポートされていません。
ドメインネームシステム（DNS）ALG では、ペイロードを変更するために、NAT 変換テーブルにスタティックエントリが必要です。NAT 変換テーブルにスタティックエントリがない場合、DNS ALG は機能しません。

次のコマンドを使用して、NAT 変換テーブルにスタティックエントリを作成します。
```
ip nat inside source static local-ip global-ip vrf vrf-id egress-interface interface-type-number
```
clear ip nat translations コマンドを実行すると、ALG セッションがクリアされます。NAT による変換を再作成するには、新しい NAT コマンドを実行します。これは予期されている動作です。

CLI テンプレートを使用した NAT DIA での ALG の設定

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

NAT DIA を設定します。

詳細については、「NAT DIA の設定」を参照してください。
NAT ALG グローバルサポートを有効にします。
```
ip nat service all-algs
```

次の例に示すように、アプリケーションプロトコルごとに NAT ALG を有効にします。

ip nat service dns tcp
ip nat service dns udp
ip nat service ftp
ip nat service sip tcp port port-number
ip nat service sip udp port port-number

（注）

Cisco vManage リリース 20.11.1 および Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a 以降、次のプロトコルが NAT ALG でサポートされます。

TFTP
PPTP
SUNRPC
SCCP
H.323

ALG を設定するための完全な設定例を次に示します。

ip nat service all-algs
ip nat service sip tcp port 5060
ip nat service sip udp port 5060
ip nat service dns tcp
ip nat service dns udp
ip nat service ftp
ip nat service H323
ip nat service ras
ip nat service pptp
ip nat service tftp
ip nat service sunrpc tcp
ip nat service sunrpc udp
ip nat service skinny tcp port xxxx(default 2000)

ALG 設定の確認

次のセクションでは、NAT ALG 設定の確認に関する情報を提供します。

ALG 変換を表示

show ip nat translations tcp 
tcp  10.1.15.15:5062       10.20.24.150:57497    10.1.15.150:21        10.1.15.150:21
tcp  10.1.15.15:5063       10.20.24.150:49732    10.1.15.150:20        10.1.15.150:20

（注）

CLI テンプレートを使用してペイロードの翻訳を表示することはできません。ペイロードの変換を表示するには、Cisco SD-WAN Manager を使用してパケットをキャプチャします。

Cisco SD-WAN Manager を使用したパケットのキャプチャの詳細については、『Cisco Catalyst SD-WAN Monitor and Maintain Guide』の「パケットのキャプチャ」を参照してください。

NAT ALG による NAT タイムアウトとプロトコルリッスンの確認

Device(config)# show platform hardware qfp active feature nat datapath summary 
Nat setting mode: sdwan-default
Number of pools configured: none
Timeouts: 86400(tcp), 300(udp), 60(icmp), 300(dns), 
          60(syn), 300(finrst), 86400(pptp), 3600(rmap-entry)
pool watermark: not configured
Nat active mapping inside:1 outside:0 static:0 static network:0
Nat debug: none
Nat synchronization: enabled
Nat bpa: not configured; pap: not configured
Nat gatekeeper: on
Nat limit configured: no
Vpns configured with match-in-vrf: no
Nat packet drop: true
Total active translations: 615 (0 static, 615 dynamic, 615 extended)
Platform specific maximum translations: 131072 configured: none
PAM table non-zero entries:
 0 0xeaa88be0 port=53, proto=6, appl_type=12
 12 0xeaa88c60 port=2000, proto=6, appl_type=8
 25 0xeaa88ba0 port=21, proto=6, appl_type=11
 34 0xeaa88c20 port=5060, proto=6, appl_type=9
 35 0xeaa889e0 port=496, proto=17, appl_type=16
 85 0xeaa88ce0 port=5060, proto=17, appl_type=9
 119 0xeaa88ca0 port=53, proto=17, appl_type=12

NAT DIA を使用したポートフォワーディング

次のセクションでは、NAT DIA を使用したポートフォワーディングの設定について説明します。

NAT DIA を使用したポートフォワーディングに関する情報

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

NAT DIA を使用したポートフォワーディングは、プライベートネットワーク内でサーバーを実行するユーザーに、パブリック IP アドレスと、内部のローカル IP アドレスとポート番号にマップされるポート番号を共有する機能を提供します。この機能では、各ポートをそれぞれ異なる内部 IP アドレスに転送できるため、同じパブリック IP アドレスから複数のサーバーへのアクセスが可能になります。

Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a および Cisco vManage リリース 20.9.1 以前は、ポートフォワーディングはサービス側の NAT で利用可能でした。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a 以降のリリースでは、NAT DIA を使用したポートフォワーディング用のループバックインターフェイスを設定できます。ループバックインターフェイスは、IP ルーティングプロトコルがループバックインターフェイスに割り当てられたサブネットのアドバタイズを継続する場合、インターフェイスに割り当てられた IP アドレスがいつでも到達可能になるようにします。ループバックインターフェイスとポート番号が設定されると、送信元 IP アドレスと送信元ポート番号がそれぞれループバック IP アドレスとポート番号に変換されます。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a から、デバイス CLI テンプレートまたは CLI アドオン機能テンプレートを使用して、ループバックインターフェイスを設定できます。ループバックインターフェイスの設定の詳細については、「Configure Port Forwarding with NAT DIA Using a CLI Template」を参照してください。

ループバックインターフェイスによるポートフォワーディング — 図 5. ループバックインターフェイスを使用した NAT DIA ポートフォワーディング

NAT DIA を使用したポートフォワーディングの利点

パブリックドメインからプライベートネットワーク（LAN）内のサーバーにアクセスできます。
異なるポートを異なる内部 IP アドレスに転送できるため、同じパブリック IP アドレスから複数のサーバーにアクセスできます。

NAT DIA を使用したポートフォワーディングの制限事項

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

NAT DIA を使用したポートフォワーディングでは、TCP ロードバランシングはサポートされていません。
トラフィックは、パブリックネットワークからのみパブリック IP アドレスとポートに到達できます。
スタティック NAT を設定している場合、ポートフォワーディングを設定するときに同じスタティック NAT IP アドレスを使用できません。
NAT DIA でポートフォワーディングを設定するときに、Cisco SD-WAN Manager で予約されたポートは使用できません。
Cisco IOS XE Catalyst SD-WAN リリース 17.10.1a 以前のリリースでは、ループバックインターフェイスはサポートされていません。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a では、NAT DIA を使用したポートフォワーディングにループバックインターフェイスを設定できます。ループバックインターフェイスの設定の詳細については、「CLI テンプレートを使用した NAT DIA によるポートフォワーディングの設定」を参照してください。
ダイヤラ仮想インターフェイスはサポートされていません。
UDP ポート 8000 ～ 48199 は、VoIP トラフィック用に予約されています。Cisco IOS XE Catalyst SD-WAN デバイスで VoIP が有効になっている場合、NAT DIA は、VoIP トラフィック用に予約されているのと同じ UDP ポートを使用できません。
TLOC 出力インターフェイスの NAT DIA ポートフォワーディングは、ネットワークの外部から送信されたフラグメント化されたパケットをサポートしていません。
最大 128 のポート転送ルールを定義して、外部ネットワークからの要求が内部ネットワーク上のデバイスに到達できるようにします。
IP アドレスとポート番号から IP アドレスとポート番号への変換は、Cisco SD-WAN Manager 機能テンプレートと CLI テンプレートを使用してサポートされています。
インターフェイスポートフォワーディングは、CLI テンプレートのみを使用してサポートされます。

ポートフォワーディングルールで IP アドレスではなくインターフェイスを使用する場合、これはインターフェイスポートフォワーディングと呼ばれます。

NAT DIA を使用したポートフォワーディングの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

パブリックドメインからプライベートネットワークへのアクセスを許可するポート転送ルールを作成します。

Before You Begin

データポリシーを構成して適用します。
[Cisco VPN Interface Ethernet] テンプレートを設定するか、既存の [Cisco VPN Interface Ethernet] テンプレートを編集します。
インターフェイスオーバーロードモードを設定します。インターフェイスオーバーロードモードはデフォルトで有効になっています。
NAT プールを設定します。

NAT DIA を使用したポートフォワーディングの設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Cisco VPN Interface Ethernet] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
[NAT] をクリックします。
[NAT Pool] で、[New NAT Pool] をクリックします。
必須 NAT パラメータを入力します。

NAT プールパラメータの詳細については、「NAT プールとループバックインターフェイスの設定」を参照してください。
[Add] をクリックします。

ポートフォワーディングルールを作成するには、[Port Forward] > [New Port Forwarding Rule]をクリックし、表の説明に従ってパラメータを設定します。

表 5. NAT DIA のポートフォワーディングのパラメータ
パラメータ名	説明
Protocol	ポートフォワーディングルールを適用する [TCP] または [UDP] を選択します。TCP トラフィックと UDP トラフィックの両方で同じポートを一致させるには、2 つのルールを構成します。
送信元 IP アドレス	変換される送信元アドレスを入力します。
送信元ポート	ポート番号を入力して、変換する送信元ポートを定義します。範囲は 0 ～ 65535 です。
[Translated Source IP Address]	OMP にアドバタイズされる NAT IP アドレスを指定します。ポートフォワーディングは、変換されたポートが一致するオーバーレイから、この IP アドレス宛てのトラフィックに適用されます。
[Translate Port]	ポートフォワーディングを適用するポート番号を入力します。範囲は 0 ～ 65535 です。 Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a で始まる、スタティックに変換された送信元 IP アドレスは、設定されたダイナミック NAT プールの IP アドレス範囲内にある必要があります。
[Static NAT Direction]	ネットワークアドレス変換を行う方向を選択します。
[Source VPN ID]	トラフィックの送信元のサービス側 VPN を指定します。

[更新（Update）] をクリックします。

CLI テンプレートを使用した NAT DIA によるポートフォワーディングの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

WAN インターフェイスで ip nat outside を設定します。

interface interface-type-number
 ip address dhcp
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
end

WAN インターフェイスでインターフェイス過負荷モードを設定します。
```
ip nat inside source list nat-acl interface interface-type-number overload
```

出力インターフェイスを使用して NAT DIA ポートフォワーディングを設定します。

ip nat inside source static tcp ip-address port ip-address port vrf number egress-interface interface-type-number
ip nat inside source static tcp ip-address port interface interface-type-number port vrf number

ip nat inside source static tcp ip-address port interface interface-type-number port vrf number コマンドは、ポートフォワーディングルールで IP アドレスではなくインターフェイスを使用するため、インターフェイスポートフォワーディングの例です。

（注）

Cisco SD-WAN Manager 機能テンプレートを使用してインターフェイスポートフォワーディングを設定できます。

NAT DIA を使用したポートフォワーディングを設定するための完全な設定例を次に示します。

interface GigabitEthernet1
 ip address 10.1.2.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
end

ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload
ip nat inside source static tcp 192.168.1.100 443 interface GigabitEthernet1 8443 vrf 1
ip nat inside source static tcp 192.168.1.100 80 10.1.2.10 80 vrf 1 egress-interface GigabitEthernet1 
ip nat inside source static tcp 192.168.1.100 22 10.1.2.20 2020 vrf 1 egress-interface GigabitEthernet1

ループバックインターフェイスを使用した NAT DIA によるポートフォワーディング

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a から、NAT DIA を使用したポートフォワーディングにループバックインターフェイスを設定できます。ループバックインターフェイスを設定するときに、インターネット側インターフェイスである出力インターフェイスを指定します。

ループバックインターフェイスを使用して、NAT DIA によってポートフォワーディングを設定するための設定例を次に示します。

WAN インターフェイスで ip nat outside を設定します。

interface GigabitEthernet1
 ip address 10.1.2.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
exit

ループバックインターフェイスを定義します。

interface Loopback3
 ip address 10.1.3.1 255.255.255.255
exit

ループバックインターフェイスを設定します。

ip nat inside source static tcp 192.168.1.100 8080 interface Loopback3 8585 vrf 1 egress-interface GigabitEthernet1
ip nat inside source static tcp 192.168.1.100 80 interface Loopback3 5050 egress-interface GigabitEthernet1

上記の設定例では、送信元 IP アドレスが 192.168.1.100 の着信 TCP パケットが、Loopback3 に割り当てられた IP アドレス 10.1.3.1 に変換されます。送信元ポート 8080 は 8585 に変換されます。

1 ～ 512 の範囲で VRF 番号を指定すると、サービス VPN 内でポートフォワーディングが行われます。VRF 番号の値を指定しない場合、ポートフォワーディングはトランスポート VPN（デフォルトでは VPN 0）で設定されます。

ループバックインターフェイスは、インターフェイスコンフィギュレーションモードで shutdown コマンドを実行するまでアクティブなままです。

NAT DIA を使用したポートフォワーディングの設定の確認

NAT DIA を使用したポートフォワーディングの変換の確認

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a、Cisco vManage リリース 20.9.1

次に、show ip nat translations コマンドの出力例を示します。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
tcp  10.0.1.7:2022         10.0.100.14:22        ---                   ---
tcp  10.0.1.7:2022         10.0.100.14:22        10.0.1.16:46275       10.0.1.16:46275
Total number of translations: 2

上記の出力では、ポート 2022 の内部グローバル IP 10.0.1.7 が、ポート 22 の内部ローカル IP 10.0.100.14 に変換されます。

ループバックインターフェイスを使用したポートフォワーディングの変換の確認

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

次に、show ip nat translations コマンドの出力例を示します。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
tcp  10.1.3.1:5050         192.168.1.100:80        ---                   ---
tcp  10.1.3.1:8585         192.168.1.100:8080      ---                   ---
Total number of translations: 2

上記の出力では、ポート 8080 の送信元 IP 192.168.1.100 は、ポート 8585 のループバック IP 10.1.3.1 に変換されます。

NAT 高速ロギング

次のセクションでは、NAT Direct Internet Access（DIA）を使用したネットワークアドレス変換（NAT）および高速ロギング（HSL）の設定に関する情報を提供します。

NAT HSL に関する情報

サポートされる最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.9.1a Cisco IOS XE Release 17.6.4 以降の 17.6.x リリース

NAT HSL を使用すると、Virtual Route Forwarding（VRF）インスタンスの NAT 高速ログを有効または無効にすることができます。HSL が設定されている場合、NAT はルーティングデバイス（バージョン 9 の NetFlow に似た記録と同様）を通じて外部コレクタに流れるパケットのログを提供します。外部コレクタにエクスポートされる NAT 変換には、サービス側 VRF からグローバル DIA への変換、およびサービス内 VRF（サービス側 VRF NAT）変換を含めることができます。セッションが作成および削除されると、バインディングごとにレコードが生成されます（バインディングは、ローカルアドレスと、ローカルアドレスが変換されるグローバルアドレスをバインドするアドレスです）。

NAT の HSL 情報を表示するためにコレクタをオンにすることができます。必要な場合にのみ HSL をオンにでき、それに応じて HSL ログレコードが作成され、コレクタに送信されます。これにより、必要のないときに HSL ログレコードを作成および送信しないことで、CPU サイクルと帯域幅が節約されます。

NAT HSL の利点

外部コレクタへの NAT 操作のフローモニターレコードの送信をサポートします。
必要な場合にのみ HSL レコードの作成と送信を有効にし、CPU サイクルと帯域幅を節約します。
NAT プールのアドレスが不足すると（プールの枯渇とも呼ばれます）、HSL メッセージを自動的に送信します。

NAT 高速ロギング（HSL）の制限事項

サービス側 NAT VRF は IPv6 アドレスをサポートしていません。
サービス側 VRF での IPv6 ターゲットのエクスポートはサポートされていません。
VRF での IPv6 を使用した変換のエクスポートはサポートされていません。

NAT HSL の前提条件

NAT 変換がルータで使用できることを確認します。
ログメッセージが生成されていることを確認します。

NAT HSL のベストプラクティス

ロギング用に設定された IP アドレスとポートアドレスがコレクタの設定に従っていることを確認します。
show interface statistics コマンドを使用して、出力パケットカウンタを確認し、コレクタに接続しているルータインターフェイスからのパケットの流れを確認します。

CLI テンプレートを使用した NAT HSL の設定

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。

（注）

デフォルトでは、CLI テンプレートはグローバルコンフィギュレーションモードでコマンドを実行します。

次に、フローエクスポータを使用して NAT による変換の高速ロギングを有効にする CLI 設定例を示します。

ip nat log translations flow-export v9 udp destination IPv4address-port source interface-name interface-number

次に、特定の宛先および送信元インターフェイスの変換ロギングを有効にする設定例を示します。

ip nat log translations flow-export v9 udp destination 10.10.0.1 1020 source gigabithethernet 0/0/1

NAT HSL 設定の確認

次に、show ip nat translations コマンドの出力例を示します。エクスポートターゲットコレクタで変換ログを表示できます。

Device# show ip nat translations
Pro  Inside global      Inside local          Outside local         Outside global
------------------------------------------------------------------------------------------
tcp  10.0.0.16:5092     10.0.0.16:56991       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5078     10.0.0.16:55951       172.16.128.7:80       172.16.128.7:80
tcp  10.0.0.16:5070     10.0.0.16:57141       172.16.128.7:80       172.16.128.7:80
tcp  10.0.0.16:5089     10.0.0.16:55823       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5103     10.0.0.16:58717       172.16.128.7:80       172.16.128.7:80
tcp  10.0.0.16:5064     10.0.0.16:55413       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5091     10.0.0.16:59331       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5100     10.0.0.16:59795       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5097     10.0.0.16:57695       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5096     10.0.0.16:55665       209.165.202.129:80    209.165.202.129:80
tcp  10.0.0.16:5066     10.0.0.16:58671       172.16.128.7:80       172.16.128.7:80

以下は、設定を確認するために使用される show platform hardware qfp active feature nat datapath hsl コマンドからの出力例です。

Device# show platform hardware qfp active feature nat datapath hsl
HSL cfg dip 10.10.0.1 dport 1020 sip 10.21.0.16 sport 53738 vrf 0
nat hsl handle 0x3d007d template id 261 pool_exh template id 263
LOG_TRANS_ADD 132148
LOG_TRANS_DEL 132120
LOG_POOL_EXH 0

次に、show vrf detail コマンドの出力例を示します。

Device# show vrf detail
VRF 1 (VRF Id = 1); default RD <not set>; default VPNID <not set>
  New CLI format, supports multiple address-families
  Flags: 0x1808
  Interfaces:
    Gi0/0/1      Gi0/0/2.102      Lo0    Vl103
Address family ipv4 unicast (Table ID = 0x1):
  Flags: 0x0
  No Export VPN route-target communities
  No Import VPN route-target communities
  No import route-map
  No global export route-map
  No export route-map
  VRF label distribution protocol: not configured
  VRF label allocation mode: per-prefix
Address family ipv6 unicast (Table ID = 0x1E000001):
  Flags: 0x0
  No Export VPN route-target communities
  No Import VPN route-target communities
  No import route-map
  No global export route-map
  No export route-map
  VRF label distribution protocol: not configured
  VRF label allocation mode: per-prefix
Address family ipv4 multicast not active
Address family ipv6 multicast not active

既知の Cisco Catalyst SD-WAN ポートの送信元ポートの保持

次のセクションでは、既知の Cisco Catalyst SD-WAN ポートについて説明します。

既知の Cisco Catalyst SD-WAN ポートの送信元ポート保持に関する情報

Cisco Catalyst SD-WAN 展開では、12346 ～ 12445 の範囲の UDP ポート番号と 23456 ～ 24356 の範囲の TCP ポートを使用して、Cisco IOS XE Catalyst SD-WAN デバイスの接続を制御します。外部 Cisco IOS XE Catalyst SD-WAN デバイスが NAT 時にファイアウォールの背後にある場合、制御トラフィックポートが別のポートに変換される可能性があります。これは通常問題ではありませんが、BFD セッションがダウンすると、NAT は新しい BFD 制御パケットを別のポートに変換します。ファイアウォールは、新しく変換されたポートを受け入れず、古い BFD セッションの変換されたポートを保存しているため、BFD パケットがドロップされます。

この機能を使用すると、NAT 時に既知の Cisco Catalyst SD-WAN ポートの送信元ポートを保持するように Cisco IOS XE Catalyst SD-WAN デバイスを設定できます。制御トラフィック用に予約されたポートのセットがあり、この範囲内でポートは NAT 時に保持されます。この機能を有効にすると、Cisco IOS XE Catalyst SD-WAN デバイスは既知の SD-WAN ポート範囲の送信元ポートを保持します。そのため、ファイアウォールは NAT の背後にある Cisco Catalyst SD-WAN デバイスを処理できます。

（注）

サービス側のトラフィックがこれらのポート範囲を使用していないことを確認してください。そうしないと、制御接続が失敗します。

次の NAT マッピング条件では、この機能を有効にすると、Cisco Catalyst SD-WAN の既知のポートを使用して制御トラフィックの送信元ポート保持が可能になります。

インターフェイスの過負荷
ループバックの過負荷

このトポロジは、既知の SD-WAN ポート用に送信元ポートを予約するデュアルルートサイト SD-WAN 展開を示しています。 — 図 6. Cisco Catalyst SD-WAN 展開における送信元ポート保持のトポロジ

トポロジは、デュアルルータサイトを表しています。cE1 には、コントローラに到達するための INET 接続に cE2 を使用するように設定された tloc-extension があります。パケットが cE2 に到達すると、cE1 は既知の Cisco Catalyst SD-WAN ポート 12346 を使用します。cE2 の NAT 機能は、この送信元ポート番号 12346 を保持し、パケットを送信する前に変更しません。

送信元ポート保持の機能

予約ポート範囲内の指定されたポートのトラフィックは、ip nat settings preserve-sdwan-ports コマンドの設定後に同じポートに変換されます。
ローカルで生成されたトラフィックは NAT を通過しないため、常に予約されたポート範囲でポートが保持されます。ローカルデバイスと外部デバイスが予約済みポート範囲内の同じポートを使用している場合、ローカルトラフィックが優先されます。
UDP の予約済みポートの範囲は 12346 ～ 12426 で、TCP の予約済みポートの範囲は 23456 ～ 24356 です。
TLS（TCP）制御接続では、1024 を超えるポート値を使用できます。送信元ポートの保持は、TCP の予約済みポート範囲 23456 ～ 24356 でのみサポートされるため、他のポート値は変換後に保持されない場合があります。

送信元ポート保持の前提条件

既存の NAT マッピング設定がある場合は、ip nat settings preserve-sdwan-ports コマンドを設定した後にデバイスを再起動して、所定の動作を実現します。設定がない場合は、ip nat settings preserve-sdwan-ports コマンドを設定した後に NAT マッピング設定を追加します。

送信元ポートの保持に関する制限事項

サービス側のトラフィックは、予約済みのポート範囲を使用できません。
Cisco Catalyst SD-WAN の既知のポートがすでにフローに割り当てられ、別のフローが同じポートの変換を要求した場合、新しいフローのパケットはドロップされます。
既存の NAT マッピング設定がある場合は、ip nat settings preserve-sdwan-ports コマンドを実行した後にデバイスを再起動して、所定の動作を実現します。設定がない場合は、ip nat settings preserve-sdwan-ports コマンドを実行した後に NAT マッピング設定を追加します。

CLI テンプレートを使用した DIA インターフェイスオーバーロードの送信元ポート保持の設定

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。

（注）

デフォルトでは、CLI テンプレートはグローバルコンフィギュレーションモードでコマンドを実行します。

このセクションでは、NAT 時に既知の Cisco Catalyst SD-WAN ポートの送信元ポート保持を設定するための CLI 設定例を示します。

NAT 時に送信元ポート保持を有効にします。
```
ip nat settings preserve-sdwan-ports
```
DIA インターフェイスオーバーロードの内部送信元アドレスの NAT を有効にします。
```
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload
```
インターフェイスタイプを設定して、インターフェイスコンフィギュレーションモードを開始します。
```
interface GigabitEthernet1
```
インターフェイスを有効化します。
```
no shutdown
```
IP アドレスを設定します。
```
ip address 10.1.16.16 255.255.255.0
```
外部ネットワークにインターフェイスを接続します。
```
ip nat outside 
```

DIA インターフェイスオーバーロード時のポート保持の完全な設定例を次に示します。


ip nat settings preserve-sdwan-ports
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload
!
interface GigabitEthernet1
 no shutdown
 ip address 10.1.16.16 255.255.255.0
 ip nat outside

CLI テンプレートを使用した DIA プールオーバーロードの送信元ポート保持の設定

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。

（注）

デフォルトでは、CLI テンプレートはグローバルコンフィギュレーションモードでコマンドを実行します。

このセクションでは、NAT 時に既知の Cisco Catalyst SD-WAN ポートの送信元ポート保持を設定するための CLI 設定例を示します。

NAT 時に送信元ポート保持を有効にします。
```
ip nat settings preserve-sdwan-ports
```

NAT の IP アドレスプールを定義します。


ip nat pool natpool-GigabitEthernet1-0 10.1.16.201 10.1.16.250 prefix-length 24

DIA プールオーバーロードの内部送信元アドレスの NAT を有効にします。


ip nat inside source list global-list pool natpool-GigabitEthernet1-0 overload egress-interface GigabitEthernet1

インターフェイスタイプを設定して、インターフェイスコンフィギュレーションモードに入ります。
```
interface GigabitEthernet1
```
インターフェイスを有効化します。
```
no shutdown
```
IP アドレスを設定します。
```
ip address 10.1.16.16 255.255.255.0
```
外部ネットワークにインターフェイスを接続します。
```
ip nat outside 
```

DIA プールオーバーロード時のポート保持の完全な設定例を次に示します。


ip nat settings preserve-sdwan-ports
ip nat pool natpool-GigabitEthernet1-0 10.1.16.201 10.1.16.250 prefix-length 24
ip nat inside source list global-list pool natpool-GigabitEthernet1-0 overload egress-interface GigabitEthernet1
!
interface GigabitEthernet1
 no shutdown
 ip address 10.1.16.16 255.255.255.0
 ip nat outside

CLI テンプレートを使用した DIA ループバックオーバーロードの送信元ポート保持の設定

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。

（注）

デフォルトでは、CLI テンプレートはグローバルコンフィギュレーションモードでコマンドを実行します。

このセクションでは、NAT 時に既知の Cisco Catalyst SD-WAN ポートの送信元ポート保持を設定するための CLI 設定例を示します。

NAT 時に送信元ポート保持を有効にします。
```
ip nat settings preserve-sdwan-ports
```

DIA ループバックオーバーロードの内部送信元アドレスの NAT を有効にします。


ip nat inside source list global-list interface Loopback16 overload egress-interface GigabitEthernet1

ループバックインターフェイスを設定します。
```
interface Loopback16
```
ループバックインターフェイスの IP アドレスを設定します。
```
ip address 10.20.16.16 255.255.255.0
```
インターフェイスタイプを設定して、インターフェイスコンフィギュレーションモードを開始します。
```
interface GigabitEthernet1
```
IP アドレスを設定します。
```
ip address 10.1.16.16 255.255.255.0
```
外部ネットワークにインターフェイスを接続します。
```
ip nat outside 
```

DIA ループバックオーバーロード時のポート保持の完全な設定例を次に示します。


ip nat settings preserve-sdwan-ports
ip nat inside source list global-list interface Loopback16 overload egress-interface GigabitEthernet1
!
interface Loopback16
 ip address 10.20.16.16 255.255.255.0
!
interface GigabitEthernet1
 ip address 10.1.16.16 255.255.255.0
 ip nat outside

送信元ポートの保存の確認

次に、既知の Cisco Catalyst SD-WAN 送信元ポートでの変換を表示する show ip nat translations コマンドの出力例を示します。変換の内部ローカルおよび内部グローバル列を観察し、保持されている送信元ポートを確認します。

Device# show ip nat translations
Pro  Inside global          Inside local          Outside local         Outside global
udp  10.1.16.201:12406      10.1.19.15:12406      10.0.5.21:12377       10.0.5.21:12377
udp  10.1.16.201:12406      10.1.19.15:12406      10.0.5.19:12355       10.0.5.19:12355
udp  10.1.16.201:12406      10.1.19.15:12406      10.0.5.11:12367       10.0.5.11:12367
udp  10.1.16.201:12406      10.1.19.15:12406      10.0.12.26:12346      10.0.12.26:12346
udp  10.1.16.201:12406      10.1.19.15:12406      10.1.14.14:12366      10.1.14.14:12366
udp  10.1.16.201:12406      10.1.19.15:12406      10.0.12.20:12356      10.0.12.20:12356
Total number of translations: 6

次に、コントロールプレーンのポートを持つトラフィックを表示する show sdwan bfd sessions table コマンドの出力例を示します。

Device# show sdwan bfd sessions table
                               SRC    DST                   SITE                                     DETECT      TX                                 
SRC IP      DST IP      PROTO  PORT   PORT   SYSTEM IP      ID    LOCAL COLOR   COLOR         STATE  MULTIPLIER  INTERVAL  UPTIME      TRANSITIONS  
----------------------------------------------------------------------------------------------------------------------------------------------------
10.1.15.15  10.0.5.11   ipsec  12366  12367  172.16.255.11  100   lte           lte           up     7           1000      0:01:37:43  3            
10.1.19.15  10.0.5.11   ipsec  12406  12367  172.16.255.11  100   biz-internet  lte           up     7           1000      0:00:00:51  0            
10.1.15.15  10.1.14.14  ipsec  12366  12366  172.16.255.14  400   lte           lte           up     7           1000      0:01:37:43  3            
10.1.19.15  10.1.14.14  ipsec  12406  12366  172.16.255.14  400   biz-internet  lte           up     7           1000      0:00:00:51  0            
10.1.15.15  10.1.16.16  ipsec  12366  12386  172.16.255.16  600   lte           biz-internet  up     7           1000      0:00:31:41  0            
10.1.19.15  10.1.16.16  ipsec  12406  12386  172.16.255.16  600   biz-internet  biz-internet  down   7           1000      NA          0            
10.1.15.15  10.0.5.21   ipsec  12366  12377  172.16.255.21  100   lte           lte           up     7           1000      0:01:37:43  3            
10.1.19.15  10.0.5.21   ipsec  12406  12377  172.16.255.21  100   biz-internet  lte           up     7           1000      0:00:00:51  0

宛先 NAT

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

次のセクションでは、NAT ダイレクトインターネットアクセス（DIA）を使用した宛先 NAT の設定について説明します。

宛先 NAT に関する情報

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

サービス側からインターネットにパケットを送信すると、NAT ダイレクトインターネットアクセス（DIA）は宛先 IP アドレス（プライベート IP アドレスの場合もある）をパブリック IP アドレスに変換します。これは、宛先 NAT と呼ばれます。

2 つのエンドポイント間に配置された WAN エッジデバイスは、宛先 NAT の実行に使用できます。宛先 NAT は、プライベート IP アドレスの宛先を持つ着信パケットをパブリック IP アドレスにリダイレクトするために使用されます。通常、あるホスト上の特定の IP アドレス宛てのパケットを別のホスト上の別のアドレスにリダイレクトするために使用されます。

宛先 NAT の制限事項

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

宛先 NAT では NAT DIA のみがサポートされます。
内部から外部方向に発信されるトラフィックのみがサポートされます。
データポリシーベースの DIA のみがサポートされます。
ルートベースの DIA 設定はサポートされません。
NAT DIA でのポートフォワーディングはサポートされません。
パケットに対する同じ NAT ルールは、別の VRF には適用されません。

宛先 NAT の使用例

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

Cisco VPN クライアントを使用するお客様のデバイスは、プライベート IP アドレスが割り当てられている、ファイアウォールサービスを実行しているデバイスへの DNS クエリを開始します。このプライベート IP アドレスは、オーバーレイ IP アドレスです。NAT DIA が設定されていない場合、データポリシーは VPN 0 フォールバックをオーバーレイに使用して、プライベート IP アドレスを持つファイアウォールにトラフィックを送信します。プライベート IP アドレスであるオーバーレイ IP アドレスは、パブリック IP アドレスに変換されます。

トラフィックルートの優先パスは、送信元と宛先の両方の IP アドレスが変換される NAT DIA が設定されたパスを通過します。


1	NAT が設定されていないパス	2	NAT が設定されたパス

CLI テンプレートを使用した宛先 NAT の設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

（注）

デフォルトでは、CLI テンプレートはグローバルコンフィギュレーションモードでコマンドを実行します。

外部送信元アドレスの NAT を有効にするには

ip nat outside source static local-ip-address global-ip-address vrf vrf-name

次に、宛先 NAT の完全な設定例を示します。

ip nat outside source static 192.0.200.3 10.2.57.51 vrf 1

宛先 NAT の確認

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

次に、show sdwan policy from-vsmart コマンドの出力例を示します。


Device# show sdwan policy from-vsmart 

from-vsmart data-policy _1_vm5-vpn1-dia-policy
 direction all
 vpn-list 1
  sequence 1
   match
    source-ip      10.20.24.0/24
    destination-ip 10.2.57.51/24
   action accept
    nat use-vpn 0
    nat fallback
from-vsmart lists vpn-list 1
 vpn 1

この例では、宛先 IP アドレスと、NAT フォールバック機能が設定されているかどうかを確認できます。

次に、show ip nat translations コマンドの出力例を示します。


Device# show ip nat translations

Pro   Inside global    Inside local    Outside local     Outside global
---   ---              ---             10.2.57.51        192.0.2.1
tcp   203.0.113.1:5062 10.0.0.1:30427  10.2.57.51:1024   192.0.2.1:1024

この例では、outside local IP アドレスは、outside global 内のパブリック IP アドレスに変換されたプライベート IP アドレスを示しています。

宛先 NAT のトラブルシューティング

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

元の IP アドレスと変換後の IP アドレスを確認するには、show platform hardware qfp active feature nat datapath bind コマンドを使用します。


Device# show platform hardware qfp active feature nat datapath bind 

Bind longest chain 1 avg non-zero bucket len 1 non-zero bkts 2
bind 0xed7739c0 oaddr 8.8.8.8 taddr 4.1.1.5 oport 0 tport 0 vrfid 1 tableid 1 proto 0 domain 1 create time 78840 refcnt 1 mask 0x0 cgn flags 0 timeout 0 ifhandle 0 wlan_info 0x0 flags 0x2100 mapping 0x0 cp_mapping_id 1 limit_type 0  last_use_ts 82071 mibp 0x0 bind_pool_id: 0 rg 0 nak_retry 0 parent 0x0 egress_ifh 0 in2out_pkts 0 out2in pkts 0

トラフィックが DIA インターフェイスを通過しているかどうかを確認するには、show sdwan policy data-policy-filter コマンドを使用してパケット数を確認します。


Device# show sdwan policy data-policy-filter 
                                                   POLICER  OOS      OOS    
NAME  NAME   COUNTER NAME          PACKETS  BYTES  NAME     PACKETS  BYTES  
----------------------------------------------------------------------------
u5    vpn-1  DNAT-DIA-COUNTER      5        570                             
             default_action_count  158      14340

DIA インターフェイスがダウンしているときにフォールバックインターフェイスのトラフィックフローを確認するには、show plat hard qfp active feature sdwan datapath statistics | inc fallback を使用します。


Device# show plat hard qfp active feature sdwan datapath statistics | inc fallback

data-policy-in-sig-fallback-flow-set-fail 0
data-policy-in-nat-fallback 0
data-policy-out-nat-fallback 0

NAT DIA トラッカー

表 6. 機能の履歴
機能名	リリース情報	説明
Cisco IOS XE Catalyst SD-WAN デバイスの NAT DIA トラッカー	Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a Cisco vManage リリース 20.3.1	この機能を使用すると、システムトラッカーを設定して、定期的にトランスポートインターフェイスをプローブして、インターネットまたは外部ネットワークが使用できなくなったかどうかを判断できます。 [Cisco System] テンプレートの [Tracker] タブを使用して、DIA トラッカーを設定できます。 [Cisco VPN Interface Ethernet] または [Cisco VPN Interface Cellular] テンプレートを使用して、トラッカーをトランスポートインターフェイスに適用できます。
Cisco IOS XE Catalyst SD-WAN デバイスでのインターフェイスステータスの追跡のデュアルエンドポイントサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a Cisco vManage リリース 20.7.1	この機能により、Cisco SD-WAN Manager システムテンプレートを使用してデュアルエンドポイントでトラッカーグループを設定し、各トラッカーグループをインターフェイスに関連付けることができます。アクティブなインターネット接続があるにもかかわらず、シングルエンドポイントが非アクティブになる場合があります。この条件は、偽陰性につながります。シングルエンドポイントトラッカーのこの欠点を克服するために、デュアルエンドポイントトラッカー設定を使用できます。
IPv6 インターフェイスの NAT DIA トラッカー	Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a Cisco vManage リリース 20.11.1	NAT DIA トラッカーが IPv6 インターフェイスでサポートされるようになりました。設定グループのトランスポートプロファイルで [IPv6-Tracker] および [IPv6-Tracker Group] オプションを使用して、IPv6 DIA トラッカーを設定できます。
IPv4 または IPv6 インターフェイスの NAT DIA 用 ICMP エンドポイントトラッカー	Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a Cisco Catalyst SD-WAN Manager リリース 20.13.1	この機能を使用すると、DIA パスを介した ICMP エンドポイントトラッカーを設定できます。IPv4 または IPv6 エンドポイントで NAT DIA の ICMP プローブを設定できます。設定グループのトランスポートプロファイルで [Tracker] または [IPv6 Tracker] 機能を使用して、ICMP トラッカーを設定できます。 [Basic] 機能プロファイルで [Tracker DIA Stabilize Status] 設定を構成して、インターフェイスフラップの原因となるトラッカーステータスの急速な変化を安定させます。

NAT DIA トラッキングに関する情報

DIA トラッカーは、インターネットまたは外部ネットワークが使用できなくなったかどうかを判断するのに役立ちます。NAT DIA トラッキング機能は、VPN 0 のトランスポートインターフェイスで NAT が有効になっている場合に役立ち、ルーターからのデータトラフィックが直接インターネットに送信されるようにします。

NAT DIA の詳細については、「NAT ダイレクトインターネットアクセス」を参照してください。

インターネットまたは外部ネットワークが使用できなくなった場合、ルータはサービス VPN の NAT ルートに基づいてトラフィックを転送し続けます。インターネットに転送されるトラフィックはドロップされます。インターネットバウンドトラフィックがドロップされないようにするには、エッジルータで DIA トラッカーを設定して、トランスポートインターフェイスのステータスをトラッキングします。トラッカーは定期的にインターフェイスをプローブして、インターネットのステータスを判断し、トラッカーに関連付けられている接続ポイントにデータを返します。

トランスポートインターフェイスでトラッカーが設定されている場合、インターフェイスの IP アドレスは、プローブパケットの送信元 IP アドレスとして使用されます。

IP SLA は、プローブのステータスをモニタリングし、これらのプローブパケットの往復時間を測定し、その値をプローブで設定された遅延と比較します。遅延が設定されたしきい値を超えると、トラッカーはネットワークを使用不可と見なします。

トラッカーがローカルインターネットが利用できないと判断した場合、ルータはサービス VPN から NAT ルートを取り消し、ローカルルーティング設定に基づいてトラフィックをオーバーレイに再ルーティングします。

ローカルルータは、インターフェイスへのパスのステータスを定期的にチェックし続けます。パスが再び機能していることを検出すると、ルータはインターネットへの NAT ルートを再インストールします。

Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a から、2 つのトラッカーを持つトラッカーグループを設定し、このトラッカーグループをインターフェイスに関連付けることができます。2 つのトラッカー（2 つのエンドポイント) を持つトラッカーグループをプローブすると、内部または外部ネットワークが誤って使用不可としてマークされた場合に発生する可能性のある誤検知を回避するのに役立ちます。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a から、IPv6 インターフェイスで NAT DIA トラッカーを設定できます。トラッカーおよびトラッカーグループのアドレスタイプは、インターフェイス設定の IPv4 または IPv6 アドレスタイプと一致している必要があります。たとえば、IPv4 アドレスが NAT DIA インターフェイスで設定されている場合、IPv4 トラッカーのみを適用できます。IPv6 アドレスが NAT DIA インターフェイスで設定されている場合は、IPv6 トラッカーのみを適用できます。IPv4 と IPv6 の両方のアドレスが NAT DIA インターフェイスで設定されている場合、設定に応じて IPv4 と IPv6 の両方のトラッカーを適用できます。

NAT DIA 用 ICMP エンドポイントトラッカー

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、NAT DIA に使用される NAT 対応の IPV4 または IPv6 トランスポートインターフェイスで ICMP エンドポイントトラッカーを設定できます。ICMP トラッカーは、設定された外部エンドポイントにプローブを送信することで、特定の外部サービスへのインターネットパスに沿って障害を検出し、プローブが失敗するか成功するかをモニターします。プローブの数が設定された乗数値を超えた場合、または ICMP プローブが設定されたしきい値を超えた場合、トラッカーは外部エンドポイントを到達不能と見なし、トランスポートインターフェイスを DIA で使用不可にします。

ICMP プローブは、トランスポートインターフェイスが DIA で使用できなくなった場合のフェールオーバーを短縮します。ICMP エンドポイントトラッカーのエンドポイント IP またはエンドポイント DNS 名を設定できます。複数の IPv4 または IPv6 トラッカーを設定している場合は、トラッカーグループを作成できます。

警告	ICMP トラッカーを設定した DIA インターフェイスを介して出力するようにホストルートを設定していることを確認します。これにより、目的のトラッカーインターフェイスが ICMP プローブを受信するようになります。エンドポイントが ICMP トラッカー用に設定されたインターフェイス以外のインターフェイスを介して到達可能である場合、ICMP プローブがトラッキングされていないインターフェイスに送信され、ICMP プローブが意図しないインターフェイスを介して出力される可能性があります。

NAT DIA 用の次のタイプの ICMP エンドポイントトラッカーを設定できます。

表 7. ICMP エンドポイントトラッカーのタイプ
トラッカー	サポートされるトラッカータイプ
単一の NAT DIA ICMP トラッカー	トラッカータイプ： IPv4 IPv6 トラッカーエンドポイントのタイプ：エンドポイント IP DNS
NAT DIA ICMP トラッカーグループ	トラッカータイプ： IPv4 IPv6 トラッカーエンドポイントのタイプ：エンドポイント IP
NAT DIA 混合トラッカーグループ（HTTP および ICMP）	トラッカータイプ： IPv4 IPv6 トラッカーエンドポイントのタイプ：エンドポイント IP

ICMP トラッカーでサポートされるデバイス

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a、Cisco Catalyst SD-WAN Manager リリース 20.13.1

ICMP トラッカーの制限事項

機能テンプレートを使用して ICMP エンドポイントトラッカータイプを設定することはできません。
同じトラッカーグループに IPv4 と IP6 の両方のトラッカータイプを設定することはできません。
次のインターフェイスのみに NAT DIA の ICMP エンドポイントトラッカーを設定できます。
- イーサネットインターフェイス
- イーサネット (PPPoE) インターフェイス
- サブインターフェイス
1 つの DIA インターフェイス（デフォルトルート）のみが設定されている場合、ICMP トラッカーがダウンすると、デフォルトルートが取り消されます。

NAT DIA トラッカーでサポートされるインターフェイス

次のインターフェイスに NAT DIA トラッカーを設定できます。

セルラーインターフェイス
イーサネットインターフェイス
イーサネット (PPPoE) インターフェイス
サブインターフェイス
DSL ダイヤラインターフェイス（PPPoE および PPPoA）

（注）

IPv6 NAT DIA トラッカーは、イーサネットインターフェイスの物理インターフェイスとサブインターフェイスでのみサポートされます。

NAT DIA トラッカーの制限事項

Cisco IOS XE Catalyst SD-WAN リリース 17.10.1a 以前のリリースの制限事項

Cisco IOS XE Release 17.6.x 以前では、ダイヤラインターフェイスで NAT DIA トラッカーがサポートされていません。Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a から、サブインターフェイスとダイヤラインターフェイスは、シングルエンドポイントトラッカーおよびデュアルエンドポイントトラッカーをサポートします。
Cisco IOS XE Catalyst SD-WAN デバイスでは、DNS URL エンドポイントはサポートされていません。
1 つのインターフェイスに適用できるトラッカーまたはトラッカーグループは 1 つだけです。
NAT フォールバック機能は、Cisco IOS XE Catalyst SD-WAN リリース 17.3.2 からのみサポートされています。
アドレス 169.254.xx のトンネルの IP アドレスは、手動トンネルで zScaler エンドポイントをトラッキングするためにサポートされていません。
トラッカーグループを設定するには、少なくとも 2 つのシングルエンドポイントトラッカーを設定する必要があります。
トラッカーグループには、最大 2 つのシングルエンドポイントトラッカーのみを組み込むことができます。
Cisco IOS XE リリース 17.10.1 以前のリリースでは、IPv6 インターフェイスに IPv4 トラッカーを設定できません。その逆も同様です。トラッカーはアクティブになりません。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a の制約事項

API URL エンドポイントは、IPv6 DIA トラッカーでのみサポートされ、IPv4 DIA トラッカーではサポートされません。
IPv4 と IPv6 の両方のトラッカーを同じトラッカーグループで使用することはできません。
IPv6 トラッカーが TLOC トンネルインターフェイスと連携するようにするには、TLOC トンネルインターフェイスで allow service all コマンドを設定する必要があります。
複数の NAT66 DIA インターフェイスはサポートされていません。
一元管理型データポリシーの NAT フォールバックはサポートされていません。

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a の制約事項

エンドポイント DNS 要素は、トラッカーグループではサポートされていません。

IPv4 インターフェイスでの NAT DIA トラッカーのワークフロー

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1

[Cisco System] テンプレートを使用してインターフェイストラッカーを設定します。Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a から、デュアルトラッカーまたはトラッカーグループを設定できます。トラッカーの設定の詳細については、「トラッカーの設定」を参照してください。
トラッカーをトランスポートインターフェイスに適用します。NAT DIA トラッカーの設定の詳細については、「NAT DIA トラッカーの設定」を参照してください。
NAT DIA トラッカーの設定を確認します。NAT DIA トラッカーの設定のモニタリングの詳細については、「NAT DIA トラッカーの設定のモニタリング」を参照してください。

Cisco SD-WAN Manager の IPv4 インターフェイスでの NAT DIA トラッカーの設定

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1

[Cisco System] テンプレートを使用して、トランスポートインターフェイスのステータスをトラッキングします。

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

変更する [Cisco System] テンプレートの隣にある […] をクリックし、[Edit] を選択します。

[Tracker] をクリックし、 [New Endpoint Tracker] をクリックしてトラッカーパラメータを設定します。

表 8. トラッカーパラメータ
パラメータフィールド	説明
名前（Name）	トラッカーの名前。名前には 128 文字以内の英数字を使用できます。最大 8 つのトラッカーを設定できます。
しきい値	トランスポートインターフェイスがダウンしていると宣言する前に、プローブが応答を返すのを待機する時間。範囲： 100 〜 1000 ミリ秒デフォルト： 300 ミリ秒
インターバル（Interval）	トランスポートインターフェイスのステータスを判別するためにプローブが送信される頻度。範囲：20 〜 600 秒。デフォルト：60 秒（1 秒）
Multiplier（乗数）	トランスポートインターフェイスがダウンしていることを宣言する前にプローブを再送信できる回数。範囲：1 ～ 10。デフォルト：3
[Tracker Type]	[Interface] を選択して、DIA トラッカーを設定します。
[End Point Type: IP Address]	エンドポイントの IP アドレス。これは、ルーターがプローブを送信してトランスポートインターフェイスのステータスを判断するインターネット内の宛先です。IP アドレスが HTTP ポート 80 プローブに応答できるようになっていることを確認します。
[End Point Type: DNS Name]	エンドポイントの DNS 名。これは、ルーターがプローブを送信してトランスポートインターフェイスのステータスを判断するインターネット内の宛先です。

[Add] をクリックします。

トラッカーグループを作成してパラメータを設定するには、[Tracker Groups] > [New Endpoint Tracker Group]をクリックします。

表 9. トラッカーグループパラメータ
パラメータフィールド	説明
[Tracker Type: Tracker Elements]	このフィールドは、[Tracker Group] として [Tracker Type] を選択した場合にのみ表示されます。既存のインターフェイストラッカー名（スペースで区切る）を追加します。このトラッカーをテンプレートに追加すると、トラッカーグループがこれらの個々のトラッカーに関連付けられ、そのトラッカーグループをインターフェイスに関連付けることができます。
[Tracker Type: Tracker Boolean]	このフィールドは、[Tracker Group] として [Tracker Type] を選択した場合にのみ表示されます。[AND] または [OR] を選択します。 [OR] はデフォルトのブール演算です。[OR] は、トラッカーグループの関連付けられたトラッカーのいずれかがインターフェイスがアクティブであると報告した場合に、トランスポートインターフェイスステータスがアクティブとして報告されることを保証します。 [AND] 操作を選択した場合、トラッカーグループの関連付けられたトラッカーの両方がインターフェイスがアクティブであると報告した場合、トランスポートインターフェイスステータスはアクティブであると報告されます。

（注）

トラッカーグループを設定する前に、2 つのシングルエンドポイントトラッカーを設定したことを確認してください。

[Add] をクリックします。

[Advanced] をクリックして、[Track Interface] 情報を入力します。

インターネットに接続するトランスポートインターフェイスのステータスをトラッキングするトラッカーの名前を入力します。

（注）

インターフェイスステータスのトラッキングは、VPN 0 のトランスポートインターフェイスで NAT を有効にして、最初にデータセンターのルータにアクセスするのではなく、ルータからのデータトラフィックが直接インターネットに出られるようにする場合に役立ちます。この状況では、トランスポートインターフェイスで NAT を有効にすると、ローカルルータとデータセンター間の TLOC が 2 つに分割され、1 つはリモートルータに、もう 1 つはインターネットに送られます。トランスポートトンネルトラッキングを有効にすると、ソフトウェアはインターネットへのパスを定期的に調べて、インターネットが稼働しているかどうかを判断します。このパスがダウンしていることをソフトウェアが検出すると、インターネットの宛先へのルートが撤回され、インターネットに向かうトラフィックはデータセンターのルータを介してルーティングされます。インターネットへのパスが再び機能していることをソフトウェアが検出すると、インターネットへのルートが再インストールされます。

（注）

テンプレートを更新する前に、すべての必須フィールドへの入力が完了していることを確認してください。

[更新（Update）] をクリックします。

NAT DIA トラッカーの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco Catalyst SD-WAN 制御コンポーネントリリース 20.7.1。

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、NAT DIA に ICMP トラッカーを設定できます。

Cisco SD-WAN Manager の設定グループを使用した IPv4 インターフェイスでの NAT DIA トラッカーの設定

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a および Cisco vManage リリース 20.11.1

Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a 以前では、[Configuration] > [Templates] > [Configuration Groups] の順に選択します。

設定グループの作成の詳細については、「設定グループワークフロー」を参照してください。
設定グループに機能を追加します。

機能の追加の詳細については、「Feature Management」を参照してください。
[Transport and Management Profile] で、[Tracker] と [Tracker Group] を設定します。

IPv4 インターフェイスでのトラッカーの設定の詳細については、「Tracker and tracker group on an IPv4 interface」を参照してください。また、「Tracker Group」を参照してください。
[Transport and Management Profile] で、VPN 0 機能のインターフェイスの横にある […] をクリックします。
- [Associate Sub Feature] を選択した場合は、必要に応じて事前設定された [Tracker] および [Tracker Group] のチェックボックスをオンにします。
- [Add Sub Feature] を選択した場合は、ドロップダウンリストから [Tracker] および [Tracker Group] を選択し、ステップ 3 の設定手順に従います。
VPN 0 設定の詳細については、「Ethernet Interface」を参照してください。
設定グループを作成したら、グループにデバイスを追加します。詳細については、「Add Devices to a Configuration Group」を参照してください。これで、設定グループに関連付けられているデバイスを展開できます。詳細については、「デバイス設定の展開」を参照してください。

CLI を使用した IPv4 インターフェイスでの NAT DIA トラッカーの設定

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1

CLI を使用した NAT DIA トラッカーの設定（シングルエンドポイント）

CLI アドオン機能テンプレートまたは CLI デバイステンプレートを使用して、NAT DIA トラッキングを設定できます。CLI テンプレートを使用した構成の詳細については、「CLI テンプレート」を参照してください。

Device# config-transaction
Device(config)# endpoint-tracker tracker1
Device(config-endpoint-tracker)# endpoint-ip ip-address 
Device(config-endpoint-tracker)# threshold value 
Device(config-endpoint-tracker)# multiplier value 
Device(config-endpoint-tracker)# interval value 
Device(config-endpoint-tracker)# tracker-type interface

トラッカーグループの設定

Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a から NAT DIA トラッカーをプローブするトラッカーグループを作成できます。

Device# config-transaction
Device(config)# endpoint-tracker tracker-name1
 Device(config-endpoint-tracker)# tracker-type interface
Device(config-endpoint-tracker)# endpoint-ip ip-address 
Device(config-endpoint-tracker)# threshold value 
Device(config-endpoint-tracker)# multiplier value 
Device(config-endpoint-tracker)# interval value

Device# config-transaction
Device(config)# endpoint-tracker tracker-name2 
Device(config-endpoint-tracker)# tracker-type interface
Device(config-endpoint-tracker)# endpoint-dns-name <dns-name>
Device(config-endpoint-tracker)# threshold value 
Device(config-endpoint-tracker)# multiplier value 
Device(config-endpoint-tracker)# interval value

Device(config)# endpoint-tracker tracker-group-name 
Device(config-endpoint-tracker)# tracker-type tracker-group
Device(config-endpoint-tracker)# boolean or
Device(config-endpoint-tracker)# tracker-elements tracker-name1  tracker-name2 
Device(config)# interface GigabitEthernet0/0/1
Device(config-if)# endpoint-tracker tracker-group-name

（注）

トラッカーグループには、エンドポイントトラッカーを混在させることができます。IP アドレストラッカーと DNS トラッカーを組み合わせて、トラッカーグループを作成できます。

CLI を使用した NAT DIA の ICMP トラッカーの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a および Cisco Catalyst SD-WAN Manager リリース 20.13.1。

CLI アドオンプロファイルまたは設定グループのトランスポートプロファイルを使用して、NAT DIA の ICMP トラッキングを設定できます。詳細については、「Configuration Groups and Feature Profiles」を参照してください。

単一のエンドポイントを設定するには

Device# config-transaction
Device(config)# endpoint-tracker t1
Device(config-endpoint-tracker)# tracker-type interface-icmp
Device(config-endpoint-tracker)# endpoint-ip ip-address
Device(config-endpoint-tracker)# threshold value
Device(config-endpoint-tracker)# multiplier value
Device(config-endpoint-tracker)# icmp-interval value

トラッカーグループを設定するには

Device# config-transaction
Device(config)# endpoint-tracker tracker-name1
Device(config-endpoint-tracker)# tracker-type interface-icmp
Device(config-endpoint-tracker)# endpoint-ip <ip-address>
Device(config-endpoint-tracker)# threshold <value>
Device(config-endpoint-tracker)# multiplier <value>
Device(config-endpoint-tracker)# icmp-interval <value>

Device# config-transaction
Device(config)# endpoint-tracker <tracker-name2>
Device(config-endpoint-tracker)# tracker-type interface-icmp
Device(config-endpoint-tracker)# endpoint-dns-name <dns-name>
Device(config-endpoint-tracker)# threshold <value>
Device(config-endpoint-tracker)# multiplier <value>
Device(config-endpoint-tracker)# icmp-interval <value>

Device(config)# endpoint-tracker tracker-group-name
Device(config-endpoint-tracker)# tracker-type tracker-group
Device(config-endpoint-tracker)# boolean or
Device(config-endpoint-tracker)# tracker-elements tracker-name1 tracker-name2
Device(config)# interface GigabitEthernet0/0/1
Device(config-if)# endpoint-tracker tracker-group-name

次の例は、エンドポイント IP アドレスを使用してトラッカーを設定する方法を示しています。

Device(config)# endpoint-tracker tracker1
Device(config-endpoint-tracker)# endpoint-ip 10.1.1.1
Device(config-endpoint-tracker)# threshold 100
Device(config-endpoint-tracker)# multiplier 5
Device(config-endpoint-tracker)# interval 2
Device(config-endpoint-tracker)# tracker-type interface

次の例は、エンドポイントを DNS としてトラッカーを設定する方法を示しています。

Device(config)# endpoint-tracker tracker2
Device(config-endpoint-tracker)# endpoint-dns-name www.example.com
Device(config-endpoint-tracker)# threshold 100
Device(config-endpoint-tracker)# multiplier 5
Device(config-endpoint-tracker)# interval 2

次の例は、エンドポイント IP アドレスを使用して ICMP トラッカーを設定する方法を示しています。

Device(config)# endpoint-tracker tracker3
Device(config-endpoint-tracker)# tracker-type interface-icmp
Device(config-endpoint-tracker)# endpoint-ip 10.1.1.1
Device(config-endpoint-tracker)# threshold 100
Device(config-endpoint-tracker)# multiplier 5
Device(config-endpoint-tracker)# icmp-interval 2

次の例は、エンドポイントを DNS として使用して ICMP トラッカーを設定する方法を示しています。

Device(config)# endpoint-tracker tracker4
Device(config-endpoint-tracker)# tracker-type interface-icmp
Device(config-endpoint-tracker)# endpoint-dns-name www.example.com
Device(config-endpoint-tracker)# threshold 100
Device(config-endpoint-tracker)# multiplier 5
Device(config-endpoint-tracker)# icmp-interval 2

CLI を使用した IPv4 インターフェイスでの NAT DIA トラッキングの設定例

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1

次のセクションでは、CLI を使用して NAT DIA トラッカーを設定する例を示します。

設定例：CLI を使用したシングルエンドポイント NAT DIA トラッカー

次の例は、シングルエンドポイント NAT DIA トラッカーを設定する方法を示しています。

config-transaction
    endpoint-tracker tracker1
    tracker-type interface
    endpoint-ip 10.1.1.1
    threshold 100
    multiplier 5
    interval 20
exit

設定例：トラッカーグループ

この例は、2 つのトラッカー（2 つのエンドポイント）を持つトラッカーグループを設定する方法を示しています。Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a からインターフェイスをプローブするトラッカーグループを作成できます。

config-transaction
    endpoint-tracker tracker1
    endpoint-ip 10.1.1.1
    interval 20
    threshold 100
    multiplier 1
    tracker-type interface
exit

endpoint-tracker tracker2
    endpoint-dns-name www.cisco.com
    interval 600
    threshold 1000
    multiplier 10
    tracker-type interface
exit

endpoint-tracker group1
    tracker-type tracker-group
    boolean or
    tracker-elements tracker1 tracker2
exit

次の例は、トラッカーグループをインターフェイスに適用し、サポートされているインターフェイスで設定する方法を示しています。

interface GigabitEthernet0/0/1
    endpoint-tracker group1

NAT DIA トラッカーステータスの安定化

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、[Tracker DIA Stabilize Status] というグローバル構成設定を、Cisco SD-WAN Manager の [Basic] 機能プロファイルを使用して行います。または、CLI を使用して dia-stabilize-status コマンドを使用できます。この設定は、HTTP と ICMP の両方の DIA インターフェイス全体でのすべてのエンドポイントトラッカーの状態変化に適用され、トラッカーの状態を安定させ、急速なステータス変更によるインターフェイスの急速なフラップを回避します。

インターフェイスにエンドポイントトラッカーを設定すると、トラッカーは HTTP または ICMP プローブを送信してそのエンドポイントのトラッキングを開始します。エンドポイントが到達可能である場合、またはプローブが成功した場合、トラッカーは UP とマークされます。エンドポイントに到達できない場合、またはプローブが失敗した場合、トラッカーは DOWN とマークされます。トラッカーステータスの継続的な変更を回避するために、一定数のプローブを送信後にのみトラッカーステータスが変更されるように、乗数が適用されます。

この乗数では、エンドポイントがダウンしていることを宣言する前にプローブを送信できる回数を指定します。指定できる範囲は 1 ～ 10 です。デフォルトは 3 です。乗数は、設定された値に基づいてトラッカーを繰り返しプローブするために使用され、乗数の設定に達した後でもプローブが成功する場合は、トラッカーを UP とマークします。たとえば、乗数が 3 に設定されている場合、プローブが 3 回連続して成功すると、トラッカーのステータスが UP に変わります。

設定された乗数または再試行値は、プローブがトラッカーオブジェクトを正常に起動し、NAT に通知するために適用されます。トラッカーの状態が UP の場合、NAT はルートをインストールします。これにより、再試行によってトラッカーオブジェクトがアップ状態であることが担保されるため、インターフェイスのフラップが回避されます。Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a より前だと、HTTP プローブの場合、トラッカーは乗数によって設定された回数のプローブの後に DOWN とマークされます。トラッカーは、最初のプローブが成功した後に UP とマークされます。このメカニズムにより、ネットワークフラップが発生します。 dia-stabilize-status コマンドは、値「乗数 + 1」を使用してトラッカーのステータスを変更することで、この動作を安定させます。たとえば、乗数の値が 3 の場合、ステータスが DOWN のトラッカーは 3+1 回（ICMP 間隔に基づいて 2 秒間隔で）ping されます。4 番目のプローブが成功すると、トラッカーは UP とマークされます。

Cisco IOS XE Catalyst SD-WAN リリース 17.12.x 以前では、乗数は SIG トラッカー（UP から DOWN および DOWN から UP）および HTTP トラッカー（UP から DOWN）に使用されていました。Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a 以降では、dia-stabilize-status 設定が ICMP および HTTP トラッカーに適用され、DOWN から UP へのステータス遷移がトラッキングされます。

CLI を使用した設定

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a および Cisco Catalyst SD-WAN Manager リリース 20.13.1

次の例は、CLI を使用して、この機能を設定する方法を示しています。

device(config)# endpoint-tracker-settings dia-stabilize-status

Cisco Catalyst SD-WAN Manager を使用した設定

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a および Cisco Catalyst SD-WAN Manager リリース 20.13.1

Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

設定グループの作成の詳細については、「設定グループワークフロー」を参照してください。
設定グループに機能を追加します。

機能の追加の詳細については、「Feature Management」を参照してください。
[System Profile] で、[Basic] 機能を設定します。

[Basic] 機能の設定の詳細については、「Basic」を参照してください。
[Track Settings] をクリックします。
[Tracker DIA Stabilize Status] で、ドロップダウンリストから [Global] を選択し、設定を有効にします。
[Save] をクリックします。

IPv4 インターフェイスでの NAT DIA トラッカー設定のモニタリング

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1

インターフェイス DIA トラッカーの表示

トランスポートインターフェイスで DIA トラッカーに関する情報を表示するには、次の手順を実行します。

Cisco SD-WAN Manager のメニューから[Monitor] > [Devices]の順に選択します。

Cisco vManage リリース 20.6.x 以前：Cisco SD-WAN Manager のメニューから[Monitor] > [Network]の順に選択します。
デバイスのリストからデバイスを選択します。
[Real Time] をクリックします。
シングルエンドポイントトラッカーの場合、[Device Options] ドロップダウンリストから、[Endpoint Tracker Info] を選択します。
デュアルエンドポイントトラッカーの場合、[Device Options] ドロップダウンリストから、[Endpoint Tracker Group Info] を選択します。

IPv4 インターフェイスでの NAT DIA トラッカーの設定の確認

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a および Cisco vManage リリース 20.7.1

テンプレートをデバイスに接続した後、コマンド構文を確認できます。次の設定例は、NAT DIA トラッカーのトラッカー定義と、トラッカーをトランスポートインターフェイスに適用する方法を示しています。

endpoint-tracker tracker-t1
  threshold 1000 
  multiplier 3
  interval 20
  endpoint-ip 10.1.16.13 
  tracker-type interface

interface GigabitEthernet1
 no shutdown
 endpoint-tracker tracker-t1 
 ip nat outside

次の設定例は、設定がコミットされているかどうかを確認する方法を示しています。

Device# show endpoint-tracker interface GigabitEthernet1

Interface          Record Name          Status        RTT in msecs    Probe ID        Next Hop 
GigabitEthernet1   tracker-t1              UP              2               1          10.1.16.13

次の設定例は、トラッカーに関するタイマー関連の情報を示しており、トラッカー関連の問題があった場合デバッグするのに役立ちます。

Device# show endpoint-tracker records 
Record Name            Endpoint       EndPoint Type   Threshold    Multiplier   Interval     Tracker-Type   
p1                     10.1.16.13          IP              300          3          60         interface

ICMP トラッカーの設定の確認

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、ICMP トラッカーの設定後にコマンド構文を確認できます。次の設定例は、NAT DIA トラッカーの ICMP トラッカー定義と、トラッカーをトランスポートインターフェイスに適用する方法を示しています。

endpoint-tracker tracker-t2
  tracker-type interface-icmp
  endpoint-ip 10.1.16.13 
  threshold 1000 
  multiplier 3
  icmp-interval 2

interface GigabitEthernet1
 no shutdown
 endpoint-tracker tracker-t2

次の設定例は、設定がコミットされているかどうかを確認する方法を示しています。

Device# show endpoint-tracker interface GigabitEthernet1

Interface          Record Name          Status        RTT in msecs    Probe ID        Next Hop 
GigabitEthernet1   tracker-t2              UP              2               1          10.1.16.13

デュアルトラッカーの Show コマンド

次に、show endpoint-tracker tracker-group コマンドの出力例を示します。

Device# show endpoint-tracker tracker-group 
Tracker Name               Element trackers name       Status      RTT in msec    Probe ID
interface-tracker-group     tracker1, tracker2      UP(UP OR UP)      1,1          53, 54

Device# show ip sla summary

IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds

ID           Type        Destination       Stats       Return Code     Last Run                                                             
*9           dns         10.1.1.1           RTT=3       OK          12 seconds ago
*10          http        10.1.1.10 .        RTT=89      OK          23 seconds ago

Device# show endpoint-tracker records 
Record Name            Endpoint       EndPoint Type   Threshold    Multiplier   Interval     Tracker-Type   
group1          tracker1 OR tracker2       N/A            N/A          N/A         N/A       tracker-group
group3          tracker3 OR tracker4       N/A            N/A          N/A         N/A       tracker-group
tracker1             198.168.20.2          IP             300          3            60         interface
tracker2             198.168.20.3          IP             300          3            60         interface
tracker3         www.cisco.com.com      DNS_NAME          300          3            60         interface
tracker4         www.cisco.com.com      DNS_NAME          300          3            60         interface

次に、show ip sla summary コマンドの出力例を示します。

Device# show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID            Type       Destination      Stats   Return Code       Last Run
*53           http         10.1.1.1       RTT=2        OK        35 seconds ago
*54           http         10.1.1.10      RTT=2        OK        1 minute, 35 seconds ago

次に、ICMP エンドポイントトラッカーに対する show endpoint-tracker tracker-group コマンドの出力例を示します。

Device# show endpoint-tracker tracker-group
Tracker Name     Element trackers name     Address Family    Status            RTT in msec      Probe ID
trackergroup1    tracker1, tracker2        IPv4              UP(UP OR UP)      1, 2             5, 4

次に、ICMP エンドポイントトラッカーに対する show ip sla summary コマンドの出力例を示します。

Device# show ip sla summary
IPSLAs Latest Operation Summary
Codes: * active, ^ inactive, ~ pending
All Stats are in milliseconds. Stats with u are in microseconds
ID            Type       Destination      Stats   Return Code       Last Run
*4           icmp-echo    10.1.29.99      RTT=1        OK        1 seconds ago

IPv6 インターフェイスでの NAT DIA トラッカーのワークフロー

サポート対象の最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a および Cisco vManage リリース 20.11.1

Cisco SD-WAN Manager の設定グループを使用した IPv6 インターフェイスでの NAT DIA トラッカーの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

（注）

設定グループ、デバイス CLI テンプレート、または CLI アドオン機能テンプレートを使用して、IPv6 DIA トラッカー機能を設定できます。この機能は、機能テンプレートを使用して設定することはできません。

Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a 以前では、[Configuration] > [Templates] > [Configuration Groups] の順に選択します。

設定グループの作成の詳細については、「設定グループワークフロー」を参照してください。
設定グループに機能を追加します。

機能の追加の詳細については、「Feature Management」を参照してください。
[Transport and Management Profile] で、[IPv6-Tracker] と [IPv6-Tracker Group] を設定します。

IPv6 トラッカーの設定の詳細については、「IPv6 Tracker and IPv6 tracker group」を参照してください。また、「IPv6 Tracker Group」を参照してください。
[Transport and Management Profile] で、VPN 0 機能の横にある […] をクリックし、[Associate Sub Feature] を選択します。
- [Associate Sub Feature] を選択した場合は、必要に応じて、事前設定された [IPv6-Tracker] および [IPv6-Tracker Group] のチェックボックスをオンにします。
- [Add Sub Feature] を選択した場合は、ドロップダウンリストから [IPv6-Tracker] および [IPv6-Tracker Group] を選択し、ステップ 3 の設定手順に従います。
VPN 0 設定の詳細については、「Ethernet Interface」を参照してください。
設定グループを作成したら、グループにデバイスを追加します。詳細については、「Add Devices to a Configuration Group」を参照してください。これで、設定グループに関連付けられているデバイスを展開できます。詳細については、「デバイス設定の展開」を参照してください。

CLI テンプレートを使用した IPv6 インターフェイスでの NAT DIA トラッカーの設定

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。

（注）

CLI テンプレートを使用して ICMP トラッカーを設定することはできません。

IPv6 エンドポイントトラッカーの設定

エンドポイントのステータスをトラッキングするためのエンドポイントトラッカーを設定します。

endpoint-tracker tracker-name

トラッカーのトラッカータイプを設定します。

tracker-type ipv6-interface

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、ipv6-interface-icmp を使用して NAT DIA の ICMP トラッキングを設定できます。

エンドポイントの IPv6 アドレスを設定します。

ipv6-endpoint ipv6-address

（注）

IPv4 トラッカーと IPv6 トラッカーを同じトラッカーグループに設定することはできません。

IPv6 エンドポイントトラッカーを設定するための完全な設定例を次に示します。


endpoint-tracker t1
   tracker-type ipv6-interface
   ipv6-endpoint 2001:DB8:1::1

IPv6 エンドポイント ICMP トラッカーを設定するための完全な設定例を次に示します。


endpoint-tracker t1
   tracker-type ipv6-interface-icmp
   ipv6-endpoint 2001:DB8:1::1

DNS トラッカーの設定

エンドポイントのステータスをトラッキングするためのエンドポイントトラッカーを設定します。

endpoint-tracker tracker-name

トラッカーのトラッカータイプを設定します。

tracker-type ipv6-interface

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、ipv6-interface-icmp を使用して NAT DIA の ICMP トラッキングを設定できます。

エンドポイントのドメイン名を設定します。

endpoint-dns-name dns-name

DNS トラッカーを設定するための完全な設定例を次に示します。


endpoint-tracker dns_t1
   tracker-type ipv6-interface
   endpoint-dns-name cisco.com

次に、DNS ICMP トラッカーを設定するための完全な設定例を示します。


endpoint-tracker dns_t1
   tracker-type ipv6-interface-icmp
   endpoint-dns-name cisco.com

IPv6 トラッカーグループの設定

HTTP または ICMP IPv6 エンドポイントトラッカーを設定します。
IPv6 インターフェイスで HTTP または ICMP DNS トラッカーを設定します。
エンドポイントのステータスをトラッキングするためのエンドポイントトラッカーを設定します。

endpoint-tracker tracker-group-name

トラッカーのトラッカータイプを設定します。

tracker-type tracker-group

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、ipv6-interface-icmp を使用して NAT DIA の ICMP トラッキングを設定できます。

トラッカーグループの設定時に Boolen ロジックを有効にします

boolean{and | or}
トラッカー名を追加して、デュアルエンドポイントトラッカーグループを作成します。

tracker-elements tracker1 tracker2

IPv6 トラッカーグループを設定するための完全な設定例を次に示します。


endpoint-tracker t1
   tracker-type ipv6-interface
   ipv6-endpoint 2001:DB8:1::1
!
endpoint-tracker t2
   tracker-type ipv6-interface
   endpoint-dns-name cisco.com
!
endpoint-tracker groupv6
   tracker-type tracker-group 
   boolean or
   tracker-elements t1 t2

次に、IPv6 ICMP トラッカーグループを設定するための完全な設定例を示します。


endpoint-tracker t3
   tracker-type ipv6-interface-icmp
   ipv6-endpoint 2001:DB8:1::1
!
endpoint-tracker t4
   tracker-type ipv6-interface-icmp
   endpoint-dns-name cisco.com
!
endpoint-tracker groupv7
   tracker-type tracker-group 
   boolean or
   tracker-elements t3 t4

同じインターフェイスでの IPv4 と IPv6 の両方のトラッカーの設定

IPv4 エンドポイントトラッカーを設定します。


endpoint-tracker t1
   tracker-type interface-ip
   endpoint-ip 10.1.1.1

IPv4 インターフェイスで DNS トラッカーを設定します。


endpoint-tracker t2
   tracker-type interface-ip
   endpoint-dns-name example.com

IPv6 エンドポイントトラッカーを設定します。


endpoint-tracker t3
   tracker-type ipv6-interface
   ipv6-endpoint 2001:DB8:1::1

IPv6 インターフェイスで DNS トラッカーを設定します。


endpoint-tracker t4
   tracker-type ipv6-interface
   endpoint-dns-name cisco.com

IPv4 トラッカーをトラッカーグループに追加します。


endpoint-tracker groupv4
   tracker-type tracker-group 
   boolean and
   tracker-elements t1 t2

IPv6 トラッカーをトラッカーグループに追加します。


endpoint-tracker groupv6
   tracker-type tracker-group 
   boolean or
   tracker-elements t3 t4

インターフェイスにトラッカーグループを適用します。


interface GigabitEthernet1
 endpoint-tracker groupv4
 ipv6-endpoint-tracker groupv4

次に、同じインターフェイスで IPv4 と IPv6 の両方のトラッカーを設定する完全な設定例を示します。


endpoint-tracker t1
   tracker-type interface-ip
   endpoint-ip 10.1.1.1
!
endpoint-tracker t2
   tracker-type interface-ip
   endpoint-dns-name example.com
!
endpoint-tracker t3
   tracker-type ipv6-interface
   ipv6-endpoint 2001:DB8:1::1
!
endpoint-tracker t4
   tracker-type ipv6-interface
   endpoint-dns-name cisco.com
!
endpoint-tracker groupv4
   tracker-type tracker-group 
   boolean and
   tracker-elements t1 t2
!
endpoint-tracker groupv6
   tracker-type tracker-group 
   boolean or
   tracker-elements t3 t4

トラッカーグループの HTTP および ICMP トラッカーの設定

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、Cisco Catalyst SD-WAN デバイスで HTTP IPv4 トラッカーと ICMP IPv6 トラッカー（またはその逆）を設定します。

HTTP IPv4 エンドポイントトラッカーを設定します。


endpoint-tracker t1
   tracker-type interface
   endpoint-ip 10.1.1.1

ICMP IPv4 エンドポイントトラッカーを設定します。


endpoint-tracker t2
   tracker-type ipv6-interface-icmp
   endpoint-ip 10.1.1.2

HTTP および ICMP エンドポイントトラッカーを使用してトラッカーグループを設定します。
```
endpoint-tracker t3
   tracker-type tracker-group
   tracker-elements t1 t2
```
インターフェイスにトラッカーグループを適用します。
```
interface GigabitEthernet1
    endpoint-tracker t3
```

サポートされている IPv6 インターフェイスへの定義済み IPv6 トラッカーまたはトラッカーグループの適用

インターフェイスタイプを設定して、インターフェイスコンフィギュレーションモードを開始します。
```
interface GigabitEthernet1
```
事前定義された IPv6 エンドポイントトラッカー名を適用します。

ipv6-endpoint-tracker tracker-name

次に、トラッカーをインターフェイスに適用し、サポートされているインターフェイスで設定する完全な設定例を示します。


interface GigabitEthernet1
    ipv6-endpoint-tracker t1

IPv6 インターフェイスでの NAT DIA トラッカーの設定の確認

サポートされている最小リリース：Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a、Cisco vManage リリース 20.11.1

次に、単一の IPv6 エンドポイントトラッカー設定の show endpoint-tracker コマンドの出力例を示します。


Device# show endpoint-tracker

endpoint-tracker t1
ipv6-endpoint 2001:DB8:1::1
tracker-type ipv6-interface

次に、1 つのインターフェイスに適用された単一の IPv6 エンドポイントトラッカーの show endpoint-tracker コマンドの出力例を示します。


Device# show endpoint-tracker

Interface                    Record Name            Status          Address Family   RTT in msecs    Probe ID        Next Hop      
GigabitEthernet1                  t1                  Up              IPv6             1               6               2001:DB8:1::1

次に、DNS トラッカー設定の show endpoint-tracker コマンドの出力例を示します。


Device# show endpoint-tracker

Interface                    Record Name            Status          Address Family   RTT in msecs    Probe ID        Next Hop      
GigabitEthernet1                dns_t1              Up              IPv6             1               9               2001:DB8:1::1

次に、IPv6 トラッカーグループ設定の show endpoint-tracker tracker-group コマンドの出力例を示します。


Device# show endpoint-tracker tracker-group 

Tracker Name                     Element trackers name              Address Family   Status                       RTT in msec      Probe ID       
groupv6                              t1, t2                           IPv6             UP(UP OR UP)                 1, 0             10, 11

次に、IPv4 と IPv6 の両方のトラッカーが同じインターフェイスに設定されている場合の show endpoint-tracker コマンドの出力例を示します。


Device# show endpoint-tracker

Interface                    Record Name            Status          Address Family   RTT in msecs    Probe ID        Next Hop      
GigabitEthernet1                 t1                  Up              IPv4             1               7               10.0.29.99
GigabitEthernet1                 t2                  Up              IPv6             1               8               2001:DB8:1::1

ICMP トラッカーの設定の確認

テンプレートをデバイスにアタッチした後、Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a からコマンド構文を確認できます。

次に、1 つのインターフェイスに適用された単一の IPv6 ICMP エンドポイントトラッカーの show endpoint-tracker コマンドの出力例を示します。


Device# show endpoint-tracker

Interface                    Record Name            Status          Address Family   RTT in msecs    Probe ID        Next Hop      
GigabitEthernet1                  t2                  Up              IPv6             1               6               2001:DB8:1::1

サービス側 NAT

表 10. 機能の履歴
機能名	リリース情報	説明
Cisco IOS XE Catalyst SD-WAN デバイスのサービス側 NAT	Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a Cisco vManage リリース 20.3.1	この機能を使用すると、ネットワークオーバーレイのサービス側ホストとの間で送受信されるデータトラフィックに、内部および外部 NAT を設定できます。サービス側 NAT 設定を使用すると、サービス側のホストからオーバーレイへのデータトラフィック、およびオーバーレイからサービス側のホストへのトラフィックの送信元 IP アドレスを変換できます。
VPN 内サービス側 NAT に対応	Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a Cisco vManage リリース 20.7.1	VPN 内 NAT により、サービス側 LAN インターフェイスが同じ VPN 内の他のサービス側 LAN インターフェイスと通信できます。送信元 IP アドレスを外部ローカルアドレスに変換する必要がある LAN インターフェイスで ip nat outside コマンドを設定します。パケットが他の LAN インターフェイスから外部インターフェイスとして設定されたインターフェイスにルーティングされるように、スタティックまたはダイナミック NAT ルールを適用できます。デバイス CLI テンプレートまたは CLI アドオンテンプレートを使用して、VPN 内サービス側 NAT を設定できます。
サービス側条件付きスタティック NAT サポート	Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a	この機能を使用すると、宛先 IP アドレスに基づいて、同じ送信元 IP アドレスを別の IP アドレスに変換できます。デバイス CLI を使用して、サービス側条件付きスタティック NAT を設定できます。
サービス側スタティックネットワーク NAT のサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a Cisco vManage リリース 20.8.1	この機能は、サブネットのサービス側スタティック NAT の設定をサポートします。複数のスタティック NAT プールを設定する代わりに、サブネット全体に対して単一のスタティック NAT プールを設定できます。 Cisco SD-WAN Manager またはデバイス CLI テンプレートを使用して、サービス側スタティックネットワーク NAT を構成できます。

サービス側 NAT に関する情報

Cisco IOS XE Catalyst SD-WAN デバイスでは、デバイスのサービス側で NAT を設定して、データトラフィックがトランスポート VPN にあるオーバーレイトンネルに入る前に NAT 処理されるようにすることができます。サービス側 NAT は、受信するデータトラフィックの IP アドレスをマスクします。

デバイスのサービス側でダイナミック NAT と 1:1 スタティック NAT の両方を設定できます。これを行うには、デバイス上のサービス VPN 内に NAT プールインターフェイスを構成してから、Cisco Catalyst SD-WAN コントローラで一元化されたデータポリシーを構成します。このポリシーは、必要なプレフィックスを持つデータトラフィックをサービス側 NAT に転送します。目的の NAT プールインターフェイスでダイナミック NAT またはスタティック NAT を設定します。

サービス側 NAT が有効になっている場合、VPN 1 で一致するすべてのプレフィックスは NAT プールインターフェイスに送信されます。このトラフィックは NAT 処理され、NAT はサービス側の IP アドレスを交換し、NAT プールの IP アドレスに置き換えます。その後、パケットは宛先に転送されます。

ネットワークのサービス側に出入りするデータの NAT を設定できます。サービス側 NAT は、構成された一元化されたデータポリシーと一致する、内部および外部ホストアドレスのデータトラフィックを変換します。

内部送信元アドレス変換

サービス側または LAN 側のホストがリモートブランチにトラフィックを送信する場合、内部アドレス変換サービスは送信元 IP アドレス（内部ホスト）変換を許可します。この変換は、データトラフィックがオーバーレイトンネルに送信される前に行われます。NAT 内部プールと内部スタティック NAT アドレスがオーバーレイに再配布されます。これらのアドレスは、オーバーレイ管理プロトコル（OMP）を使用してすべてのリモートブランチにアドバタイズされます。したがって、リモートホストは、内部ホストに到達するためのパスを認識しています。

内部アドレス変換の場合、サービス側データトラフィックは、ダイナミック NAT の一元化されたデータポリシーの一致条件と一致します。送信元 IP アドレスが一致条件を満たしている場合、データはサービス VPN で設定された NAT を通過してから、オーバーレイを介してリモートエッジルータに入ります。アドレス変換は、トンネルの出力インターフェイスで発生します。Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a および Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a よりも前のリリースでは、スタティック内部 NAT は一元化されたデータポリシーでの一致条件を必要としません。スタティック変換は、送信元 IP アドレスがスタティック NAT 用に設定された IP アドレスと一致する場合に発生します。

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、スタティック NAT をプールにマッピングでき、データポリシーの一致がある場合はスタティック NAT がトラフィックに適用されます。

外部送信元アドレス変換

リモートサイトからのトラフィックがオーバーレイトンネルを通過するとき、外部アドレス変換サービスはリモートホストの送信元 IP アドレス（外部ホスト）を変換します。変換は、トラフィックがネットワークの LAN（VPN）側に送信される前に行われます。ルート再配布が設定されている場合、NAT 外部プールアドレスまたはルートは、Open Shortest Path First（OSPF）または他のプロトコルを介してネットワークの LAN 側に再配布されます。したがって、内部ホストは、リモートホストに到達するためのパスを認識しています。

Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a より前のリリースと Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a までのリリースでは、サービス側 NAT の内側と外側の両方がダイナミック NAT 設定である必要があります。内部アドレス変換と外部アドレス変換の両方に 1:1 スタティック NAT マッピングを設定することもできます。

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、一元化されたデータポリシーを使用して、スタティック NAT の NAT プールアクションも設定できます。

（注）

スタティック NAT を設定する前に、ダイナミック NAT を設定します。

サービス側 NAT のデータポリシー

Cisco IOS XE Catalyst SD-WAN デバイスで NAT を有効にするには、スタティックおよびダイナミック NAT の一元化されたデータポリシーを構成します。データポリシーは、ダイナミック NAT の一致基準と NAT プールアクションを提供します。

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、スタティック NAT の一致基準と NAT プールアクションを設定するデータポリシーを作成できます。

サービス側 NAT の利点

送信元 IPv4 アドレスから宛先 IPv4 アドレスへの変換を提供する
パブリック IPv4 アドレスをプライベート送信元 IPv4 アドレスにマッピングする
サービスプロバイダーが IPv6 へのシームレスな移行を実装する方法を提供する

サービス側 NAT のトラフィックフロー

サービス側 NAT の 2 つのデータトラフィックフローを次に示します。

ネットワークのサービス側からオーバーレイネットワーク経由でリモートエッジに向かうトラフィックの送信元の変換
オーバーレイネットワークを介してリモートエッジからネットワークのサービス側に向かうトラフィックの送信元の変換

サービス側からの NAT Feature Invocation Array（FIA）：トラフィックがトンネル経由でリモートエッジに向かうサービス VPN からのものである場合、NAT FIA はトンネルインターフェイスである出力インターフェイスで有効になります。データポリシーの方向は from-service として設定されています。

NAT FIA from-tunnel：トラフィックがリモートエッジからトンネルを通過してサービス VPN に到達する場合、サービス VPN LAN インターフェイスである出力インターフェイスで NAT FIA が有効になります。データポリシーの方向は from-tunnel として設定されています。

データポリシーの方向が all（全方向）に設定されている場合、サービス VPN インターフェイスおよびトンネルインターフェイスで NAT FIA が有効になります。

（注）

一元化されたデータポリシーの IP アドレスとスタティック NAT 送信元 IP アドレスは、Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a および Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a までの以前のリリースでは重複することはできません。トラフィックの一致条件が重複しないように、一元化されたデータポリシーを明確に定義する必要があります。

サービス側 NAT の制限事項

NAT プールの変換のみがサポートされています。
異なる VRF 間の変換はサポートされていません。
Cisco SD-WAN Manager では、最大 31 のプールを設定できます。
NAT プール名を natpool natpool-number として指定します。natpool-number は、データポリシーで指定された NAT プール値と一致する必要があります。

例：natpool10
Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a、Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a、Cisco IOS XE Catalyst SD-WAN リリース 17.3.2 ではスタティック NAT アドレスは、プールアドレスで共有してはなりません。
Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a から始まるスタティック NAT アドレスは、データポリシーと一緒に使用されている場合、設定された NAT プールアドレスリストに属している可能性があります。
VRF のスタティック NAT には、データポリシーとダイナミック NAT プールを定義する必要があります。
NAT64 の IPv4 変換はサポートされていません。
各サービス VPN には、一意の NAT プール番号が必要です。
NAT エントリは、最初に作成した後は編集できません。

サービス側 NAT の設定

サービス側 NAT を設定するためのワークフロー

Cisco Catalyst SD-WAN コントローラの一元化されたデータポリシーを構成して、NAT プール番号とアクションを含めます。NAT 内部の一元化されたデータポリシーの方向は、[from-service] である必要があります。NAT 外部のポリシーの方向は [from-tunnel] である必要があります。
サービス側 VPN である [Cisco VPN] テンプレートを使用して、動的 NAT プール番号を設定します。
[Cisco VPN] テンプレートを使用して動的 NAT マッピングを設定します。
（オプション）[Cisco VPN] テンプレートを使用してスタティック NAT マッピングを設定します。

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、スタティック NAT の NAT プールを設定し、スタティッ NAT の一致基準と NAT プールアクションを提供するデータポリシーを作成できます。

サービス側のスタティック NAT の設定の詳細については、「サービス側スタティック NAT の設定」を参照してください。

NAT 内部の場合、NAT プールサブネットと IP アドレスのスタティック NAT 変換が OMP に自動的にアドバタイズされます。NAT 外部の場合、NAT プールサブネットの再配布と、IPv4 アドレスのサービス側プロトコルへのスタティック NAT 変換を手動で設定できます。

（注）

データポリシーアクションが VPN 0 に対して設定されている場合、アクションは DIA トラフィックに対して設定されます。NAT プール設定を含むいずれかのサービス VPN（例：VPN 1）に対してデータポリシーアクションが設定されている場合、アクションはサービス側 NAT 用です。

サービス側 NAT の一元化されたデータポリシーの作成および適用

一元管理型データポリシーは、Cisco Catalyst SD-WAN コントローラで設定され、Cisco Catalyst SD-WAN オーバーレイネットワーク上のルータ間で送信されるデータトラフィックに影響を与えるポリシーです。

Cisco SD-WAN Manager メニューから、[Configuration] > [Policies] を選択します。
[Centralized Policy] をクリックします。
[Add Policy] をクリックします。

ポリシー構成ウィザードが開きます。一元管理型データポリシーの作成の詳細については、「Configure Centralized Policies Using Cisco SD-WAN Manager」を参照してください。
ポリシーリストを作成します。

対象グループの構成の詳細については、「一元化されたポリシーの対象グループの構成」を参照してください。
トラフィック規則を設定します。

トラフィックルールの構成に関する詳細については、「トラフィックルールの構成」を参照してください。

サイトと VPN にポリシーを適用します。

サイトと VPN にポリシーを適用する方法の詳細については、「サイトと VPN にポリシーを適用する」を参照してください。

ポリシーを適用する方向を [All]、[From Tunnel]、または [From Service] から選択します。

表 11. ダイナミックおよびスタティック NAT アプリケーション
NAT の設定	データポリシーの方向
ダイナミック NAT 内部のみ（NAT プール）	From-service
ダイナミック NAT 外部のみ（NAT プール）	From-tunnel
ダイナミック NAT 内部（NAT プール）+ スタティック NAT 内部のみ	From-service
ダイナミック NAT 内部（NAT プール）+ スタティックポートフォワーディングのみ	From-service
ダイナミック NAT 外部（NAT プール）+ スタティック NAT 外部のみ	From-tunnel
上記の 2 つ以上の組み合わせ	all

ポリシーをアクティブにします。

ポリシーのアクティブ化の詳細については、「一元化データポリシーのアクティブ化」を参照してください。

サービス側ダイナミック NAT の設定

はじめる前に

Cisco Catalyst SD-WAN コントローラの一元化されたデータポリシーを構成して、NAT プール番号とアクションを含めます。
新しい [Cisco VPN] テンプレートを作成するか、既存の [Cisco VPN] テンプレートを編集します。[Cisco VPN] テンプレートは、NAT を設定するサービス側 VPN に対応します。

ダイナミック NAT プールの設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
[NAT] をクリックします。
[NAT Pool] で、[New NAT Pool] をクリックします。

必須パラメータを入力し、[Update] をクリックします。

表 12. NAT プールパラメータ
パラメータ名	説明
[NAT Pool Name]	一元化されたデータポリシーで構成されている NAT プール番号を入力します。NAT プール名は、VPN および VRF 全体で一意である必要があります。ルータごとに最大 31（1 ～ 31）の NAT プールを設定できます。
[NAT Pool Prefix Length]	NAT プールのプレフィックス長を入力します。
[NAT Pool Range Start]	NAT プールの開始 IP アドレスを入力します。フィールドを有効にするには、スコープを [Default] から [Global] に変更します。 NAT プールの最後の IP アドレスを入力します。
[NAT Pool Range End]	NAT プールの終了 IP アドレスを入力します。フィールドを有効にするには、スコープを [Default] から [Global] に変更します。 NAT プールの最後の IP アドレスを入力します。
[NAT Overload]	[On] をクリックして、ポートごとの変換を有効にします。デフォルトは [オン（On）] です。 [NAT Overload] が [Off] に設定されている場合、ダイナミック NAT のみがエンドデバイスで設定されます。ポートごとの NAT は設定されていません。
[NAT Direction]	NAT 方向を選択します。

サービス側スタティック NAT の設定

Before You Begin

データポリシーを構成して適用します。
[Cisco VPN] テンプレートを設定するか、既存の [Cisco VPN] テンプレートを編集します。
ダイナミック NAT を設定します。

サービス側スタティック NAT の設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
[NAT] をクリックします。
[Static NAT] をクリックします。
[Static NAT] で、[New Static NAT] をクリックします。

必須パラメータを入力し、[Update] をクリックします。

表 13. スタティック NAT パラメータ
パラメータ名	説明
[NAT Pool Name]	Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、スタティック NAT にも NAT プールを使用できます。[Global] 設定オプションを使用して NAT プール番号を選択します。
送信元 IP アドレス	送信元 IP アドレスとして内部ローカルアドレスを入力します。
[Translated Source IP Address]	変換された送信元 IP アドレスとして内部グローバルアドレスを入力します。パブリック IP アドレスをプライベート送信元アドレスにマップします。 Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a では、スタティック NAT に NAT プールを使用している場合、スタティックに変換された送信元 IP アドレスは、設定されたダイナミック NAT プールの IP アドレス範囲内にある必要があります。
[Static NAT Direction]	ネットワークアドレス変換を行う方向を選択します。
内部	デバイスのサービス側から送信され、ルータのトランスポート側に向かうパケットの IP アドレスを変換するには、[Inside] を選択します。
外部	トランスポート側デバイスからデバイスに到着し、サービス側デバイス宛てのパケットの IP アドレスを変換するには、[Outside] を選択します。

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a および Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a までの以前のリリース（サービス側の NAT 機能が導入されたとき）では、スタティック NAT IP アドレスが NAT プール IP アドレスと重複してはなりません。

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a では、スタティックに変換された送信元 IP アドレスは、設定されたダイナミック NAT プールの IP アドレス範囲内にある場合があります。

NAT のサービス側ポートフォワーディングの設定

ポートフォワーディングルールを設定して、外部ネットワークからの要求が内部ネットワーク上のデバイスに到達できるようにすることができます。

Before You Begin

データポリシーを構成して適用します。
[Cisco VPN] テンプレートを設定するか、既存の [Cisco VPN] テンプレートを編集します。
NAT プールを設定します。

NAT のサービス側ポートフォワーディングの設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
[NAT] をクリックします。
[NAT Pool] で、[New NAT Pool] をクリックします。
必須 NAT パラメータを入力します。

NAT プールパラメータの詳細については、「NAT プールとループバックインターフェイスの設定」を参照してください。
[Add] をクリックします。

ポートフォワーディングルールを作成するには、[Port Forward] > [Add New Port Forwarding Rule]をクリックし、必要なパラメータを設定します。

最大 128 のポート転送ルールを定義して、外部ネットワークからの要求が内部ネットワーク上のデバイスに到達できるようにすることができます。

表 14. ポートフォワーディングパラメータ
パラメータ名	説明
[NAT Pool Name]	Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降、スタティック NAT に NAT プールを使用できます。[Global] 設定オプションを使用して NAT プール番号を選択します。
送信元ポート	ポート番号を入力して、変換する送信元ポートを定義します。範囲：0 ～ 65535
送信元 IP アドレス	変換される送信元アドレスを入力します。
[Translate Port]	ポートフォワーディングを適用するポート番号を入力します。範囲：0 ～ 65535 Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a では、スタティックに変換された送信元 IP アドレスは、設定されたダイナミック NAT プールの IP アドレス範囲内にある必要があります。
Protocol	ポートフォワーディングルールを適用する [TCP] または [UDP] を選択します。TCP トラフィックと UDP トラフィックの両方で同じポートを一致させるには、2 つのルールを構成します。
[Translated Source IP Address]	OMP にアドバタイズされる NAT IP アドレスを指定します。ポートフォワーディングは、変換されたポートが一致するオーバーレイから、この IP アドレス宛てのトラフィックに適用されます。

[更新（Update）] をクリックします。

CLI を使用したサービス側 NAT の設定

一元化されたデータポリシーの構成：送信元の条件を任意の宛先に一致させる

送信元 IP から任意の宛先 IP への一致条件を含む一元化されたデータポリシーを設定します。

policy
 data-policy edge1
  vpn-list vpn_1
   sequence 101
    match
     source-ip 192.168.11.0/24
    !
    action accept
     count nat_vrf_1
     nat pool 1
    !
   !
   default-action accept
  !
  vpn-list vpn_2
   sequence 102
    match
     source-ip 192.168.22.0/24
    !
    action accept
     count nat_vrf_2
     nat pool 2
    !
   !
   default-action accept
  !
  vpn-list vpn_3
   sequence 103
    match
     source-ip 192.168.13.0/24
    !
    action accept
     count nat_vrf_3
     nat pool 3
    !
   !
   default-action accept
  !
 !
 lists
  vpn-list vpn_1
   vpn 1
  !
  vpn-list vpn_2
   vpn 2
  !
  vpn-list vpn_3
   vpn 3
  !
  site-list edge1
   site-id 500
  !
 !
!

内部ダイナミックおよびスタティック NAT の設定

NAT プールの内部ダイナミックおよびスタティック NAT を設定します。

ip nat pool natpool1 10.11.11.1 10.11.11.2 prefix-length 24
ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vrf
ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf overload
!
ip nat pool natpool2 10.22.22.1 10.22.22.2 prefix-length 24
ip nat outside source list global-list pool natpool2 vrf 2 overload match-in-vrf
ip nat outside source static 192.168.22.10 10.22.22.10 vrf 2 match-in-vrf
!
ip nat pool natpool3 10.13.13.1 10.13.13.2 prefix-length 24
ip nat inside source list global-list pool natpool3 vrf 3 match-in-vrf overload
ip nat inside source static tcp 192.168.13.10 80 10.13.13.10 8080 vrf 3 extendable match-in-vrf

内部スタティック NAT の NAT プールを使用したスタティック NAT の設定（Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a から開始）

NAT プールの内部でスタティック NAT を設定します。

ip nat pool natpool1 10.11.11.1 10.11.11.30 prefix-length 24
ip nat pool natpool2 10.11.11.5 10.11.11.6 prefix-length 24
ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf
ip nat inside source list global-list pool natpool2 vrf 1 match-in-vrf
ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vrf pool natpool1

NAT プールに内部スタティック NAT および外部スタティック NAT を設定します。

ip nat pool natpool1 10.11.11.1 10.11.11.30 prefix-length 24
ip nat pool natpool2 10.11.11.5 10.11.11.6 prefix-length 24
ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf
ip nat inside source list global-list pool natpool2 vrf 1 match-in-vrf
ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vrf pool natpool1
ip nat outside source static 192.168.21.10 10.22.22.10 vrf 1 match-in-vrf pool natpool1

使用例 1：内部 NAT プールを使用した内部スタティック NAT

この例では、内部スタティック NAT のみが NAT プールにマッピングされている場合、シーケンス 101 は、オーバーレイネットワークを介してリモートエッジからネットワークのサービス側に向かうスタティック NAT トラフィック（インからアウトへ）に対して、データポリシー構成を指定します。シーケンス 102 は、ネットワークのサービス側から、宛先グローバル IP アドレス 10.11.11.10 のリモートエッジデバイス宛てのトラフィック（アウトからイン）に対してデータポリシー構成を指定します。

policy
 data-policy edge1
  vpn-list vpn_1
   sequence 101
    match
     source-ip 192.168.11.0/24
     destination-ip 192.168.21.0/24
    !
    action accept
     count nat_vrf_1
     nat pool 1
    !
   !
   default-action accept
  !
 sequence 102  
    match
     source-ip 192.168.21.0/24
     destination-ip 10.11.11.0/27
    !
    action accept
     count nat_vrf_2
     nat pool 2
    !
   !
   default-action accept
  !
   default-action accept
  !
 !

使用例 2：内部 NAT アドレスプールにマッピングされた内部スタティック NAT および外部スタティック NAT

この例では、内部スタティック NAT と外部スタティック NAT が NAT プールにマッピングされている場合、シーケンス 101 は、オーバーレイネットワークを介してリモートエッジデバイスからネットワークのサービス側に向かうスタティック NAT トラフィック（インからアウトへ）に対して、データポリシー構成を指定します。シーケンス 102 は、ネットワークのサービス側から、宛先グローバル IP アドレス 10.11.11.10 のリモートエッジデバイス宛てのトラフィック（アウトからイン）に対してデータポリシー構成を指定します。

policy
data-policy vedge1
  vpn-list vpn_1
   sequence 101 
    match
     source-ip 192.168.11.0/24
     destination-ip 10.22.22.10/27
    !
    action accept
     count nat_vrf_1
     nat pool 1
    !
   !
   sequence 102
    match
     source-ip 192.168.21.0/24
     destination-ip 10.11.11.0/27
    action accept
     nat pool 1
   default-action accept
  !

（注）

Cisco IOS XE Catalyst SD-WAN リリース 17.3.1a 以降、ip nat settings central-policy コマンドは、Cisco IOS XE Catalyst SD-WAN デバイスの NAT が Cisco Catalyst SD-WAN モードで機能するために必要です。Cisco SD-WAN Manager 機能テンプレートを使用してデバイスで NAT を有効にする場合、Cisco SD-WAN Manager はこのコマンドをデバイスに自動的にプッシュします。ただし、デバイスで NAT を設定するためだけにデバイス CLI テンプレートを使用している場合は、デバイス CLI テンプレート設定に ip nat settings central-policy コマンドを追加する必要があります。

サービス側 NAT の設定の確認

VRF 1 の例

192.168.11.10 からのトラフィックは、スタティック NAT ルールに基づいて変換されます。192.168.11.0/24 の他の送信元からのトラフィックは、プール IP に変換されます。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
tcp  10.13.13.10:8080      192.168.13.10:80      ---                   ---
---  ---                   ---                   10.22.22.10           192.168.22.10         
---  10.11.11.10           192.168.11.10         ---                   ---
icmp 10.11.11.1:18193      192.168.11.2:18193    192.168.21.2:18193    192.168.21.2:18193
tcp  10.11.11.10:59888     192.168.11.10:59888   192.168.21.10:21      192.168.21.10:21
tcp  10.11.11.10:50069     192.168.11.10:50069   192.168.21.10:35890   192.168.21.10:35890
tcp  10.11.11.10:39164     192.168.11.10:39164   192.168.21.10:80      192.168.21.10:80
Total number of translations: 7

VRF 2 の例

192.168.22.10 からのトラフィックは、スタティック NAT ルールに基づいて 10.22.22.10 に変換されます。他の送信元 192.168.22.0/24 からのトラフィックは、プール IP に変換されます。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
tcp  10.13.13.10:8080      192.168.13.10:80      ---                   ---
---  ---                   ---                   10.22.22.10           192.168.22.10         
---  10.11.11.10           192.168.11.10         ---                   ---
tcp  192.168.12.10:21      192.168.12.10:21      10.22.22.10:56602     192.168.22.10:56602
tcp  192.168.12.10:46238   192.168.12.10:46238   10.22.22.10:49532     192.168.22.10:49532
icmp 10.22.22.1:18328      192.168.22.2:18328    192.168.12.2:18328    192.168.12.2:18328
tcp  192.168.12.10:80      192.168.12.10:80      10.22.22.10:46340     192.168.22.10:46340
Total number of translations: 7

VRF 3 の例

10.13.13.10:8080 へのトラフィックはすべて 192.168.13.10:80 に変換されます。192.168.11.0/24 からのその他のトラフィックはすべて、プール IP に変換されます。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
tcp  10.13.13.10:8080      192.168.13.10:80      ---                   ---
---  ---                   ---                   10.22.22.10           192.168.22.10         
---  10.11.11.10           192.168.11.10         ---                   ---
tcp  10.13.13.1:43162      192.168.13.10:43162   192.168.23.10:21      192.168.23.10:21
tcp  10.13.13.1:41753      192.168.13.10:41753   192.168.23.10:34754   192.168.23.10:34754
icmp 10.13.13.1:19217      192.168.13.2:19217    192.168.23.2:19217    192.168.23.2:19217
tcp  10.13.13.10:8080      192.168.13.10:80      192.168.23.10:40298   192.168.23.10:40298
tcp  10.13.13.1:43857      192.168.13.10:43857   192.168.23.10:80      192.168.23.10:80
Total number of translations: 8

NAT プールがスタティック NAT に使用されている場合のサービス側 NAT の確認（Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a から）

次の出力例は、クライアント 1（192.168.11.10）からサーバー 2（192.168.21.11）への UDP トラフィックを示しています。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  10.11.11.2            192.168.11.10         ---                   ---
---  10.11.11.5            192.168.11.10         ---                   ---
udp  10.11.11.5:5001       192.168.11.10:5001    192.168.21.11:5001    192.168.21.11:5001 ----> NAT IP from Pool 2
Total number of translations: 3

次の出力例は、クライアント 1（192.168.11.10）からサーバー 1（192.168.21.10）への UDP トラフィックを示しています。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  10.11.11.2            192.168.11.10         ---                   ---
---  10.11.11.5            192.168.11.10         ---                   ---
udp  10.11.11.5:5001       192.168.11.10:5001    192.168.21.11:5001    192.168.21.11:5001 ----> NAT IP from Pool 2
udp  10.11.11.2:5001       192.168.11.10:5001    192.168.21.10:5001    192.168.21.10:5001 ----> NAT IP as per static NAT rule mapped to Pool 1
Total number of translations: 4

次の出力例は、クライアント 2（192.168.11.11）からサーバー 2（192.168.21.11）への UDP トラフィックを示しています。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  10.11.11.2            192.168.11.10         ---                   ---
---  10.11.11.6            192.168.11.11         ---                   ---
---  10.11.11.5            192.168.11.10         ---                   ---
udp  10.11.11.5:5001       192.168.11.10:5001    192.168.21.11:5001    192.168.21.11:5001 ----> NAT IP from pool 2
udp  10.11.11.6:5001       192.168.11.11:5001    192.168.21.11:5001    192.168.21.11:5001 ----> NAT IP from pool 2
udp  10.11.11.2:5001       192.168.11.10:5001    192.168.21.10:5001    192.168.21.10:5001 ----> NAT IP as per static NAT rule mapped to Pool 1
Total number of translations: 6

サービス側 NAT の設定例

例：Cisco VPN インターフェイスイーサネットテンプレートでの NAT 設定

ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload
  ip nat translation tcp-timeout 3600
  ip nat translation udp-timeout 60
  ip nat route vrf 1 10.0.0.1 10.0.0.1 global
  
interface GigabitEthernet1
   no shutdown
   arp timeout 1200
   ip address 10.1.15.15 255.255.255.0
   ip redirects
   ip mtu    1500
   ip nat outside

例：ダイナミック NAT の設定

ip nat pool natpool-gigabitethernet1-0 198.51.100.1 198.51.100.2 prefix-length 24
ip nat inside source list global-list pool natpool-gigabitethernet1-0 egress-interface GigabitEthernet1

例：インターフェイス過負荷の設定

ip nat pool natpool-gigabitethernet1-0 209.165.201.1 209.165.201.2 prefix-length 24
ip nat inside source list global-list pool natpool-gigabitethernet1-0 overload egress-interface GigabitEthernet1

例：ループバックインターフェイスによるインターフェイス過負荷の設定

ip nat inside source list global-list interface loopback1 overload egress-interface GigabitEthernet1

VPN 内サービス側 NAT

次のセクションでは、VPN 内サービス側 NAT の設定に関する情報を提供します。

VPN 内サービス側 NAT に関する情報

VPN 内サービス側 NAT はサービス側 NAT の拡張機能であり、サービス側 LAN インターフェイスが、同じ VPN 内の別のサービス側 LAN インターフェイスと通信できるようにします。VPN 内サービス側 NAT は、スタティックまたはダイナミック NAT を使用して、データトラフィックをどちらの方向にも開始できるようにします。ip nat outside コマンドを使用して、パケットが他の LAN インターフェイスから外部インターフェイスとして設定されたインターフェイスにルーティングされるように、スタティックまたはダイナミック NAT ルールを適用できます。

デバイス CLI テンプレートまたは CLI アドオンテンプレートを使用して、VPN 内サービス側 NAT を設定できます

VPN 内サービス側 NAT のポートフォワーディングを設定できます。

VPN 内サービス側 NAT のポートフォワーディングの設定の詳細については、「NAT のサービス側ポートフォワーディングの設定」を参照してください。

VPN 内サービス側 NAT の利点

同じ VPN で LAN-to-LAN トラフィックをサポート可能
実際の IP アドレスとマッピングされた IP アドレス間をマッピングする際にスタティックまたはダイナミック NAT をサポート可能
同じ VPN 内の 2 つの LAN インターフェイス間の双方向トラフィックをサポート可能

VPN 内サービス側 NAT の制限事項

リモートブランチへのサービス側 LAN インターフェイスの NAT はサポートされていません。
サービス側 LAN インターフェイスからのパケットでは、ダイレクトインターネットアクセス（DIA）はサポートされていません。
サービス間 LAN インターフェイスは、同じ VPN 内にある必要があります。

NAT は、異なる VPN 間ではサポートされていません。
ファイアウォール、AppNav-XE、およびマルチキャストはサポートされていません。

デバイス CLI テンプレートまたは CLI アドオンテンプレートを使用して、VPN 内サービス側 NAT を設定します。Cisco SD-WAN Manager 機能テンプレートのサポートは Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a では利用できません。

（注）

他の NAT 関連機能に Cisco SD-WAN Manager 機能テンプレートを使用すると、ip nat outside 設定がインターフェイスから削除されます。したがって、VPN 内サービス側 NAT 機能は使用できません。

データポリシーの方向を [Al] として設定します。
LAN 側の物理インターフェイスとイーサネットサブインターフェイスのみがサポートされます。ループバックおよびブリッジドメインインターフェイス（BDI）インターフェイスはサポートされていません。
ポート転送を使用した NAT DIA はサポートされていません。

VPN 内サービス側 NAT の設定

VPN 内サービス側 NAT を設定するためのワークフロー

スタティックまたはダイナミック NAT マッピングの Cisco Catalyst SD-WAN コントローラの一元化されたデータポリシーを設定します。

一元化されたデータポリシーの設定の詳細については、「NAT の一元化されたデータポリシーの作成と適用」を参照してください。
[Cisco VPN] テンプレートを使用して、スタティックまたはダイナミック NAT を設定します。
（オプション）スタティックまたはダイナック NAT マッピングのプール名を設定します。

スタティックまたはダイナミック NAT マッピングのプール名の設定の詳細については、「サービス側のスタティック NAT の設定」を参照してください。
デバイスの CLI テンプレートまたは CLI アドオンテンプレートを使用して、NAT 変換用の外部インターフェイスを設定し、その設定をデバイスに適用します。
デバイス CLI テンプレートまたは CLI アドオンテンプレートをデバイスに接続します。

CLI アドオンテンプレートを使用した VPN 内サービス側 NAT の設定

はじめる前に

新しい CLI アドオンテンプレートを作成するか、既存の CLI アドオンテンプレートを編集します。

CLI Add-on Feature Templates の詳細については、「CLI Add-on Feature Templates」を参照してください。

CLI アドオンテンプレートを使用した VPN 内サービス側 NAT の設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

[Feature Templates] をクリックします。

（注）

Cisco vManage リリース 20.7.x 以前のリリースでは、[Feature Templates] のタイトルは [Feature] です。

[Add template] をクリックします。
デバイスリストからデバイスを選択します。
[OTHER TEMPLATES] の [CLI Add-On Template] をクリックします。
[CLI Add-On Template] エリアで、設定を入力します。
ip nat outside コマンドを使用して、外部インターフェイスを設定します。
[Save（保存）] をクリックします。

作成した CLI アドオンテンプレートが [CLI Configuration] に表示されます。
CLI アドオンテンプレートをデバイスにアタッチします。

VPN 内サービス側 NAT の設定例

例：ポリシーの構成

次に、NAT プールを含む Cisco Catalyst SD-WAN コントローラの一元化されたデータポリシーの構成例を示します。

Device# show running policy
policy
data-policy cedge1
vpn-list vpn_1
sequence 101
match
source-ip 192.168.11.0/24
!
action accept
count nat_vrf_1
nat pool 1
!
!
default-action accept
!
!
lists
vpn-list vpn_1
vpn 1
!
site-list cedge1
site-id 500
.
.
.

例：IP NAT 外部で設定された LAN インターフェイス 1

次の例は、ip nat outside インターフェイスが GigabitEthernet 5.102 インターフェイスに設定されていることを示しています。

Device# interface GigabitEthernet5.102
encapsulation dot1Q 102
vrf forwarding 1
ip address 192.168.12.1 255.255.255.0
ip mtu 1496
ip nat outside
ip ospf dead-interval 40
ip ospf 1 area 0
pool configuration:
ip nat pool natpool1 10.11.11.1 10.11.11.2 prefix-length 24
ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf overload

static nat inside config:
ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vr
end

例：LAN インターフェイス 2

次の例は、GigabitEthernet 5.101 インターフェイスが同じ VPN および VRF で設定されていることを示しています。

Device# interface GigabitEthernet5.101
encapsulation dot1Q 101
vrf forwarding 1
ip address 192.168.11.1 255.255.255.0
ip mtu 1496
ip ospf dead-interval 40
ip ospf 1 area 0
pool configuration:
ip nat pool natpool1 10.11.11.1 10.11.11.2 prefix-length 24
ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf overload

static nat inside config:
ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vr
end

サービス側条件付きスタティック NAT

次のセクションでは、サービス側条件付きスタティック NAT の設定について説明します。

サービス側条件付きスタティック NAT に関する情報

サービス側条件付きスタティック NAT を設定して、宛先 IP アドレスに基づいて、同じ送信元 IP アドレスを別のグローバル IP アドレスに変換します。

サービス側条件付き NAT を使用すると、設定済みの別のスタティック NAT プール IP アドレス範囲内で同じ送信元 IP アドレスを設定できます。Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a 以前は、この機能はサポートされていませんでした。

デバイス CLI を使用して、サービス側条件付きスタティック NAT を設定します。

サービス側条件付きスタティック NAT の利点

データポリシーの宛先 IP アドレスに基づいて、同じ送信元 IP アドレスを別の IP アドレスに変換します。
別の構成済みスタティック NAT プール IP アドレス範囲内で同じ送信元 IP アドレスを使用できるようにします。

サービス側条件付きスタティック NAT の制限事項

サービス側の条件付きスタティック NAT は、内部スタティック NAT およびサービス側トラフィック専用です。
外部スタティック NAT はサポートされていません。
DIA トラフィックはサポートされていません。

サービス側条件付きスタティック NAT を設定するためのワークフロー

一元化されたデータポリシーを構成し、異なる宛先 IP アドレスでシーケンスを構成します。

詳細については、「サービス側 NAT の一元化されたデータポリシーの作成と適用」を参照してください。
同じローカル IP アドレスを持つ少なくとも 2 つの NAT プールを設定します。

CLI を使用したサービス側条件付きスタティック NAT の設定の詳細については、「CLI を使用したサービス側条件付きスタティック NAT の設定」を参照してください。
宛先 IP アドレスの変換を確認します。

宛先 IP アドレスの変換の確認に関する詳細については、「CLI を使用した条件付き静的 NAT の確認」を参照してください。

CLI を使用したサービス側条件付きスタティック NAT の設定

一元化されたデータポリシーを構成し、シーケンスを構成します。

data-policy EDGE1
vpn-list vpn_1
sequence 101
match
source-ip 192.168.11.10/32
destination-ip 192.168.21.10/32
!
action accept
count vrf1_In2Out1
nat pool 1
!
!
sequence 102
match
source-ip 192.168.11.10/32
destination-ip 192.168.21.2/32
!
action accept
count vrf1_In2Out2
nat pool 2
!
!
default-action accept
!
!
lists
vpn-list vpn_1
vpn 1
!
site-list EDGE1
site-id 500
!
!
!

少なくとも 2 つの NAT プールを設定します。

Device(config)# ip nat pool natpool1 10.11.11.1 10.11.11.10 prefix-length 24
Device(config)# ip nat pool natpool2 10.22.22.1 10.22.22.10 prefix-length 24

対応する NAT プールに同じ送信元 IP アドレスを使用して、内部スタティック NAT を設定します。

Device(config)# ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vrf pool natpool1
Device(config)# ip nat inside source static 192.168.11.10 10.22.22.10 vrf 1 match-in-vrf pool natpool2
Device(config)# ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf overload
Device(config)# ip nat inside source list global-list pool natpool2 vrf 1 match-in-vrf overload

サービス側条件付きスタティック NAT の設定の確認

NAT Pool 1 および NAT Pool 2 の送信元 IP 変換例

natpool1 の場合、Cisco IOS XE Catalyst SD-WAN デバイスは送信元 IP アドレス 192.168.11.10 を 10.11.11.10 に変換し、宛先は 192.168.21.10 です。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  10.11.11.10           192.168.11.10         ---                   ---
---  10.22.22.10           192.168.11.10         ---                   ---
icmp 10.22.22.10:8371      192.168.11.10:8371    192.168.21.2:8371    192.168.21.2:8371
icmp 10.11.11.10:8368      192.168.11.10:8368    192.168.21.10:8368   192.168.21.10:8368
Total number of translations: 4

natpool2 の場合、Cisco IOS XE Catalyst SD-WAN デバイスは送信元 IP アドレス 192.168.11.10 を 10.22.22.10 に変換し、宛先は 192.168.21.2 です。

サービス側スタティックネットワーク NAT

次のセクションでは、サービス側スタティックネットワーク NAT の設定について説明します。

サービス側スタティックネットワーク NATの情報

1 つの設定を使用して、ネットワーク全体にサービス側スタティック NAT を設定できます。

Cisco SD-WAN Manager またはデバイス CLI テンプレートを使用して、サービス側スタティックネットワーク NAT を構成できます。

サービス側スタティックネットワーク NATの利点

サブネット全体を設定するための単一のスタティック NAT プールの設定をサポートします。
LAN プレフィックスおよび LAN インターフェイスのオブジェクトトラッカー機能をサポートします。

サービス側スタティックネットワーク NATの制限事項

一元化されたデータポリシーを使用した構成はサポートされていません。
NAT プールアドレスの重複はサポートされていません。
サービス側内部ネットワーク NAT のみがサポートされます。
外部スタティックネットワーク NAT はサポートされていません。
DIA 設定はサポートされていません。

サービス側スタティックネットワーク NAT の構成

Before You Begin

データポリシーを構成して適用します。

サービス側 NAT の一元化されたデータポリシーの作成と適用の詳細については、「サービス側 NAT の一元化されたデータポリシーの作成と適用」を参照してください。
[Cisco VPN] テンプレートを設定するか、既存の [Cisco VPN] テンプレートを編集します。

サービス側スタティック NAT を設定します。

（注）

サービス側スタティックネットワーク NAT を構成する前に、NAT プールを構成する必要があります。

サービス側スタティック NAT と NAT プールの設定の詳細については、「サービス側スタティック NAT の設定」を参照してください。

サービス側スタティックネットワーク NAT の構成

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。
[Feature Templates] をクリックします。
[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
[NAT] をクリックします。
[Static NAT] をクリックします。
[Static NAT] で、[New Static NAT Subnet] をクリックします。

必須パラメータを入力します。

表 15. 新しいスタティック NAT サブネットパラメータ
パラメータ名	説明
[Source IP Subnet]	送信元 IP サブネットアドレスとして内部ローカルアドレスを入力します。
[Translated Source IP Subnet]	変換された送信元 IP サブネットアドレスとして、外部グローバルサブネットアドレスを入力します。パブリック IP アドレスをプライベート送信元アドレスにマップします。
[Network Prefix Length]	ネットワークのプレフィックス長を入力します。
[Static NAT Direction]	ネットワークアドレス変換の方向を選択します。ネットワークアドレス変換を実行する方向として [内部] を選択します。
[Add Object /Group Tracker]	（オプション）オブジェクトをトラッキングする場合は、オブジェクト ID 番号を入力します。オブジェクトトラッカー機能は、サービス側スタティックネットワーク NAT でサポートされています。

[更新（Update）] をクリックします。

CLI を使用したサービス側スタティックネットワーク NAT の構成

次のコマンドを使用して、サービス側スタティックネットワーク NAT を構成します。
```
Device(config)# ip nat inside source static network 192.168.11.0 192.168.70.0 /24 vrf 1
match-in-vrf
```
（オプション）サービス側 NAT オブジェクトトラッカーを設定します。

詳細については、「サービス側 NAT オブジェクトトラッカーの設定」を参照してください。

サービス側スタティックネットワーク NAT 設定の確認

次のセクションでは、サービス側スタティックネットワーク NAT 設定を確認する方法について説明します。

サービス側スタティックネットワーク NAT の変換の確認

次に、show ip nat translations コマンドの出力例を示します。

Device# show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  192.168.70.0          192.168.11.0          ---                   ---
---  192.168.70.11         192.168.11.11         ---                   ---
---  192.168.70.10         192.168.11.10         ---                   ---
icmp 192.168.70.11:16528   192.168.11.11:16528   192.168.21.11:16528   192.168.21.11:16528
icmp 192.168.70.10:16525   192.168.11.10:16525   192.168.21.10:16525   192.168.21.10:16525
icmp 192.168.70.10:16526   192.168.11.10:16526   192.168.21.10:16526   192.168.21.10:16526
icmp 192.168.70.10:16527   192.168.11.10:16527   192.168.21.10:16527   192.168.21.10:16527

サービス側スタティックネットワーク NAT ルートの作成の確認

次に、show ip route vrf コマンドの出力例を示します。

Device# show ip route vrf 1
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
n Nd     10.0.1.0/24 [6/0], 2d00h, Null0
C        10.0.100.0/24 is directly connected, GigabitEthernet8
L        10.0.100.15/32 is directly connected, GigabitEthernet8
C        10.20.24.0/24 is directly connected, GigabitEthernet5
L        10.20.24.15/32 is directly connected, GigabitEthernet5
n Ni  192.168.70.0/24 [7/0], 00:00:12, Null0

サービス側 NAT オブジェクトトラッカー

表 16. 機能の履歴
機能名	リリース情報	説明
サービス側 NAT オブジェクトトラッカーのサポート	Cisco IOS XE Catalyst SD-WAN リリース 17.8.1a Cisco vManage リリース 20.8.1	この機能により、サービス側スタティック NAT 内部の LAN プレフィックスと LAN インターフェイスのトラッキングのサポートが追加されます。 NAT ルートに関連付けられているオブジェクトトラッカーの状態 (アップまたはダウン) が変化すると、NAT OMP ルートがルーティングテーブルに追加または削除されます。追加または削除された NAT ルートとインターフェイスをモニタリングするための Cisco SD-WAN Manager の通知を表示できます。サービス側 NAT オブジェクトトラッカーは、Cisco SD-WAN Manager、デバイス CLI テンプレート、または CLI アドオンテンプレートを使用して設定できます。

サービス側 NAT オブジェクトトラッカーに関する情報

サービス側 NAT オブジェクトトラッカーは、次のトラッキングのサポートを提供します。

LAN プレフィックス：ルーティングテーブルのルート情報ベース（RIB）のプレフィックスを追跡します。

（注）

ルーティングテーブルにプレフィックスがない場合、サービス側 NAT オブジェクトトラッカーは NAT プレフィックスの OMP ルートを削除します。

LAN インターフェイス：LAN インターフェイスが稼働しているかどうかを追跡します。

トラッキング対象の各オブジェクトは、Cisco SD-WAN Manager、デバイス CLI、または CLI アドオンテンプレートで指定された一意の番号によって識別されます。クライアントプロセスは、この番号を使用して特定のオブジェクトを追跡します。

トラッキングプロセスは、トラッキング対象のオブジェクトを定期的にポーリングし、値の変更があれば記録します。トラッキング対象オブジェクトの変更は、すぐに、または指定された遅延後に、対象のクライアントプロセスに通知されます。オブジェクトの値は、アップまたはダウンとして報告されます。

LAN プレフィックスまたは LAN インターフェイスの状態に応じて、OMP を介した NAT ルートアドバタイズメントが追加または削除されます。Cisco SD-WAN Manager でイベントログを表示して、どの NAT ルートアドバタイズメントが追加または削除されたかを監視できます。

Cisco SD-WAN Manager でのオブジェクトトラッカーイベントログの監視の詳細については、「サービス側 NAT オブジェクトトラッカーの監視」を参照してください。

サービス側の NAT オブジェクトトラッカーは、Cisco SD-WAN Manager、デバイス CLI、または CLI アドオンテンプレートを使用して設定できます。

track キーワードが ip nat inside source コマンドに追加します。

track キーワードの詳細については、Cisco Catalyst SD-WAN Qualified Command Reference の ip nat inside source コマンドを参照してください。

サービス側 NAT オブジェクトトラッカーの利点

オブジェクトトラッカーの状態に基づいて、OMP を介して NAT ルートアドバタイズメントを追加または削除します。
追加または削除された NAT ルート広告を監視するための Cisco SD-WAN Manager イベントログ通知を提供します。
LAN プレフィックスと LAN インターフェイスのオブジェクトトラッカーサポートを提供します。

サービス側 NAT オブジェクトトラッカーの制限事項

サービス側スタティック NAT オブジェクトトラッカーは、スタティック NAT 内およびダイナミック NAT 内でのみサポートされます。
外部スタティック NAT または NAT DIA はサポートされていません。
外部変換とポートフォワーディングはサポートされていません。
Cisco SD-WAN Manager は、IP ルートの追跡をサポートしていません。デバイス CLI テンプレートまたは CLI アドオンテンプレートを使用して、IP ルートをトラッキングできます。Cisco SD-WAN Manager を使用して、インターフェイスをオブジェクトとしてトラッキングできます。

サービス側 NAT オブジェクトトラッカーの使用例

LAN インターフェイスまたは LAN プレフィックスがダウンすると、サービス側 NAT オブジェクトトラッカーが自動的にダウンします。Cisco SD-WAN Manager でイベントログを表示して、どの NAT ルートアドバタイズメントが追加または削除されたかを監視できます。

サービス側 NAT オブジェクトトラッカーを設定するためのワークフロー

Cisco Catalyst SD-WAN コントローラの一元化されたデータポリシーを構成して、NAT プール番号とアクションを含めます。

サービス側 NAT オブジェクトトラッカーの一元化されたデータポリシーの構成と適用の詳細については、「サービス側 NAT の一元化されたデータポリシーの作成と適用」を参照してください。
Cisco System テンプレートを使用して、サービス側 NAT オブジェクトトラッカーまたはトラッカーグループを設定します。

サービス側 NAT オブジェクトトラッカーの設定の詳細については、「サービス側 NAT オブジェクトトラッカーの設定」を参照してください。
（オプション）サービス側ダイナミック NAT を設定します。

サービス側ダイナミック NAT の設定の詳細については、「サービス側ダイナミック NAT の設定」を参照してください。
サービス側スタティック NAT の NAT プールを設定します。

サービス側スタティック NAT の NAT プールの設定の詳細については、「サービス側スタティック NAT の設定」を参照してください。
Cisco VPN テンプレートを使用して、サービス側 NAT オブジェクトトラッカーをスタティック内部 NAT プールに関連付けます。

Cisco VPN テンプレートを使用してサービス側 NAT オブジェクトトラッカーをスタティック内部 NAT プールに関連付ける方法の詳細については、「Cisco VPN テンプレートを使用したサービス側 NAT オブジェクトトラッカーと NAT プールの関連付け」を参照してください。

サービス側 NAT オブジェクトトラッカーの設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。
[Feature Templates] をクリックします。
[Cisco System] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。

[Tracker] をクリックし、[New Object Tracker] を選択して、サービス側の NAT オブジェクトトラッカーパラメータを設定します。

表 17. サービス側 NAT オブジェクトトラッカーパラメータ
フィールド	説明
[Tracker Type]	[Interface] または [Route] を選択して、LAN インターフェイスまたは LAN プレフィックスのオブジェクトトラッキングを設定します。
オブジェクト ID	オブジェクト ID 番号を入力します。オブジェクト番号はトラッキング対象のオブジェクトを識別し、1 ～ 1000 の範囲で指定できます。
インターフェイス（Interface）	グローバルインターフェイスまたはデバイス固有のインターフェイスを選択します。

[Add] をクリックします。
[更新（Update）] をクリックします。

（オプション）トラッカーグループを作成するには、[Tracker] を選択し、[Tracker Groups] > [New Object Tracker Groups]をクリックして、サービス側 NAT オブジェクトトラッカーを設定します。

（注）

トラッカーグループを作成するために 2 つのトラッカーを作成したことを確認してください。

表 18. サービス側 NAT オブジェクトトラッカーグループパラメータ
フィールド	説明
[Group Tracker ID]	トラッカーグループの名前を入力します。
[Tracker ID]	グループ化するオブジェクトトラッカーの名前を入力します。
基準	[AND] または [OR] を選択します。 [AND] 操作を選択した場合、トラッカーグループの関連付けられた両方のトラッカーがルートがアクティブであると報告した場合、トランスポートインターフェイスのステータスはアクティブであると報告されます。 [OR] は、トラッカーグループの関連付けられたトラッカーのいずれかがルートがアクティブであると報告した場合に、トランスポートインターフェイスのステータスがアクティブとして報告されることを保証します。

[Add] をクリックします。
[更新（Update）] をクリックします。

Cisco VPN テンプレートを使用して、サービス側 NAT オブジェクトトラッカーを NAT プールに関連付ける

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。
[Feature Templates] をクリックします。
[Cisco VPN] テンプレートを編集するには、テンプレート名の横にある […] をクリックし、[Edit] を選択します。
ダイナミックまたはスタティック NAT の NAT プールを設定します。

ダイナミックまたはスタティック NAT の NAT プールの設定に関する詳細については、「サービス側スタティック NAT の設定」を参照してください。
[NAT Direction] フィールドで、スコープを [Default] から [Global] に変更し、ドロップダウンリストから [Inside] を選択します。
[Add Object/Object Group Tracker] フィールドに、トラッキングするインターフェイスまたはルートのオブジェクト ID 番号を入力します。
[Add] をクリックします。
[更新（Update）] をクリックします。

CLI を使用したサービス側 NAT オブジェクトトラッカーの設定

次の例に示すように、NAT プール番号とアクションを含む Cisco Catalyst SD-WAN コントローラの一元化されたデータポリシーを構成します。

policy
 data-policy ssn_policy
  vpn-list ssn_vpn_list
   sequence 10
    match
     destination-ip 192.168.21.0/24 
!
    action accept
     count counter_dst_192
     nat pool 1
    !
   !
   sequence 20
    match
     destination-ip 10.11.11.0/27  
  !
    action accept
     count counter_dst_10   
     nat pool 2
    !
   !
   sequence 101
    match
     source-ip 192.168.11.0/24   
     protocol  1
    !
    action accept
     nat pool 1
    !
   !
   default-action accept
  !
 !
 lists
  vpn-list ssn_vpn_list
   vpn 1
  !
  site-list ssn_site_list
   site-id 500
  !
 !
!
apply-policy
 site-list ssn_site_list
  data-policy ssn_policy all
 !
!

トラッカー名とトラッカー ID を使用して内部スタティック NAT を設定します。
```
Device(config)# ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 
match-in-vrf track 1
```
プレフィックス長を使用して内部スタティック NAT プールを設定します。
```
Device(config)# ip nat pool natpool2 10.11.11.0 10.11.11.25 prefix-length 27 
```
オーバーロードモード、トラッカー名、およびトラッカー ID を使用して、内部スタティック NAT グローバルプールを設定します。
```
Device(config)# ip nat inside source list global-list pool natpool2 vrf 1 match-in-vrf overload track 1
```

IP ルートの到達可能性をトラッキングします。

Device(config)# track 1 ip route 192.168.11.0 255.255.255.0 reachability

Device(config-track)# ip vrf 1

（注）

ルーティングテーブルエントリがルートに存在し、そのルートがアクセス可能である場合、トラッキング対象オブジェクトはアップ状態にあると見なされます

インターフェイスのラインプロトコルの状態を追跡します。
```
Device(confige)# track 1 interface GigabitEthernet5.101 line-protocol
```

CLI アドオンテンプレートを使用したサービス側 NAT オブジェクトトラッカーの設定

はじめる前に

新しい CLI アドオンテンプレートを作成するか、既存の CLI アドオンテンプレートを編集します。

CLI Add-on Feature Templates の詳細については、「CLI Add-on Feature Templates」を参照してください。

CLI アドオンテンプレートを使用したサービス側 NAT オブジェクトトラッカーの設定

Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。
[Feature Templates] をクリックします。
[Add template] をクリックします。
デバイスリストからデバイスを選択します。
[OTHER TEMPLATES] の [CLI Add-On Template] をクリックします。

[CLI Add-On Template] エリアで、次の例に示すように設定を入力します。

track 1 ip route 192.168.11.0 255.255.255.0 reachability 
ip vrf 1
ip nat pool natpool1 10.11.11.1 10.11.11.30 prefix-length 24
ip nat inside source static 192.168.11.10 10.11.11.10 vrf 1 match-in-vrf pool natpool1 track 1
ip nat inside source list global-list pool natpool1 vrf 1 match-in-vrf overload track 1

[Save（保存）] をクリックします。

作成した CLI アドオンテンプレートが [CLI Configuration] に表示されます。
CLI アドオンテンプレートをデバイスにアタッチします。

サービス側 NAT オブジェクトトラッカーの設定の確認

次のセクションでは、サービス側 NAT オブジェクトトラッカーの設定を確認する方法について説明します。

サービス側 NAT オブジェクトトラッカーの状態の確認

次に、show track object-id コマンドの出力例を示します。

Device# show track 1
 Track 1
  Interface GigabitEthernet5.101 line-protocol
  Line protocol is Up
    1 change, last change 01:38:57
  Tracked by:
    NAT 0

この出力では、Line protocol is Up (OMP) は、サービス側オブジェクトトラッカーが稼働していることを示しています。

OMP を介した NAT ルートがルーティングテーブルに追加されていることを確認します。

次に、show ip route vrf コマンドの出力例を示します。

Device# show ip route vrf 1
Routing Table: 1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected
Gateway of last resort is not set
      10.0.0.0/24 is subnetted, 3 subnets
m        10.11.11.1 [251/0] via 192.168.11.10, 04:03:35, Sdwan-system-intf
m        10.11.11.6 [251/0] via 192.168.13.10, 04:03:35, Sdwan-system-intf
m        10.11.11.30 [251/0] via 192.168.11.21, 04:03:35, Sdwan-system-intf

この出力では、Ni - NAT 内部が設定されています。

この出力では、m で始まる行は、NAT ルートがルーティングテーブルに追加されたことを示しています。

サービス側 NAT オブジェクトトラッカーのモニタリング

Cisco SD-WAN Manager 内で追加または削除された NAT ルートとインターフェイスを監視できます。

Cisco SD-WAN Manager のメニューから[Monitor] > [Logs]の順に選択します。
[イベント（Events）] をクリックします。

Cisco Catalyst SD-WAN NAT コンフィギュレーション ガイド、Cisco IOS XE Catalyst SD-WAN リリース 17.x

偏向のない言語

翻訳について

検索結果

章のタイトル： NAT の設定

NAT の設定

NAT の設定

NAT ダイレクト インターネット アクセス

NAT DIA に関する情報

NAT DIA フロースティッキネス

インターフェイス上の複数の NAT DIA 方式

NAT DIA の利点

NAT DIA の制限事項

NAT DIA の設定

NAT DIA を有効にするためのワークフロー

NAT プールとループバック インターフェイスの設定

設定グループを使用した NAT DIA の設定

ポリシーグループを使用した一致パラメータとアクションパラメータの設定

機能テンプレートを使用した NAT DIA の設定

一元管理型データポリシーを使用した一致パラメータとアクションパラメータの設定

CLI を使用した複数の NAT タイプの設定

トラフィックデータポリシーの設定

NAT DIA ルートの設定

Cisco VPN テンプレートを使用した NAT DIA ルートの設定

CLI を使用した NAT DIA ルートの設定

NAT DIA ルート設定の確認

OMP を介した NAT ルートのアドバタイズ

OMP を介した NAT ルートのアドバタイズに関する情報

CLI を使用した OMP による NAT ルートのアドバタイズの有効化

CLI を使用した OMP による NAT ルートのアドバタイズの確認

IPv6 トンネルを介した NAT DIA IPv4

IPv6 トンネルを介した NAT DIA IPv4 に関する情報

IPv6 トンネルを介した NAT DIA IPv4 の利点

IPv6 トンネルを介した NAT DIA IPv4 の制限事項

IPv6 トンネルを介した NAT DIA IPv4 の使用例

IPv6 トンネルを介して NAT DIA IPv4 を設定するためのワークフロー

Cisco SD-WAN Manager の設定

CLI 設定

CLI を使用した IPv6 トンネル経由の NAT DIA IPv4 の設定

CLI を使用した IPv6 トンネル経由の NAT DIA IPv4 の設定（Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a リリース以降）

CLI アドオンテンプレートを使用した IPv6 トンネルによる NAT DIA IPv4 の設定

はじめる前に

CLI アドオンテンプレートを使用した IPv6 トンネルによる NAT DIA IPv4 の設定

IPv6 トンネル設定を介した NAT DIA IPv4 の確認

NAT DIA ルートエントリの確認

NAT DIA ルーティング テーブル エントリの確認

IP 変換の表示

IP NAT グローバル統計の確認

NAT グローバル統計のクリア

NAT の統計情報の表示

NAT グローバルカウンタの確認：データパスマップ

NAT グローバルカウンタの確認：セッションダンプ

IPv6 トンネルを介した NAT DIA IPv4 の設定例

NAT DIA を使用したダイヤラインターフェイス

NAT DIA でのダイヤラインターフェイスの使用に関する情報

NAT DIA の TCP 最大セグメントサイズの調整

NAT DIA でダイヤラインターフェイスを使用する利点

NAT DIA ダイヤラインターフェイスのワークフロー

NAT DIA でダイヤラインターフェイスを使用する場合の制限事項

CLI テンプレートを使用した NAT DIA でダイヤラインターフェイスの設定

ダイヤラインターフェイス設定の確認

NAT DIA IP ルート設定の確認

IP アドレスの変換の確認

PPPoE セッションの表示

PPP ネゴシエーション情報の確認

NAT DIA でダイヤラインターフェイスを使用するための設定例

HSRP による NAT DIA スタティック NAT マッピング

HSRP によるスタティック NAT マッピングについて

ARP でのアドレス解決

Gratuitous ARP

HSRP によるスタティック NAT マッピング

HSRP によるスタティック NAT マッピングの利点

HSRP によるスタティック NAT マッピングの制約事項

CLI テンプレートを使用した HSRP によるスタティック NAT マッピングの設定

HSRP を使用したスタティック NAT マッピングの確認

HSRP グループ名に関連付けられた IP アドレスの表示

変換された IP アドレスの表示

HSRP スタンバイルータの情報の表示

仮想 MAC アドレスを使用して ARP テーブルの NAT IP アドレスを表示する

NAT DIA を使用したアプリケーションレベルのゲートウェイ

Cisco Catalyst SD-WAN NAT コンフィギュレーションガイド、Cisco IOS XE Catalyst SD-WAN リリース 17.x

NAT ダイレクトインターネットアクセス

NAT プールとループバックインターフェイスの設定

NAT DIA ルーティングテーブルエントリの確認

ループバックインターフェイスを使用した NAT DIA によるポートフォワーディング

ループバックインターフェイスを使用したポートフォワーディングの変換の確認

CLI テンプレートを使用した DIA インターフェイスオーバーロードの送信元ポート保持の設定