Static-NAT / Dyamic-NAT 同時処理のコンフィグ・キャプチャ・debug

【概要】

Static-NATとDyamic-NATを同時に設定し通信させる。

【PC1 → PC4】Static-NATとする。送信元は10.12.1.50にする。
【PC2 → PC4】Dynamic-NATとする。送信元はR1のインターフェイス(10.12.1.1)にする。
【PC3 → PC4】Dynamic-NATとする。送信元はR1のインターフェイス(10.12.1.1)にする。

--目次--

構成
Config
Config確認
1. スタティックNAT用設定
2. ダイナミックNAT用設定
Packet Captureで確認
debug ip nat (R1)
注意事項

構成

Config

R1-config

hostname R1
!
interface GigabitEthernet0/0
 ip address 10.12.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!
interface GigabitEthernet0/1
 ip address 10.1.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
ip nat inside source list 5 interface GigabitEthernet0/0 overload
ip nat inside source static 10.1.1.100 10.12.1.50
ip route 0.0.0.0 0.0.0.0 10.12.1.2
!
access-list 5 permit 10.1.1.150
access-list 5 permit 10.1.1.200
!
control-plane
!
end

R2-config

hostname R2
!
interface GigabitEthernet0/0
 ip address 10.12.1.2 255.255.255.0
!
interface GigabitEthernet0/1
 ip address 10.2.2.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.12.1.1
!
control-plane
!
end

Config確認

スタティックNAT用設定

ip nat inside source static 10.1.1.100 10.12.1.50

Static-NAT用設定
NAT Insideで、送信元IPアドレス 10.1.1.100を受信したら、送信元IPアドレスを10.12.1.50に変換

ダイナミックNAT用設定

ip nat inside source list 5 interface GigabitEthernet0/0 overload

Dyamic-NAT用設定
NAT Insideインターフェイスで、ACL5のセグメントを受信したら、送信元IPアドレスをR1のインターフェイス(10.12.1.1)に変換
ACL5 : 「access-list 5 permit 10.1.1.150」と「access-list 5 permit 10.1.1.200」

Packet Captureで確認

PC4の手前でパケットキャプチャを採取

【PC1 → PC4】

PC1 (10.1.1.100/24)が送信元IP 10.12.1.50になっている事が分かる

【PC2 → PC4】

PC2 (10.1.1.150/24)が送信元IP 10.12.1.1(R1のインターフェイスIP)になっている事が分かる

【PC3 → PC4】

PC2 (10.1.1.200/24)が送信元IP 10.12.1.1(R1のインターフェイスIP)になっている事が分かる

debug ip nat (R1)

【PC1 → PC4】

*Mar 24 07:13:33.199: NAT*: s=10.1.1.100->10.12.1.50, d=10.2.2.100 [41591] //行き
*Mar 24 07:13:33.207: NAT*: s=10.2.2.100, d=10.12.1.50->10.1.1.100 [55115] //戻り

【PC2 → PC4】

*Mar 24 07:13:32.928: NAT*: s=10.1.1.150->10.12.1.1, d=10.2.2.100 [18557] //行き
*Mar 24 07:13:32.932: NAT*: s=10.2.2.100, d=10.12.1.1->10.1.1.150 [64537] //戻り

【PC3 → PC4】

*Mar 24 07:13:33.323: NAT*: s=10.1.1.200->10.12.1.1, d=10.2.2.100 [63223] //行き
*Mar 24 07:13:33.334: NAT*: s=10.2.2.100, d=10.12.1.1->10.1.1.200 [64547] //戻り

注意事項

Static-NATとDyamic-NATのInside global を同じすることはNG
具体的な設定は以下で、両方ともGigabitEthernet0/0をInside globaとした場合

R1: ip nat inside source list 5 interface GigabitEthernet0/0 overload
R1: ip nat inside source static 10.1.1.100 interface GigabitEthernet0/0

CiscoCML上でも、問題なく通信できる場合もあるが、通信できなくなる時もあった。
エビデンスは以下

引用
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html
the same IP address cannot be used for the NAT static configuration or in the pool for NAT dynamic configuration. All the public IP addresses need to be unique. ・・・