- FutureNet製品活用ガイド
- FutureNet NXR,WXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,WXRシリーズ
NAT・フィルタ編
3. NAT/フィルタ応用設定
3-3. NATでのサーバ公開3(複数IP+Ethernet)設定
複数のグローバルIPアドレスが割り当てられている場合、グローバルIPアドレス毎にLAN内のプライベートIPアドレスを持ったサーバへのDNAT設定をすることで、異なるグローバルIPアドレスでそれぞれのサーバにアクセスさせることができます。この設定例では、WAN回線にEthernetを利用します。
【 構成図 】
【 設定データ 】
設定項目 | 設定内容 | |||
---|---|---|---|---|
LAN側インタフェース | ethernet0のIPアドレス | 192.168.10.1/24 | ||
WAN側インタフェース | ethernet1のIPアドレス | 10.10.10.1/29 | ||
ethernet1のIPアドレス(セカンダリ) | 10.10.10.2/29 | |||
DNATグループ | eth1_dnat | |||
IPマスカレード | 有効 | |||
IPアクセスグループ | forward-in | eth1_forward-in | ||
SPIフィルタ | 有効 | |||
MSS自動調整 | オート | |||
IPリダイレクト | 無効 | |||
スタティックルート | 宛先IPアドレス | 0.0.0.0/0 | ||
ゲートウェイ(IPアドレス) | 10.10.10.6 | |||
DNAT | ルール名 | eth1_dnat | ||
eth1_dnat | No.1 | プロトコル | TCP | |
送信元IPアドレス | any | |||
送信元ポート | any | |||
宛先IPアドレス | 10.10.10.1 | |||
宛先ポート | 80 | |||
変換後宛先IPアドレス | 192.168.10.10 | |||
No.2 | プロトコル | TCP | ||
送信元IPアドレス | any | |||
送信元ポート | any | |||
宛先IPアドレス | 10.10.10.2 | |||
宛先ポート | 80 | |||
変換後宛先IPアドレス | 192.168.10.20 | |||
IPフィルタ | ルール名 | eth1_forward-in | ||
eth1_forward-in | No.1 | 動作 | 許可 | |
送信元IPアドレス | any | |||
宛先IPアドレス | 192.168.10.10 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 80 | |||
No.2 | 動作 | 許可 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 192.168.10.20 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 80 | |||
DNS | サービス | 有効 | ||
DNSサーバ | プライマリ | 10.255.1.1 | ||
セカンダリ | 10.255.1.2 | |||
FastFowarding | 有効 |
【 設定例 】
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#exit
nxr120(config)#ip route 0.0.0.0/0 10.10.10.6
nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.1 80 192.168.10.10
nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.2 80 192.168.10.20
nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.10 tcp any 80
nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.20 tcp any 80
nxr120(config)#interface ethernet 1
nxr120(config-if)#ip address 10.10.10.1/29
nxr120(config-if)#ip address 10.10.10.2/29 secondary
nxr120(config-if)#ip dnat-group eth1_dnat
nxr120(config-if)#ip masquerade
nxr120(config-if)#ip access-group forward-in eth1_forward-in
nxr120(config-if)#ip spi-filter
nxr120(config-if)#ip tcp adjust-mss auto
nxr120(config-if)#no ip redirects
nxr120(config-if)#exit
nxr120(config)#dns
nxr120(config-dns)#service enable
nxr120(config-dns)#address 10.255.1.1
nxr120(config-dns)#address 10.255.1.2
nxr120(config-dns)#exit
nxr120(config)#fast-forwarding enable
nxr120(config)#exit
nxr120#save config
【 設定例解説 】
1. <LAN側(ethernet0)インタフェース設定>
nxr120(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIP アドレスを設定します。
2. <スタティックルート設定>
デフォルトルートを設定します。
3. <DNAT設定>
nxr120(config)#ip dnat eth1_dnat tcp any any 10.10.10.2 80 192.168.10.20
DNAT名をeth1_dnatとし、宛先IPアドレス10.10.10.1,宛先TCPポート番号80のパケットの宛先IPアドレスは192.168.10.10に、宛先IPアドレス10.10.10.2,宛先TCPポート番号80のパケットの宛先IPアドレスは192.168.10.20に変換します。
なお、このDNAT設定はethernet1インタフェース設定で登録します。
(☞) DNAT設定を設定しただけでは宛先IPアドレスの変換機能は動作しません。宛先IPアドレスの変換を行うインタフェースでの登録が必要になります。
4. < IPアクセスリスト設定>
nxr120(config)#ip access-list eth1_forward-in permit any 192.168.10.20 tcp any 80
IPアクセスリスト名をeth1_forward-inとし、宛先IPアドレス192.168.10.10,宛先TCPポート番号80、宛先IPアドレス192.168.10.20,宛先TCPポート番号80のパケットを許可します。
なお、このIPアクセスリスト設定はethernet1インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
5. <WAN側(ethernet1)インタフェース設定>
nxr120(config-if)#ip address 10.10.10.1/29
nxr120(config-if)#ip address 10.10.10.2/29 secondary
ethernet1インタフェースのIPアドレスおよびセカンダリIPアドレスを設定します。
nxr120(config-if)#ip masquerade
nxr120(config-if)#ip access-group forward-in eth1_forward-in
nxr120(config-if)#ip spi-filter
nxr120(config-if)#ip tcp adjust-mss auto
nxr120(config-if)#no ip redirects
IPマスカレード、ステートフルパケットインスペクションを有効に設定します。また、eth1_dnatをDNATグループに、IPアクセスリストeth1_forward-inをforward-inフィルタに適用します。そして、TCP MSSの調整機能をオート、ICMPリダイレクト機能を無効に設定します。
6. <DNS 設定>
nxr120(config-dns)#service enable
DNSサービスを有効にします。
nxr120(config-dns)#address 10.255.1.2
プロバイダから通知されているプライマリ,セカンダリDNSサーバアドレスを設定します。
7. <ファストフォワーディングの有効化>
ファストフォワーディングを有効にします。ファストフォワーディングを設定することによりパケット転送の高速化を行うことができます。
(☞) ファストフォワーディングの詳細および利用時の制約については、NXR ,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。
【 端末の設定例 】
端末 | WWWサーバ1 | WWWサーバ2 | |
IP アドレス | 192.168.10.100 | 192.168.10.10 | 192.168.10.20 |
サブネットマスク | 255.255.255.0 | ||
デフォルトゲートウェイ | 192.168.10.1 | ||
DNS サーバ | 192.168.10.1 | - | - |