Cisco機器におけるNATトラバーサル

テーマ:

NATトラバーサル(NAT Traversal)は、NAT(Network Address Translation)環境下での通信を可能にする技術で、特にCisco機器などにおいては、VPNVoIPなどの特定のプロトコルがNATを越えて通信する際に使われます。NAT環境では、プライベートIPアドレスがグローバルIPアドレスに変換されるため、特定のアプリケーションやプロトコルが正常に通信できなくなることがあります。NATトラバーサルは、その問題を解決するための方法です。

なぜNATトラバーサルが必要か?

NATは、IPアドレスの変換を行うことでプライベートIPアドレスをグローバルIPアドレスに変換し、ネットワークの外部と通信を可能にします。しかし、いくつかのプロトコル、特にIPsec VPNVoIPプロトコル(SIPやH.323など)は、NATによるアドレス変換を前提としていないため、通信に問題が生じることがあります。例えば、IPsecではパケットの一部に埋め込まれたIPアドレスと、NATによって変換されたIPアドレスが異なるため、通信が失敗することがあります。

Cisco機器におけるNATトラバーサルの役割

Cisco機器では、NATトラバーサル機能が、主に以下の2つのシナリオで使用されます:

  1. IPsec VPNのNATトラバーサル(NAT-T)
  2. VoIP(SIPやH.323)などのリアルタイムプロトコルのトラバーサル

1. IPsec VPNのNATトラバーサル(NAT-T)

IPsec VPNは、データの暗号化や認証を行い、安全にネットワークをトンネルする技術ですが、NAT環境ではIPsecトンネルが正しく確立できないことがあります。NAT-T(NAT Traversal)は、この問題を解決するために、UDPポート4500を使用してIPsecパケットをカプセル化し、NATを通過させます。

NAT-Tの仕組み

  • NATを通過する際に、IPsecのESP(Encapsulating Security Payload)パケットをUDPカプセル化して送信します。これにより、NAT機器はUDPパケットとして処理できるため、NATを越えて通信が可能になります。
  • デフォルトでは、UDPポート4500を使用します。

IPsec NAT-Tの設定例(Cisco ASA)

以下は、Cisco ASAデバイスでのNAT-Tの設定例です。

 

bash

 

crypto isakmp nat-traversal 20

  • 20は、NAT-Tのキープアライブメッセージの送信間隔(秒数)を指定します。デフォルトは20秒です。

これにより、NAT環境でIPsec VPNが確立できるようになります。

2. VoIPにおけるNATトラバーサル

VoIPプロトコル(SIP、H.323、MGCPなど)もNATを通過する際に問題が発生することがあります。特に、VoIPでは音声データの送受信に**RTP(Real-Time Transport Protocol)**を使用しますが、NATがIPアドレスを変換するため、音声データが正しく送信できなくなる場合があります。

SIPとNATの問題

SIP(Session Initiation Protocol)は、VoIPのセッションを確立するためのプロトコルですが、SIPメッセージの中に送信元のIPアドレスが含まれるため、NATで変換されたIPアドレスと一致せず、音声の送受信ができなくなることがあります。

ソリューション:ALGとSTUN

Cisco機器では、NATトラバーサルを実現するために、以下の技術が使用されます。

  • ALG(Application Layer Gateway):

    • SIPやH.323などのプロトコルに対応するために、CiscoルータやASAなどは、ALG機能を提供します。ALGは、NATを通過する際にSIPメッセージを解析し、NATによって変更されたIPアドレスやポート番号を自動的に調整します。

  • STUN(Session Traversal Utilities for NAT):

    • STUNは、VoIPデバイスが自分のパブリックIPアドレスを取得し、NAT環境を越えて音声トラフィックを送受信できるようにするためのプロトコルです。

Cisco機器でのNATトラバーサル設定例(SIP)

CiscoルータやASAでSIPのNATトラバーサルを有効にするには、ALG機能を有効にする必要があります。

 

bash

 

voice service voip

 sip

  nat auto

  • nat auto: Ciscoルータが自動的にSIPトラフィックのNATを処理するように設定します。

NATトラバーサルのメリット

  1. セキュリティ: NATトラバーサルは、NAT環境下でも安全な通信を維持します。特に、IPsec VPNトンネルがNATを越えて正しく設定されることにより、リモートアクセスやサイト間接続が安全に行えます。

  2. 互換性: NATを使用しているネットワークでも、VoIPやVPNなどのリアルタイムアプリケーションが問題なく動作できるようになります。

  3. 柔軟な接続: NAT-Tなどの技術により、インターネット経由の接続でもVPNやVoIPなどのアプリケーションを簡単に設定できます。

まとめ

Cisco機器におけるNATトラバーサルは、NAT環境下でも安全かつ効率的にVPNやVoIPなどのアプリケーションを動作させるための重要な機能です。特に、IPsec VPNのNAT-TSIPのNATトラバーサルが一般的に使用され、Cisco機器の設定を通じてこれらのプロトコルが問題なく動作するように調整されています。