NAT66 の設定


(注)  

簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a および Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。Cisco vManage から Cisco Catalyst SD-WAN Manager への変更、Cisco vAnalytics から Cisco Catalyst SD-WAN Analytics への変更、Cisco vBond から Cisco Catalyst SD-WAN Validator への変更、Cisco vSmart から Cisco Catalyst SD-WAN コントローラへの変更、および Cisco コントローラから Cisco Catalyst SD-WAN 制御コンポーネントへの変更。すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名前への移行時は、ソフトウェア製品のユーザーインターフェイス更新への段階的なアプローチにより、一連のドキュメントにある程度の不一致が含まれる可能性があります。

NAT66 の設定

表 1. 機能の履歴

機能名

リリース情報

説明
NAT66 DIA のサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a

Cisco vManage リリース 20.7.1

IPv6 から IPv6 へのネットワークアドレス変換(NAT66)ダイレクト インターネット アクセス(DIA)機能により、IPv6 デバイスは、IPv6 パケットヘッダー内の内部送信元アドレスプレフィックスを外部送信元アドレスプレフィックスに変換できます。

NAT66 DIA を使用すると、ローカル IPv6 インターネットトラフィックを、トランスポート VPN(VPN 0)を介してサービス側 VPN(VPN 1)からインターネットに直接送信することができます。

NAT66 DIA は、Cisco SD-WAN Manager、CLI、またはデバイス CLI テンプレートを使用して設定できます。

この機能では、新しい CLI コマンドが導入されています。新しい NAT コマンドに関する詳細については、『Cisco IOS XE Catalyst SD-WAN Qualified Command Reference Guide』を参照してください。

NAT66 DIA の複数の WAN リンクのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a

Cisco Catalyst SD-WAN Manager リリース 20.12.1

複数の WAN リンクを使用してローカル IPv6 トラフィックをインターネットに直接出力するように NAT66 を設定できます。
SLAAC を使用した WAN インターフェイスでの IPv6 アドレスの自動設定

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a

Cisco Catalyst SD-WAN Manager リリース 20.13.1

 ルータアドバタイズメント(RA)プレフィックスを使用して、NAT66 プレフィックス変換用の IPv6 アドレスを自動的に割り当てることで、ステートレスアドレス自動設定(SLAAC)を設定できます。
フロースティッキネスのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a

Cisco Catalyst SD-WAN Manager リリース 20.13.1

 フロースティッキネスは、NAT パスのフローレベルの状態を記録し、NAT パスの変更によってアプリケーションフローがリセットされないようにします。ディープ パケット インスペクション(DPI)で最初のパケット一致が失敗すると、エッジルータは、この不明なアプリケーションの最初のフローが元のパスに固定されるようにし、いくつかのパケットの後に DPI エンジンによってパケット一致が認識されると、ポリシーをバイパスしてパスを変更します。
NAT66 DIA での一元管理型データポリシーのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a

Cisco Catalyst SD-WAN Manager リリース 20.13.1

nat use-vpn 0 コマンドを使用して一元管理型データポリシーを設定できます。これにより、ポリシー一致基準に基づいて、送信元 IP が変換された後に、一致するトラフィックが VPN 0 に送信されます。

この機能は、サービスおよびトンネルからサポートされます。フォールバックオプションは、DIA ルートが使用できない場合に、トラフィックがルーティングにフォールバックし、オーバーレイパスを使用するようにします。

NAT66 DIA ルートの再配布のサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a

Cisco Catalyst SD-WAN Manager リリース 20.14.1

BGP または OSPFv3 プロトコルへの NAT66 DIA ルートの再配布を設定できます。

NAT66 DIA ステータスイベントのサポート。

Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a

Cisco Catalyst SD-WAN Manager リリース 20.14.1

Cisco SD-WAN Manager ログで NAT DIA ステータスをモニターできます。nat-update と呼ばれる新しいイベントによって、[Events] ページに NAT DIA のステータスが表示されます。

NAT66 DIA による Point-to-Point Protocol(PPP)ダイヤラインターフェイスのサポート

 Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a

Cisco Catalyst SD-WAN Manager リリース 20.14.1

この機能により、PPP over Ethernet(PPPoE)と PPP over Asynchronous Transfer Mode(PPPoA)の 2 種類の PPP ダイヤラインターフェイスのサポートが追加されます。

この機能を使用すると、IPv6 サービスおよびサイトにアクセスするための PPP ダイヤラインターフェイスを設定できます。

NAT66 DIA に関する情報

IPv6 から IPv6 へのネットワークプレフィックス変換(NPTv6)は、IPv6 アドレスプレフィックスを別の IPv6 アドレスプレフィックスに変換するメカニズムです。使用されるアドレス変換方式は、IPv6 から IPv6 へのネットワークアドレス変換(NAT66)です。NAT66 機能をサポートするデバイスは、NAT66 トランスレータと呼ばれます。NAT66 トランスレータは、送信元と宛先のアドレス変換機能を提供します。


(注)  

NPTv6 機能は、Cisco IOS XE Catalyst SD-WAN リリース 17.7.1aCisco Catalyst SD-WAN に導入される前に、Cisco IOS XE プラットフォームですでに利用可能でした。詳細については、IP Addressing: NAT Configuration Guideを参照してください。

NAT66 DIA を使用すると、IPv6 環境であるネットワークから別のネットワークにパケットをリダイレクトまたは転送できます。NAT66 DIA は、内部ネットワークと外部ネットワーク内のアドレス間に 1:1 の関係を持つアルゴリズム変換機能を提供します。異なるネットワークを相互接続し、マルチホーミング、負荷分散、およびピアツーピアネットワークをサポートできます。

NAT66 DIA は、64 ビットを超えるプレフィックスとスタティック IPv6 ホスト間の変換をサポートします。IPv6 アドレスのプレフィックス部分のみが変換されます。


(注)  

IPv6アドレスで Cisco SD-WAN Manager にアクセスする場合は、URL にポート番号 8443 を指定してください。

例:

https://[cisco-vmanage IPv6-address]:8443/

NAT66 DIA フローのスティッキネス

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a

NAT66 DIA がアプリケーション一致の一元管理型データポリシーで設定されている場合、パスの変更により、NAT66 DIA ポリシーの対象となるアプリケーションフローがリセットされる可能性があります。たとえば、アプリケーションリストに一致するデータポリシーがあり、アクションが NAT66 DIA である場合、最初のいくつかのパケットはディープ パケット インスペクション(DPI)によって識別されない可能性があります。したがって、NAT66 DIA アプリケーションポリシーに一致しないパケットは、Cisco Catalyst SD-WAN オーバーレイパスへのルーティングに従います。フローが識別されると、フローのその後のパケットは、データポリシーで定義されている NAT66 DIA パスを使用します。このパス変更により、フローがリセットされます。これは、パスが異なると、サーバーへのクライアント送信元またはポートの組み合わせが異なることを意味し、サーバーは不明な TCP フローをリセットします。

NAT66 DIA フローのスティッキネス機能は、NAT66 パスのフローレベル状態を記録します。フローの最初のパケットが非 NAT66 の場合、このフローの残りのパケットも非 NAT66 パスを使用します。最初のパケットフローが NAT66 DIA パスを経由する場合、このフローの残りのパケットも NAT66 DIA パスを使用します。これは、NAT66 DIA データポリシーではデフォルトで有効になっています。

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、NAT66 DIA フローのスティッキネス機能はデフォルトで有効になっています。フロースティッキネスを無効にするには、CLI アドオンテンプレートを使用してローカライズされたポリシーで flow-stickiness-disable コマンドを使用します。

NAT66 DIA の仕組み

  1. ブランチサイトの IPv6 クライアントは、ネットワークのトランスポート側(VPN 0)にある Cisco SD-WAN Manager データセンターにアクセスしようとします。

  2. Cisco IOS XE Catalyst SD-WAN デバイス は、IPv6 アドレスをサービス VPN(VPN 1)から、ネットワークの WAN 側であるネクストホップ トランスポート VPN(VPN 0)にルーティングします。

  3. NAT66 トランスレータは、IPv6 から IPv6 へのプレフィックス変換を実行します。Dynamic Host Configuration Protocol バージョン 6(DHCPv6)では、プレフィックス委任のために IPv6 プレフィックス範囲にソース IPv6 プレフィックスが必要です。

    NAT66 変換は、トランスポート VPN インターフェイスで発生します。

    DHCPv6 プレフィックス委任により、ISP は顧客のネットワーク内で使用する顧客にプレフィックスを割り当てるプロセスを自動化できます。プレフィックス委任は、DHCPv6 プレフィックス委任オプションを使用して、プロバイダー エッジ(PE)デバイスと宅内装置(CPE)の間で行われます。ISP が顧客にプレフィックスを委任した後、顧客はネットワークをさらに分割し、顧客のネットワーク内のリンクにプレフィックスを割り当てることができます。

  4. Cisco SD-WAN Manager からトラフィックが返されると、Cisco IOS XE Catalyst SD-WAN デバイス は DIA ルートテーブルで NAT66 エントリを検索し、パケットをクライアントの IPv6 アドレスに転送します。

ステートレス DHCP を使用した NAT66 DIA の設定

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、ルータアドバタイズメント(RA)プレフィックスでステートレスアドレス自動設定(SLAAC)を使用して、WAN インターフェイスで IPv6 アドレスを自動設定できます。ステートレス DHCPv6 は、SLAAC と DHCPv6 の組み合わせです。デバイスは O ビットが設定された RA を送信しますが、M ビットは設定しません。DHCPv6 サーバーがクライアント アドレス バインディングを追跡する必要がないため、これはステートレス DHCPv6 と呼ばれます。RA プレフィックスは、サービス側トラフィックの IPv6 DIA の NAT66 で使用できます。設定すると、同じ送信元プレフィックスを異なる外部インターフェイスと照合できます。

開始する前に、DHCPv6 と SLAAC が設定されていることを確認します。詳細については、「Information About DHCPv6」を参照してください。


(注)  
SLAAC インターフェイスで使用される RA プレフィックスが、スタティック NAT66 マッピングルールで使用される外部プレフィックスと異なることを確認します。

マッピングルールが設定され、フローが一致すると、トラフィックは内部から外部に流れます。NAT66 は、サービス側ホストと RA プレフィックスを共有するためのバインドテーブルを維持します。サービス側インターフェイスからの IPv6 パケットが DIA パスを通過する場合、RA プレフィックスを使用して元の送信元アドレスと変換された送信元アドレスに対してバインドが作成されます。パケットを元に戻す場合は、同じバインドが使用されます。NAT66 は、指定された時間、バインドエントリを維持します。デフォルトのタイムアウト値は 5 分です。

インターフェイスのプレフィックス変換ルールは、パケットがそのインターフェイスを通過する場合にのみ有効であり、RA でプレフィックス変換ルールを設定した場合は出力インターフェイスを指定する必要はありません。

[Translated Source Prefix] をシステムのデフォルトとして設定すると、SLAAC 機能によって自動的に RA プレフィックス(外部)が提供されます。それ以外の場合は、変換ルールで外部プレフィックスを設定する必要があります。

Cisco Catalyst SD-WAN Manager または CLI を使用して、ステートレス DHCP を使用した NAT66 DIA を設定できます。

一元管理型データポリシーを使用した NAT66 DIA

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.13.1aCisco Catalyst SD-WAN Manager リリース 20.13.1

nat use-vpn 0 コマンドを使用すると、Cisco IOS XE Catalyst SD-WAN デバイスで一元管理型データポリシーを使用して NAT66 DIA ルートを設定できます。これにより、データトラフィックは、トランスポート VPN にあるオーバーレイトンネルに入る前に NAT 処理されます。ポリシー一致基準に基づいて、送信元 IP アドレスが変換された後、一致する IPv6 トラフィックが DIA 回線を介して転送されます。IPv6 トラフィックは、送信元 IPv6 プレフィックスまたはプレフィックスリストか、宛先 IPv6 プレフィックスまたはプレフィックスリストの一元管理型ポリシー一致基準に基づいて、DIA 回線を介して宛先アドレスの NAT66 の後に転送されます。

デバイスのサービス側で NAT66 を設定するには、デバイスのサービス VPN 内に NAT66 インターフェイスを設定してから、Cisco Catalyst SD-WAN コントローラで一元管理型データポリシーを設定します。このポリシーは、必要なプレフィックスを持つデータトラフィックをサービス側 NAT に転送します。

ネットワークのサービス側に出入りするデータの NAT を設定できます。サービス側 NAT は、構成された一元化されたデータポリシーと一致する、内部および外部ホストアドレスのデータトラフィックを変換します。

DIA ルートが使用できない場合、フォールバックオプションが設定されていないと、トラフィックはドロップされます。NAT66 フォールバック機能は、DIA ルートに送信されるすべてのトラフィックが必要に応じて代替ルートを使用できるよう、ルーティングベースのメカニズムを提供します。この機能は、サービス側とトンネル側の両方でサポートされます。

CLI を使用した Cisco SD-WAN コントローラ でのデータポリシーによる NAT66 DIA の設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.13.1aCisco Catalyst SD-WAN Manager リリース 20.13.1

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。

CLI を使用した NAT66 DIA の設定

Cisco SD-WAN コントローラ でデータポリシーによって NAT66 DIA を設定する例を次に示します。 


Device# policy
 data-policy policy-name
 vpn-list vpn_list
 sequence number
 match
 source-ipv6 ipv6-address
 !
 action accept
 nat use-vpn 0
 nat fallback
 set
 local-tloc-color lte
Cisco Catalyst SD-WAN Manager を使用したデータポリシーによる NAT66 DIA の設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a および Cisco Catalyst SD-WAN Manager リリース 20.13.1

一元管理型データポリシーを使用して、Cisco SD-WAN Manager でフォールバックとともに NAT66 DIA の IPv6 一致条件とアクション条件を設定できます。

  1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Policies] の順に選択します。

  2. [Custom] オプションのドロップダウンの [Centralized Policy] で [Traffic Data] を選択します。

  3. [Add Policy] ドロップダウンから、[Create New] をクリックします。

  4. [シーケンスタイプ(Sequence Type)] をクリックし、[カスタム(Custom)] を選択します。

  5. [(+)シーケンスルール(Sequence Rule)] をクリックして、新規のシーケンスルールを作成します。

  6. [Protocol] ドロップダウンリストで、[IPv6] を選択します。

  7. マッチ条件を追加したら、[アクション(Actions)]、[承認(Accept)] の順にクリックします。

  8. [NAT VPN] をクリックし、[フォールバック(Fallback)] チェックボックスをオンにします。

  9. [アクションの保存と照合(Save and Match Actions)] をクリックします。

  10. [データポリシーの保存(Save Data Policy)] をクリックします。

Cisco SD-WAN Manager を使用して NAT フォールバックを有効にするには、次の手順を実行してデータポリシーを作成および設定します。

  • 既存の一元管理型ポリシーを編集し、ポリシーをインポートします。

    1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Policies] の順に選択します。

    2. [Custom] オプションのドロップダウンの [Centralized Policy] で [Traffic Data] を選択します。

    3. [Add Policy] ドロップダウンから、[Create New] をクリックします。

    4. [シーケンスタイプ(Sequence Type)] をクリックし、[カスタム(Custom)] を選択します。

    5. [(+)シーケンスルール(Sequence Rule)] をクリックして、新規のシーケンスルールを作成します。

    6. マッチ条件を追加したら、[アクション(Actions)]、[承認(Accept)] の順にクリックします。

    7. [NAT VPN] をクリックし、[フォールバック(Fallback)] チェックボックスをオンにします。

    8. [アクションの保存と照合(Save and Match Actions)] をクリックします。

    9. [データポリシーの保存(Save Data Policy)] をクリックします。

ポリシーグループを使用したデータポリシーによる NAT66 DIA の設定

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、設定グループを使用して、Cisco SD-WAN Manager でステートレス DHCP を使用して NAT66 DIA を設定できます。

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Policy Groups] の順に選択します。

  2. [Application priority & SLA policy] をクリックして、ポリシーを作成します。

    既存のポリシーを編集するには、[Action] の下にあるアプリケーション優先順位と SLA ポリシーの横にある省略記号アイコン([...])をクリックし、[Edit] をクリックします。

  3. [Internet Offload Traffic] で、[Application List] ドロップダウンリストからアプリケーションを選択し、[Fallback to Routing] オプションをオンにして、ダイレクト インターネット アクセスを設定します。

  4. [Apply Policy] で、方向、VPN、およびインターフェイスを設定します。

  5. [Save] をクリックします。

NAT66 DIA の利点

  • ローカル IPv6 インターネット トラフィックをサポートし、トランスポート VPN を介してサービス側 VPN からインターネットに直接出ます

  • IPv6 環境で、あるネットワークから別のネットワークにパケットをリダイレクトまたは転送できます

  • 優れたアプリケーション パフォーマンスを実現

  • 帯域幅の消費と遅延の削減に貢献

  • 帯域幅コストの削減に貢献

  • リモートサイトに DIA を提供することで、ブランチオフィスのユーザーエクスペリエンスを向上させます。

  • Cisco IOS XE Catalyst SD-WAN リリース 17.14.x から、セルラーおよびダイヤラインターフェイスをサポートします。

NAT66 DIA の制限事項

  • ファイアウォール、AppNav-XE、およびマルチキャストはサポートされていません。

    Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a から、NAT66 ではファイアウォールを使用できます。

  • NAT66 DIA トラフィックフローのみがサポートされます。サービス側のトラフィックフローはサポートされていません。

  • 一元化されたデータポリシーは、NAT66 DIA ではサポートされていません。

    Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、一元管理型データポリシーは NAT66 DIA でサポートされます。

  • NAT64 と NAT66 の組み合わせは、同じインターフェイスではサポートされていません。

  • 各 VRF でサポートされるプレフィックス変換は 1 つだけです。

    Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a から、VRF ごとに複数のプレフィックス変換がサポートされます。

  • NAT66 DIA での複数の WAN リンクの使用はサポートされていません。

    Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a から、複数の WAN リンクが NAT66 DIA でサポートされます。

  • サービス IPv6 ルーティングプロトコルを使用した NAT66 DIA ルートの再配布はサポートされていません。

    Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、BGP または OSPFv3 プロトコルへの NAT66 DIA ルート再配布を設定できます。

  • リアルタイムの運用アプリケーション プログラミング インターフェイス(API)はサポートされていません。

  • NAT66 DIA ルート操作を成功させるには、VPN 0 にデフォルトルートを含める必要があります。

  • 物理イーサネット サブインターフェイスのみがサポートされています。

  • ルータアドバタイズメント(RA)のプレフィックスは、NAT66 プレフィックス変換ではサポートされていません。

  • マルチテナンシーリソースの制限はサポートされていません。

  • NAT66 を使用した IPv6 TLOC 拡張はサポートされていません。

NAT66 DIA と DIA ルートの設定

NAT66 DIA および NAT66 DIA ルートを有効にするためのワークフロー

  1. IPv6 用の [Cisco VPN Interface Ethernet] 機能テンプレートを使用して、NAT66 DIA を有効にします。

    [Cisco VPN Interface Ethernet] テンプレートは、トランスポート(WAN)インターフェイスとして使用されます。

    [Cisco VPN Interface Ethernet] テンプレートを使用して NAT66 DIA を有効にする方法の詳細については、「NAT66 DIA の設定」を参照してください。

  2. サービス側 VPN(VPN 0 以外の VPN)である [Cisco VPN] 機能テンプレートを使用して、NAT66 DIA IPv6 ルートを設定します。

    NAT66 DIA IPv6 ルートの設定の詳細については、「NAT66 DIA ルートの設定」を参照してください。

NAT66 DIA の設定

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。


    (注)  

    Cisco vManage リリース 20.7.x リリースでは、[Feature Templates] のタイトルは [Feature] です。

  3. [Cisco VPN Interface Ethernet] テンプレートを編集するには、. . をクリックし、[Edit] を選択します。

  4. [NAT] をクリックし、[IPv6] を選択します。

  5. [NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更します。

    [On] をクリックして NAT66 を有効にします。

  6. [NAT Selection] フィールドで、[NAT66] を選択します。

  7. [New Static NAT] をクリックします。

  8. [Source Prefix] フィールドで、送信元 IPv6 プレフィックスを指定します。

  9. [Translated Source Prefix] フィールドで、変換された送信元プレフィックスを指定します。

  10. [Source VPN ID] フィールドで、送信元 VPN ID を指定します。

  11. [更新(Update)] をクリックします。

CLI アドオンテンプレートを使用した DHCPv6 プレフィックス委任の有効化

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. [Add template] をクリックします。

  4. [Select Devices] で、テンプレートを作成するデバイスを選択します。

  5. [Select Template] で、[OTHER TEMPLATES] セクションまで下にスクロールし、[CLI Add-On Template] をクリックします。

  6. [Template Name] フィールドに、機能テンプレートの名前を入力します。

  7. [Description] フィールドに機能テンプレートの説明を入力します。

  8. [CLI CONFIGURATION] 領域で、DHCPv6 設定を入力します。 

    interface GigabitEthernet1
ipv6 dhcp client pd prefix-from-provider
ipv6 dhcp client request vendor

  9. [Save(保存)] をクリックします。

    CLI アドオンテンプレートは、[CLI CONFIGURATION] テーブルに表示されます。

  10. CLI アドオン機能テンプレートを使用するには、デバイステンプレートを次のように編集します。

    1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

    2. [Device Template] をクリックします。


      (注)  

      Cisco vManage リリース 20.7.x 以前のリリースでは、[Device Templates] のタイトルは [Device] です。

    3. [. . . をクリックし、[Edit] を選択します。

    4. [Additional Templates] までスクロールダウンし、[CLI Add-On Template] ドロップダウンリストから、以前に作成した CLI アドオン機能テンプレートを選択します。

    5. [更新(Update)] をクリックします。

NAT66 DIA ルートの設定

[Cisco VPN] テンプレートで NAT66 DIA を使用して IPv6 ルートを有効にします。

VPN 1 などのすべてのサービス VPN は、DIA トラフィックのトランスポート VPN(VPN 0)にパケットをルーティングします。

Cisco VPN テンプレートを使用した NAT66 DIA ルートの設定

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。


    (注)  

    Cisco vManage リリース 20.7.x リリースでは、[Feature Templates] のタイトルは [Feature] です。

  3. [Cisco VPN] テンプレートを編集するには、テンプレートの横にある . . をクリックし、[Edit] を選択します。

  4. [IPv6 Route] をクリックします。

  5. [New IPv6 Route] をクリックします。

  6. [Prefix] フィールドに、NAT66 変換の IPv6 プレフィックスを入力します。

    グローバルな内部および外部プレフィックスは、 virtual routing and forwarding(VRF)ごとに一意である必要があります。

    IPv6 プレフィックス委任(PD)プレフィックス長は、/56 以下である必要があります。

    グローバル外部プレフィックスは、VRF ごとに一意である必要があります。

    内部のプレフィックス長と外部のプレフィックス長は同じである必要があります。

    /56 の PD プレフィックスで最大 250 の VRF がサポートされます。

  7. [Gateway] フィールドで、[VPN] をクリックします。

  8. [Enable VPN] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして VPN を有効にします。

  9. [NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[On] をクリックして NAT66 を有効にします。

  10. [更新(Update)] をクリックします。

Cisco Catalyst SD-WAN Manager によるステートレス DHCP を使用した NAT66 DIA の設定

Cisco Catalyst SD-WAN Manager リリース 20.13.1 から、設定グループを使用して、Cisco SD-WAN Manager でステートレス DHCP を使用して NAT66 DIA を設定できます。

  1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

  2. [Add Configuration Group] をクリックして、新しい設定グループを作成するか、[Actions] の下の [Edit] をクリックして既存の設定グループを編集します。

  3. 設定グループを編集するには、横にある [...] をクリックして、 [Edit] を選択します。

  4. [Transport Profile] をクリックします。

  5. [. . .](VPN 機能の横にある)をクリックして、[Add Sub-Feature] を選択します。

  6. ドロップダウンリストからイーサネット インターフェイスを選択します。

  7. [NAT] > [IPv6 Settings] の順にクリックします。

  8. [NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、NAT66 を有効にします。

  9. [NAT66] オプションで、[Add Nat66] をクリックし、[Source Prefix] と [Source VPN ID] を設定します。

  10. [Translated Source] フィールドはシステムのデフォルト値のままにします。

  11. [Egress Interface] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、出力インターフェイスを有効にします。

  12. [Add] をクリックします。

  13. [Save] をクリックします。

機能テンプレートによるステートレス DHCP を使用した NAT66 DIA の設定

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a から、機能テンプレートを使用して、Cisco SD-WAN Manager でステートレス DHCP を使用して NAT66 DIA を設定できます。

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. [Add template] をクリックします。

  4. [Select Devices] で、テンプレートを作成するデバイスを選択します。

  5. [Select Template] で、[VPN] セクションまで下にスクロールし、[Cisco VPN Interface Ethernet] をクリックします。

  6. [Template Name] フィールドに、機能テンプレートの名前を入力します。

  7. [Description] フィールドに機能テンプレートの説明を入力します。

  8. [NAT] > [IPv6] の順にクリックします。

  9. [NAT] ドロップダウンリストで、スコープを [Default] から [Global] に変更します。

  10. NAT を有効にするには、[ON] をクリックします。

  11. [NAT Selection] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[NAT66] を選択します。

  12. [New Static NAT] をクリックします。

  13. [Source Prefix] と [Source VPN ID] を設定します。

  14. [Translated Source Prefix] フィールドはシステムのデフォルト値のままにします。

  15. [Egress Interface] ドロップダウンリストで、スコープを [Default] から [Global] に変更し、[Yes] をクリックします。

  16. [Add] をクリックします。

  17. [Save] をクリックします。

CLI を使用した NAT66 DIA の設定

NAT66 DIA のスタティック NAT プレフィックス変換の設定

interface GigabitEthernet1
 ip address 10.1.15.15 255.0.0.0
 no ip redirects
 load-interval 30
 negotiation auto
 nat66 outside
 ipv6 address 2001:DB8:A1:F::F/64
 no ipv6 redirects
 service-policy output shape_GigabitEthernet1
!
nat66 prefix inside 2001:DB8:380:1::/80 outside 2001:DB8:A1:F:0:1::/80 vrf 1
nat66 prefix inside 2001:DB8:A14:18::/80 outside 2001:DB8:A1:F::/80 vrf 1
nat66 route vrf 1 2001:DB8:A14:19::/64 global
nat66 route vrf 1 2001:DB8:3D0:1::/64 global

CLI でステートレス DHCP を使用した DIA の設定

interface GigabitEthernet1
 nat66 outside
 ip address 10.1.15.15 255.0.0.0
 ipv6 address autoconfig
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ip redirects
 load-interval 30
 negotiation auto
 no ipv6 redirects
 service-policy output shape_GigabitEthernet1
!
nat66 prefix inside 2001:a14:18::/64 outside interface GigabitEthernet1 vrf 1
nat66 prefix inside 2001:a14:18::/64 outside interface GigabitEthernet1

NAT66 DIA の複数リンクの設定

Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a から、NAT66 DIA の複数の出力インターフェイスを設定できます。

次に、GigabitEthernet1 と GigabitEthernet4 の 2 つのインターフェイスを使用して NAT66 DIA を設定する例を示します。

interface GigabitEthernet1
 no shutdown
 ipv6 address 2001:a1:f::f/64
 ipv6 nd ra suppress all
 no mop enabled
 no mop sysid
 negotiation auto
 nat66 outside
!
interface GigabitEthernet4
 no shutdown
 ipv6 address 2001:a0:14::f/64
 ipv6 enable
 ipv6 nd ra suppress all
 no mop enabled
 no mop sysid
 negotiation auto
 nat66 outside
!
nat66 prefix inside 2001:a14:18:0::/64 outside 2001:a1:f::/64 vrf 1 egress-interface GigabitEthernet1
nat66 prefix inside 2001:a14:18:0::/64 outside 2001:a0:14::/64 vrf 1 egress-interface GigabitEthernet4
nat66 prefix inside FC00:1:2:3::/80 outside 3001:a1:5::/80 vrf 100
nat66 route vrf 1 2001:a0:5::/64 global
nat66 route vrf 100 ::/0 global

詳細については、『Cisco IOS XE SD-WAN Qualified Command Reference Guide』の nat66 prefix コマンドを参照してください。

NAT66 DIA の DHCPv6 プレフィックス委任の設定

interface GigabitEthernet1
ip address 10.1.15.15 255.0.0.0
no ip redirects
load-interval 30
negotiation auto
nat66 outside
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
ipv6 nd autoconfig default-route
ipv6 dhcp client pd prefix-from-provider
ipv6 dhcp client request vendor
arp timeout 1200
no mop enabled
no mop sysid
service-policy output shape_GigabitEthernet1
!
nat66 prefix inside 2001:DB8:10:1::/64 outside prefix-from-provider vrf 1
nat66 prefix inside 2001:DB8:100:1::/64 outside prefix-from-provider vrf 100
nat66 prefix inside 2001:DB8:101:1::/64 outside prefix-from-provider vrf 101
nat66 route vrf 1 2001:DB8:A14:19::/64 global
nat66 route vrf 1 2001:DB8:3D0:1::/64 global
nat66 route vrf 100 ::/0 global
nat66 route vrf 101 ::/0 global

NAT66 DIA および DIA ルート設定の確認

NAT66 プレフィックス変換エントリの表示

Device# show nat66 prefix
Prefixes configured: 2
NAT66 Prefixes
Id: 1 Inside 2001:DB8:380:1::/80 Outside 2001:DB8:A1:F:0:1::/80
Id: 2 Inside 22001:DB8:A14:18::/80 Outside 2001:DB8:A1:F::/80

NAT66 DIA ルートの確認

Device# show nat66 route-dia
Total interface NAT66 DIA enabled count [1]
route add [1] addr [2001:DB8:A14:19::] vrfid [2] prefix len [64]
route add [1] addr [2001:DB8:3D0:1::] vrfid [2] prefix len [64]

NAT66 ネイバー探索の表示

Device# show nat66 nd
NAT66 Neighbor Discovery

ND prefix DB:
  2001:DB8:A1:F::/80
  2001:DB8:A1:F:0:1::/80
  2001:DB8:A1:F:1::/64
  2001:DB8:A1:F:2::/64
  2001:DB8:A1:F:3::/64

ipv6 ND entries:
  2001:DB8:A1:F::F
  2001:DB8:A1:F::11

変換されたパケットの NAT66 グローバル統計の確認

Device# show nat66 statistics
NAT66 Statistics

Global Stats:
   Packets translated (In -> Out)
      : 7
   Packets translated (Out -> In)
      : 7

ステートレス DHCP を使用した NAT66 DIA の確認

バインディングエントリを表示するには、次の手順を実行します。
Device# show platform hardware qfp active feature nat66 datapath bind-dump
bind 0xdf612cc0 v6outaddr 2001:A1:F::96 v6addr 2001:A14:18::96 vrfid 3 domain 0 create time 513092 refcnt 0 flags 0x0 mapping 0xdf54ba40 last_use_ts 513186 output_ifhandle 0x1b

内部および外部変換時における各プレフィックスカウンタの NAT66 プラットフォームの表示

Device# show platform hardware qfp active feature nat66 datapath prefix
prefix hasht 0x89628400 max 2048 chunk 0x8c392bb0 hash_salt 719885386
NAT66 hash[1] id(1) len(64) vrf(0) in: 2001:db8:ab01:0000:0000:0000:0000:0000:0000 out: 2001:db8:ab02:0000:0000:0000:0000:0000:0000 in2out: 7 out2in: 7

NAT66 プラットフォーム グローバル カウンタの確認

Device# show platform software nat66 fp active statistics
QFP Stats:          
Interface:           
    Add: 2, Ack: 2, Err: 0 
    Mod: 0, Ack: 0, Err: 0 
    Del: 0, Ack: 0, Err: 0 
Prefix Trans:    
    Add: 5, Ack: 5, Err: 0    
    Mod: 0, Ack: 0, Err: 0  
    Del: 0, Ack: 0, Err: 0  
AOM Stats:      
Interface:  
    Add: 2, Err: 0 
    Mod: 0, Err: 0 
    Del: 0, Err: 0 
    Free: 0, Err: 0    
Prefix Translation:
    Add: 5, Err: 0   
    Mod: 0, Err: 0  
    Del: 0, Err: 0  
    Free: 0, Err: 0 
DB Stats:  
  Interface: 
    Add: 2, Err: 0  
    Mod: 0, Err: 0  
    Del: 0, Err: 0  
  Prefix Translations:  
    Add: 5, Err: 0 
    Mod: 0, Err: 0
    Del: 0, Err: 0  
Message RX Stats:  
  Interface: 
    Add: 2

NAT66 DIA の設定例

以下は、NAT66 DIA のエンドツーエンドの設定例です。

interface GigabitEthernet1
ip address 10.1.15.15 255.0.0.0
no ip redirects
load-interval 30
negotiation auto
nat66 outside
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
ipv6 nd autoconfig default-route
ipv6 dhcp client pd prefix-from-provider
ipv6 dhcp client request vendor
arp timeout 1200
no mop enabled
no mop sysid
service-policy output shape_GigabitEthernet1
!
nat66 prefix inside 2001:DB8:380:1::/80 outside 2001:DB8:A1:F:1::/80 vrf 1
nat66 prefix inside 2001:DB8:A14:18::/80 outside 2001:DB8:A1:F::/80 vrf 1
nat66 prefix inside 2001:DB8:10:1::/64 outside prefix-from-provider vrf 1
nat66 prefix inside 2001:DB8:100:1::/64 outside prefix-from-provider vrf 100
nat66 prefix inside 2001:DB8:101:1::/64 outside prefix-from-provider vrf 101
nat66 route vrf 1 2001:DB8:A14:19::/64 global
nat66 route vrf 1 2001:DB8:3D0:1::/64 global
nat66 route vrf 100 ::/0 global
nat66 route vrf 101 ::/0 global

次は、NAT66 DIA の複数リンクを使用したエンドツーエンドの設定例です。

interface GigabitEthernet3
 no shutdown
 ipv6 address 2001:a1:f::f/64
 ipv6 nd ra suppress all
 no mop enabled
 no mop sysid
 negotiation auto
 nat66 outside
!
interface GigabitEthernet4
 no shutdown
 ipv6 address 2001:a0:14::f/64
 ipv6 enable
 ipv6 nd ra suppress all
 no mop enabled
 no mop sysid
 negotiation auto
 nat66 outside
!
nat66 prefix inside 2001:a14:18:0::/64 outside 2001:a1:f::/64 vrf 1 egress-interface GigabitEthernet3
nat66 prefix inside 2001:a14:18:0::/64 outside 2001:a0:14::/64 vrf 1 egress-interface GigabitEthernet4
nat66 prefix inside FC00:1:2:3::/80 outside 3001:a1:5::/80 vrf 100
nat66 route vrf 1 2001:a0:5::/64 global
nat66 route vrf 100 ::/0 global

NAT66 DIA ルート再配布

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

NAT66 ルート再配布に関する情報

ルート再配布は、異なるルーティングプロトコルを実行している複数のドメイン間でルーティング情報を共有します。NAT66 DIA ルート再配布を設定すると、変換された IPv6 アドレスの Open Shortest Path First(OSPFv3)またはボーダー ゲートウェイ プロトコル(BGP)への再配布が有効になります。

リモートサイトからのトラフィックがオーバーレイネットワークまたはトンネルを通過するとき、NAT66 外部アドレス変換サービスはリモートホストの送信元 IP アドレス(外部ホスト)を変換します。変換は、トラフィックがネットワークの LAN(VPN1)側に送信される前に行われます。ルート再配布が設定されている場合、NAT 外部プールアドレスまたはルートは、OSPFv3 または BGP プロトコルを介してネットワークの LAN 側に再配布されます。そのため、あるネットワークの内部ホストは、異なるルーティングプロトコルを実行している別のネットワークのリモートホストに到達するためのパスを認識します。

NAT66 ルート再配布 は、ローカルに学習、またはルーティングピアから学習した次のタイプのルートに適用されます。

  • BGP

  • OSPFv3

CLI ベースの設定グループまたは機能テンプレートを使用して NAT66 DIA ルート再配布を設定できます。

機能テンプレートを使用した NAT66 DIA ルート再配布の設定

Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、Cisco SD-WAN Manager の機能テンプレートを使用して、BGP または OSPFv3 プロトコルへの NAT66 DIA ルート再配布を設定できます。

機能テンプレートを使用した BGP への NAT66 DIA ルート再配布の設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. [Add template] をクリックします。

  4. [Select Devices] で、テンプレートを作成するデバイスを選択します。

  5. [Select Template] で、[OTHER TEMPLATES] セクションまで下にスクロールし、[Cisco BGP] をクリックします。

  6. [Template Name] フィールドに、機能テンプレートの名前を入力します。

  7. [Description] フィールドに機能テンプレートの説明を入力します。

  8. [UNICAST ADDRESS FAMILY] をクリックします。

  9. [IPv6] をクリックします。

  10. [New Redistribute] をクリックします。

  11. [Protocol] ドロップダウンリストで [NAT] を選択します。

  12. [Add] をクリックします。

  13. [Save] をクリックします。

機能テンプレートを使用した OSPFv3 への NAT66 DIA ルート再配布の設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. [Add template] をクリックします。

  4. [Select Devices] で、テンプレートを作成するデバイスを選択します。

  5. [Select Template] で、[OTHER TEMPLATES] セクションまで下にスクロールし、[Cisco OSPFv3] をクリックします。

  6. [Template Name] フィールドに、機能テンプレートの名前を入力します。

  7. [Description] フィールドに機能テンプレートの説明を入力します。

  8. [IPv6] をクリックします。

  9. [Redistribute] タブで、[New Redistribute] をクリックします。

  10. [Protocol] ドロップダウンリストで [nat-route] を選択します。

  11. [Add] をクリックします。

  12. [Save] をクリックします。

CLI ベースの設定グループを使用した NAT66 DIA ルート再配布の設定

Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a から、Cisco SD-WAN Manager の CLI ベースの設定グループを使用して、BGP または OSPFv3 プロトコルへの NAT66 DIA ルート再配布を設定できます。

CLI ベースの設定グループを使用した BGP への NAT66 DIA ルート再配布の設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

  1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

  2. [Add CLI based Configuration Group] をクリックします。

  3. CLI ベースの設定グループの名前を入力します。

  4. [Solution] ドロップダウンリストで、[sdwan] を選択します。

  5. [Description] フィールドに、CLI ベースの設定グループの説明を入力します。

  6. [Next] をクリックします。

  7. フィールドに CLI ベースの設定を入力します。

    1. BGP ルーティングプロセスを設定し、指定したルーティングプロセスのルータ コンフィギュレーション モードを開始します。autonomous-system-number 引数を使用して、0 ~ 65534 の範囲の整数を 1 つ指定します。これは、その他の BGP スピーカーへのデバイスを表します。 

      router bgp autonomous-system-number

    2. ルータ ID を、BGP を実行するローカルデバイスの識別子として設定します。ip-address 引数を使用して、ネットワーク内でルータ IP アドレスを指定します。 

      bgp router-id ip-address

    3. IPv6 アドレスファミリを指定して、アドレス ファミリ コンフィギュレーション モードを開始します。

      address-family ipv6 unicast vrf vrf-name

    4. 指定された AS のネイバーの IP アドレスを、ローカルデバイスの IPv6 マルチプロトコル BGP ネイバー テーブルに追加します。

      neighbor ip-address remote-as autonomous-system-number

    5. ネイバーが IPv6 ユニキャスト アドレス ファミリのプレフィックスをローカルデバイスと交換できるようにします。

      neighbor ip-address activate

    6. NAT ルートを再配布します。

      redistribute nat-route

    7. アドレス ファミリ コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

      exit-address-family

  8. [Save] をクリックします。

BGP への NAT66 DIA ルート再配布を設定する例を次に示します。
router bgp 15
bgp router-id 10.1.1.1
address-family ipv6 unicast vrf 1
  neighbor 2001:a14:18::64 remote-as 2
  neighbor 2001:a14:18::64 activate
  redistribute nat-route
  exit-address-family
!

CLI ベースの設定グループを使用した OSPFv3 への NAT66 DIA ルート再配布の設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

  1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

  2. [Add CLI based Configuration Group] をクリックします。

  3. CLI ベースの設定グループの名前を入力します。

  4. [Solution] ドロップダウンリストで、[sdwan] を選択します。

  5. [Description] フィールドに、CLI ベースの設定グループの説明を入力します。

  6. [Next] をクリックします。

  7. フィールドに CLI ベースの設定を入力します。

    1. インターフェイスを設定します。

      interface interface-name

    2. OSPFv3 プロセス ID を入力し、インターフェイスが接続するネットワークタイプとして [point-to-point] を指定します。

      ospfv3 process-id network point-to-point

    3. IPv6 アドレスファミリの OSPFv3 エリアを設定します。

      ospfv3 process-id ipv6 area area-id

    4. ルータ コンフィギュレーション モードを開始し、OSPFv3 プロセス ID を入力します。

      router ospfv3 process-id

    5. OSPFv3 を実行しているローカルデバイスの識別子としてルータ ID を設定します。ip-address 引数を使用して、ネットワーク内でルータ IP アドレスを指定します。 

      router-id ip-address

    6. IPv6 アドレスファミリを指定して、アドレス ファミリ コンフィギュレーション モードを開始します。

      address-family ipv6 unicast

    7. OSPFv3 ネイバーが起動または停止したときに、デバイスが syslog メッセージを送信するように設定します。

      log-adjacency-changes

    8. 接続ルートを OSPFv3 に再配布します。

      redistribute connected

    9. NAT ルートを再配布します。

      redistribute nat-route

    10. アドレス ファミリ コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

      exit-address-family

  8. [Save] をクリックします。

OSPFv3 への NAT66 DIA ルート再配布を設定する例を次に示します。 
interface GigabitEthernet5
ospfv3 1 network point-to-point
ospfv3 1 ipv6 area 0
    router ospfv3 1
    router-id 10.1.1.1
address-family ipv6 unicast
  log-adjacency-changes
  redistribute connected
  redistribute nat-route
  exit-address-family
!

NAT66 DIA を使用したダイヤラインターフェイス

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

NAT66 DIA でのダイヤラインターフェイスに関する情報

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

ダイヤラインターフェイスは、デフォルトルーティング情報、カプセル化プロトコル、使用するダイヤラプールなど、クライアントからのダイヤラトラフィックを処理する方法を指定します。ダイヤラインターフェイスは、実際にダイヤルアップを実行する物理インターフェイスの抽象化レイヤを提供します。この機能は、NAT66 DIA の Point-to-Point Protocol(PPP)ダイヤラインターフェイスをサポートしています。

次のダイヤラインターフェイスがサポートされています。

  • Point-to-Point Protocol over Ethernet(PPPoE)

  • Point-to-Point Protocol over Asynchronous Transfer Mode(PPPoA)

  • Point-to-Point Protocol over Ethernet over Asynchronous Transfer Mode(PPPoEoA)

PPP は、一般的な顧客宅内機器を介して、イーサネット ローカル エリア ネットワーク経由で複数のユーザーをリモートサイトに接続します。PPP は一般的に、デジタル加入者線(DSL)などのブロードバンド アグリゲーションで使用されます。PPP は、チャレンジハンドシェイク認証プロトコル(CHAP)またはパスワード認証プロトコル(PAP)での認証を提供しますが、物理インターフェイスでは認証は実行されません。

PPPoE の設定の詳細については、『Cisco Catalyst SD-WAN Systems and Interfaces Guide, Cisco IOS XE Catalyst SD-WAN リリース 17.x』の「Configuring PPPoE」セクションを参照してください。

NAT66 DIA でダイヤラインターフェイスを使用する利点

  • 着信コールまたは発信コールの要件に基づいた物理インターフェイスのさまざまな特性

  • NAT66 DIA を使用したルートベースおよびデータポリシーベースの設定サポート

NAT DIA ダイヤラインターフェイスを介した IPv6 トラフィックのフロー

次の図は、IPv6 クライアントトラフィックがダイヤラインターフェイスを介してルーティングされ、IPv6 インターネットサイトおよびサービスに到達する方法を示しています。

図 1. NAT66 DIA ダイヤラ インターフェイス サポートのワークフロー
NAT DIA ダイヤラ インターフェイス サポートのワークフロー

NAT66 DIA でダイヤラインターフェイスを使用する際の制限事項

  • DIA のサポート:

    ダイヤラインターフェイスでは NAT66 DIA のみがサポートされています。

  • サービス側 NAT66:

    ダイヤラインターフェイスではサービス側 NAT66 はサポートされていません。

  • PPPoE ジャンボ フレーム:

    CLI アドオンテンプレートを使用する場合、PPPoE ジャンボフレームは 1800 バイトに制限されます。

  • PPPoA ダイヤラインターフェイスのカプセル化:

    次の PPPoA ダイヤラ インターフェイス カプセル化の設定はサポートされていません。Cisco SD-WAN Manager 機能テンプレートを使用した AAL5MUX、AAL5SNAP、AAL5NLPID、または bridge-dot1q です。これらの PPPoA カプセル化を設定する場合は、CLI テンプレートを使用してカプセル化を設定する必要があります。

  • DIA トラッカー:

    NAT66 DIA トラッカーは、IP アンナンバード インターフェイスを持つダイヤラインターフェイスではサポートされていません。

  • DIA パスの設定:

    NAT66 DIA パスの設定は、WAN インターフェイスのループバックではサポートされていません。

NAT66 DIA を使用したダイヤラインターフェイスの設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a および Cisco Catalyst SD-WAN Manager リリース 20.14.1

設定グループまたは CLI テンプレートを使用して、NAT66 DIA でダイヤラインターフェイスを設定できます。

設定グループを使用した NAT66 DIA でのダイヤラインターフェイスの設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a および Cisco Catalyst SD-WAN Manager リリース 20.14.1

  1. Cisco SD-WAN Manager のメニューから、[Configuration] > [Configuration Groups] を選択します。

    設定グループの作成の詳細については、「Configuration Group Workflows」を参照してください。

  2. [Transport and Management Profile] で、VPN 0 機能のインターフェイスの横にある […] をクリックします。

  3. [Add Sub Feature] をクリックし、ドロップダウンリストから次のいずれかのダイヤラインターフェイスを選択します。

    • DSL PPPoE

    • DSL PPPoA

  4. DSL PPPoE または DSL PPPoA のオプションを設定します。

    詳細については、「Transport and Management Profile」の「DSL PPPoE」または「DSL PPPoA」セクションを参照してください。

  5. [Save] をクリックします。

CLI テンプレートを使用した NAT66 DIA でのダイヤラインターフェイスの設定

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a および Cisco Catalyst SD-WAN Manager リリース 20.14.1

CLI テンプレートの使用の詳細については、CLI テンプレートおよび CLI アドオン機能テンプレートを参照してください。

  1. NAT66 DIA を有効にして PPPoE ダイヤラインターフェイスを設定します。

    interface interface-type-number
 pppoe enable group global
 pppoe-client dial-pool-number dialer-pool-number
!
interface Dialer dialer-number
 mtu bytes
 ipv6 address negotiated
 ipv6 mtu bytes
 nat66 outside
 encapsulation encapsulation-type
 ipv6 tcp adjust-mss bytes
 dialer pool dialer-pool-number
 dialer down-with-vInterface
 ppp chap hostname hostname
 ppp chap password password
 ppp authentication chap callin
 ppp ipcp route default
 service-policy output shape_Dialer dialer-number

  2. ダイヤラインターフェイスを介して nat66 outside を有効にします。 

    
nat66 outside
nat66 prefix inside ipv6-address outside interface Dialer interface name vrf Sevice VPN number
nat66 prefix inside ipv6-address outside interface Dialer interface name

  3. サービス側 VPN の NAT66 DIA ルートを設定します。

    サービス側 VPN の NAT DIA ルートの設定に関する詳細については、「NAT DIA ルートの設定」を参照してください。

    または

    一元管理型データポリシーを使用して、サービス側 VPN の NAT66 DIA ルートを設定します。

    nat66 route vrf vrf-id route-prefix prefix-mask global

(注)  

Pool-overload-config を使用した NAT66 マッピングと同じトランザクションでダイヤラインターフェイスを削除すると、追加の非 NAT66 設定が生成されます。次のように別のトランザクションを使用して、各 NAT66 設定を個別に削除します。 

Device(config)# no nat66 inside source list global-list pool natpool-Dialer100-0 overload egress-interface Dialer100
Device(config)# commit
 
Device(config)# no interface Dialer100
Device(config)# commit
NAT66 DIA を使用して PPPoE ダイヤラインターフェイスを設定する例を次に示します。
interface Dialer100
 mtu 1492
 ipv6 address negotiated
 nat66 outside
 encapsulation ppp
 ipv6 tcp adjust-mss 1452
 dialer pool 100
 dialer down-with-vInterface
 endpoint-tracker tracker-google 
 ppp authentication chap callin
 ppp chap hostname branch1.ppp1
 ppp chap password 7 01100F175804
 ppp ipcp route default
 service-policy output shape_GigabitEthernet0/0/1
!
interface GigabitEthernet0/0/1
 no ipv6 redirects
 pppoe enable group global
 pppoe-client dial-pool-number 100
!
sdwan
 interface Dialer100
  tunnel-interface
   encapsulation ipsec weight 1
   color mpls restrict
  exit
 exit
nat66 prefix inside 2001:A14:18::/80 outside interface Dialer100 vrf 100
nat66 route vrf 100 ::/0 global

NAT66 DIA のダイヤラインターフェイス設定の確認

次のセクションでは、ダイヤラインターフェイスの設定を確認する方法について説明します。

NAT66 DIA ルートの確認

Device# show nat66 route-dia
Total interface NAT66 DIA enabled count [1]
route add [1] addr [2001:A14:18::] vrfid [2] prefix len [64]
route add [1] addr [2001:A14:19::] vrfid [2] prefix len [64]

内部および外部変換時における各プレフィックスカウンタの NAT66 プラットフォームの表示

Device# show platform hardware qfp active feature nat66 datapath prefix
prefix hasht 0x89628400 max 2048 chunk 0x8c392bb0 hash_salt 719885386
NAT66 hash[1] id(1) len(64) vrf(0) in: 2001:0a14:0018:0000:0000:0000:0000:0000:0000 out: 2001:db8:ab02:0000:0000:0000:0000:0000:0000 in2out: 7 out2in: 7

PPPoE セッションの表示

show pppoe session コマンドのこの出力例では、PPPoE ダイヤラインターフェイスが UP と表示されています。 

Device# show pppoe session
     1 client session 

Uniq ID  PPPoE  RemMAC          Port                    VT  VA         State
           SID  LocMAC                                      VA-st      Type
    N/A    391  84b2.61cc.9903  Gi0/0/1.100           Di100 Vi2        UP      
                c884.a1f4.b981  VLAN: 100                   UP

次に、show ppp all コマンドの出力例を示します。 

Device# show ppp all
Interface/ID OPEN+ Nego* Fail-     Stage    Peer Address    Peer Name
------------ --------------------- -------- --------------- --------------------
Vi2          LCP+ IPV6CP+ CDPCP-   LocalT   0.0.0.0         SDWAN-AGGREGE

PPP ネゴシエーション情報の確認

show interfaces Dialer コマンドのこの出力例では、Dialer100 が稼働しており、回線プロトコルが稼働しています。 

Device# show ipv6 interface Dialer100
Dialer100 is up, line protocol is up 
 IPv6 is enabled, link-local address is FE80::72EA:1AFF:FE1E:C800
  No Virtual link-local address(es):
  Global unicast address(es):
2001:a0:14:0:8132:C37E:1172:A9C7, subnet is 2001:a0:14:0::/64
valid lifetime 2587577 preferred lifetime 600377  
Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:1
    FF02::1:FF78:5E00
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.

NAT66 DIA でダイヤラインターフェイスを使用するための設定例

次に、ダイヤラインターフェイスの設定例を示します。

NAT66 DIA のスタティック NAT プレフィックス変換の設定

interface Dialer100 
    nat66 outside
!
nat66 prefix inside 2001:DB8:380:1::/80 outside 2001:DB8:A1:F:0:1::/80 vrf 1
nat66 prefix inside 2001:DB8:A14:18::/80 outside 2001:DB8:A1:F::/80 vrf 1
nat66 route vrf 1 2001:DB8:A14:19::/64 global
nat66 route vrf 1 2001:DB8:3D0:1::/64 global

CLI でステートレス DHCP を使用した DIA の設定

interface Dialer100
     nat66 outside
!
nat66 prefix inside 2001:a14:18::/64 outside interface Dialer100 vrf 1
nat66 prefix inside 2001:a14:18::/64 outside interface Dialer100