NAT-Traversal機能を使用する場合に指定します。VPN ピアとの通信経路中にNAT 動作を行なうルータが存在する場合はNAT_Traversal機能が有効です。
NAT-Traversal機能を使用する場合は、VPNピアにKeepAliveパケットを送信する必要があります。これは経路上のNATルータ上のNAT変換テーブル情報を保つために定期的に通信データを発生させるためです。
また、このコマンドで、KeepAliveの送信間隔も指定できます。
refreshコマンド後に有効になるコマンドです。
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#nat-traversal enable alivefreq 20
Router(config)# crypto isakmp policy 1
Router(config-isakmp)#nat-traversal enable rfc3948-also
nat-traversal enable [rfc3948-also [spoofed]] [ alivefreq <NAT KeepAlive送信間隔>]
※パラメータrfc3948-also、spoofedは、V01.07(00)以降サポート
パラメータ 設定内容 設定範囲 省略時の値 rfc3948-also※ rfc3948-alsoを指定することにより、InitiatorはRFC準拠モードとdraft準拠モードの2つのVIDをResponderに提案します。
Responderは提案されたVIDと自身の設定より、NAT-Traversal動作モードを決定し(RFC準拠モードを優先)、決定したVIDをInitiatorへ通知します。
RFC準拠モードでは、NAT検知するとポートをUDP/4500へ移動させ、以降の通信はUDP/4500で行います。
spoofedを指定することにより、間にNATする装置が無い場合でも強制的にNAT-Traversal動作をおこなうことが可能です。その際に、RFC準拠モードで動作します。rfc3948-also
spoofeddraft準拠モードで動作します。 NAT KeepAlive送信間隔 NAT KeepAliveの送信間隔(単位:秒)を指定します。
offを指定した場合、NAT-Traversal機能は有効ですがKeepAlive機能は無効になります。1〜300
off5秒
NAT-Traversal機能を使用しません。
NAT-Traversal 機能を使用する場合は、以下の制限があります。
・Pre-shared key でのVPN接続の場合、Aggressive modeでのサポートになります。
Main modeはサポートしていません。
・RSA Signature でのVPN接続の場合、Main modeでのサポートになります。
PhaseTにおけるIDタイプとして"IPアドレス"を使用することはできません。
IDタイプとして使用できるのは以下となります。
・Distinguished name
・Domain name
・E-Mail address
・FITELnet F2000をresponder側として機能させる場合、VPN peerのIPアドレスが確定(NATスタティックにより常に一定)していてもそのIPアドレスを設定しないでください。
center(config-isakmp)#peer-identity address 158.202.x.x -> ×
center(config-isakmp)#peer-identity host f2000no1 -> ○
・ WAN 側アドレスが不定(フレッツADSL アドレス動的割当等)の場合にはVPN_NAT は使用できません。
相手もNAT-Traversal機能を使用する必要があります。
IKEポリシー設定モード