ネットワーク【3分】シンキング – NAT設計で必ず抑えておきたい事(基礎編)

カモフラ
(管理人)

ネットワーク(特にCisco)が大好きな皆様へCCNA/CCNP/CCIE試験で問われる【お題】をQuiz形式で出題致します。また、本ブログではCiscoさんが無償で提供する【Packet Tracer】や【GNS3】を利用しての簡単なシュミレーションと実際の業務で役立つワンポイントなども織り混ぜながら、皆さんが楽しめるコンテンツ(３分でサクッと読める内容)となります。

本日のお題 :

外部NWへの通信制御として LB: 1.1.1.1 -> 3.3.3.3 へのアクセスはNAT対象外、それ以外の全ての通信は【Router_NAT】にてSource NAT(192.168.2.1に変換)させたい。本件の解決策を答えなさい。(解答を１つ選択)

• A : ip nat inside source list 1 interface Gi0/1 overload
• B : ip nat outside source list 1 interface Gi0/1 overload
• C : ip nat inside destination list 1 interface Gi0/1 overload
• D : ip nat outside destination list 1 interface Gi0/1 overload

Router_A コンフィグ

hostname Router_A
!
interface Loopback1
ip address 1.1.1.1 255.255.255.0
!
interface Loopback11
ip address 11.11.11.11 255.255.255.0
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
end

Router_NAT コンフィグ

hostname Router_NAT
!
interface Loopback1
ip address 2.2.2.2 255.255.255.0
!
interface GigabitEthernet0/0
ip address 192.168.1.2 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
ip nat outside
!
router ospf 1
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
!
ip route 11.11.11.11 255.255.255.255 GigabitEthernet0/0
access-list 1 deny host 1.1.1.1
access-list 1 permit any
!
line con 0
line aux 0
line vty 0 4
!
end

【君もヒーローになれる】IT業界に強いエンジニア特化型(優良転職サイト)で最高のキャリアを手に入れよう！

エンジニアに特化したオススメ転職サービスを厳選【きっとアナタにとって最適な企業/仕事が見つかります】

job-it-blog.com

2022.01.05

IT業界で高年収(安定)・ヤリガイ(刺激)を求めている皆様を応援するサイト【就活/転職/未経験からのチャレンジ】

IT業界への就活/転職活動に不安を感じる方向けに【後悔しない活動】のやり方を徹底解説致します。

job-it-blog.com

2021.05.23

本日の回答 :

正解は【A】になります。

通信用件表がきちんとあればいいのですが、今回は「show ip nat transactions」の内容からNAT設定を追っていきます。NATテーブルを参照する限り、Inside側の全てのソースアドレスが「192.168.2.1」にNATされているので、”ip nat inside source“をセットすればよく、ソースアドレス(1.1.1.1)からの通信はNATしないように access-list でdenyする、それ以外の全ての通信は permit する設計になっていれば、通信用件が満たされそうです。(今回のポイントは、NAT overload = N 対 1 に対してACLを使ってNATする対象を制御する事です！)

IP Addressing: NAT Configuration Guide, Cisco IOS Release 15M&T - Configuring NAT for IP Address Conservation [Cisco ASR 1000 Series Aggregation Services Routers]

Configuring NAT for IP Address Conservation

www.cisco.com

NATの概念はとてもシンプルですが、色々なバリエーションがあるのでオクが深い技術です。今回のケースでは、N 対 1 ＋ ACL制御でしたが、1 対 1、N 対 N、複合パターンなどNW構成に応じて複雑になっていくのも特徴の１つとなります。ポイントはInside or Outsideのどちらの通信に対して制御を行いたいのか？対象のアドレス/プロトコルはどのような用件となるのか？などFWを設定するようなイメージで通信リストをまとめながら設計することが、ベストプラクティスとなります。(もちろん、迷ったら実機での検証が最善策であることは間違いありません)

【TOEIC 800点は通過点】正しい学習で簡単に理想の英語力を習得する方法

お金と時間を費やす事なくTOEIC 800点レベルの英語力が誰でも簡単に習得できる方法を共有します

job-it-blog.com

2021.08.29

IT業界へ転職(高年収/内定)と市場価値の上げ方を徹底解説

IT業界への転職活動は今がチャンスです。高年収/内定の狙い方や市場価値の上げ方について解説致します

job-it-blog.com

2021.07.12

おすすめの書籍 :

ＣＣＮＡ完全合格テキスト＆問題集 Ｃｉｓｃｏ教科書　［対応試験］２００-３０１ /翔泳社/林口裕志

posted with カエレバ

楽天市場

Amazon

Yahooショッピング

シスコ技術者認定教科書 CCNP Enterprise 完全合格テキスト＆問題集 ［対応試験］コア試験ENCOR（350-401）

posted with カエレバ

楽天市場

Amazon

Yahooショッピング

ＣＣＮＰ　Ｅｎｔｅｒｐｒｉｓｅ完全合格テキスト＆問題集 Ｃｉｓｃｏ教科書　［対応試験］コンセントレーション /翔泳社/林口裕志

posted with カエレバ

楽天市場

Amazon

Yahooショッピング

Cisco人気ブログのご紹介 :

イケてるエンジニアになる方法！「ネットワーク【３分】シンキング」は Cisco好きな皆さんへ転職時に役立つ「実践スキル」を提供いたします！

CCNA/CCNP取得で転職時に年収500万を狙う(イケてるエンジニアになる方法を徹底解説！)

job-it-blog.com

2022.09.06

もう量産型ザクとはいわせない "Cisco Packet Tracer" を活用してCCNA/CCNP取得時に"イケてるエンジニア"になろう！

Cisco Packet Tracerを活用してCCNA/CCNP取得時に1UPなエンジニアになろう

job-it-blog.com

2022.01.27

年収500万を超えたいなら"CCNPはインフラエンジニア/MUSTな資格"というお話

問題集でCCNP資格を取得するだけではあなたの市場評価は低いです。高年収/評価を勝ち取る方法とは？

job-it-blog.com

2021.12.01

CCNP 筆記試験(300-410)/受験される方へワンポイント【現役CCIE 監修】

新CCNP試験(300-410) 攻略のアップデートと注意点を徹底解説致します。

job-it-blog.com

2022.03.18

CCIE 筆記試験(350-401 Pass!!!)/受験される方へワンポイント【現役CCIE 監修】

CCIE/CCNP共通試験(350-401) 受験のアップデートと注意点を徹底解説致します。

job-it-blog.com

2021.06.06

CCIE ラボ試験をパスするために覚悟する事【現役 CCIE解説】

Cisco最高峰試験(CCIEラボ)に合格するためには不屈の覚悟と精神力が必要な理由を解説します

job-it-blog.com

2021.09.05