セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure ASA ファイアウォール構成例の NAT および PAT の設定例 使用

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 24 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco Secure 適応性があるセキュリティ アプライアンス モデル(ASA)ファイアウォールで基本的なネットワーク アドレス変換(NAT)およびポート アドレス変換 (PAT) コンフィギュレーションの例を提供したものです。 また、簡単なネットワーク ダイアグラムも紹介しています。 詳細な情報詳細については ASA ソフトウェア バージョンのための ASA ドキュメントを参考にして下さい。

この文書では、個別のユーザに合わせたシスコ デバイスの分析を行います。

詳細については ASA 5500/5500-X シリーズ セキュリティ アプライアンス モデルの ASA の NAT 設定を参照して下さい。

Dinkar Sharma およびマグナス Mortensen によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は Cisco Secure ASA ファイアウォールのナレッジがあることを推奨します。

使用するコンポーネント

この文書に記載されている情報は Cisco Secure ASA ファイアウォールソフトウェアバージョン 8.4.2 およびそれ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定例-手動および自動 NAT との複数のNAT記述

ネットワーク図

この例では、ISP は 209.165.201.1 から 209.165.201.30 まで及ぶ IP アドレス ブロック 209.165.201.0/27 をネットワーク管理者に与えます。 ネットワーク管理者はインターネットルータの内部インターフェイスに 209.165.201.1、および ASA の outside インターフェイスに 209.165.201.2 を割り当てることにします。

ネットワーク管理者は既にネットワークに、198.51.100.0/24 割り当てられるあって、クラス C アドレスがインターネットにアクセスするためにこれらのアドレスを使用するいくつかのワークステーションを持っています。 これらのワークステーションは既に有効なアドレスがあっているのでアドレス 変換を必要としません。 ただし、新しいワークステーションには 10.0.0.0/8 ネットワーク内のアドレスが割り当てられるため、変換が必要です(RFC 1918sによると 10.x.x.x はルーティング不可能なアドレス レンジです)。

このネットワーク設計を取り扱うために、ネットワーク管理者は ASA 設定で 2 つの NAT 文および 1 つのグローバルプールを使用する必要があります:

global (outside) 1 209.165.201.3-209.165.201.30 netmask 255.255.255.224
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

この設定は 198.51.100.0/24 ネットワークからのあらゆる送信 トラフィックの送信元アドレスを変換しません。 それは範囲 209.165.201.3 からの 209.165.201.30 によってアドレスに 10.0.0.0/8 ネットワークの送信元アドレスを変換します。

NAT ポリシーを使用するインターフェイスがあり、他のインターフェイスに対するグローバル プールがない場合は、nat 0 を使用して NAT 例外を設定する必要があります。

ASA バージョン 8.3 および それ 以降

設定はここにあります。

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0

object network obj-198.51.100.0/24
subnet 198.51.100.0 255.255.255.0

object network obj-natted
range 209.165.201.3 209.165.201.30

object network any-1
subnet 0.0.0.0 0.0.0.0

Using the Manual Nat statements:

nat (inside,outside) source static obj-198.51.100.0/24 obj-198.51.100.0/24
destination static any-1 any-1

nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-natted

Using the Auto Nat statements:

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic obj-natted

object network obj-198.51.100.0/24
subnet 198.51.100.0 255.255.255.0
nat (inside,outside) static obj-198.51.100.0/24

設定例-マルチプルグローバルプール

ネットワーク図

この例では、インターネットに登録されている 2 つの IP アドレス範囲がネットワーク管理者に提供されています。 ネットワーク管理者は、10.0.0.0/8 の範囲にあるすべての内部アドレスを登録アドレスに変換する必要があります。 使用するネットワーク管理者が必要がある IP アドレスの範囲は 209.165.201.30 によって 209.165.201.1 および 209.165.200.254 によって 209.165.200.225 です。 ネットワーク管理者は、次の方法でこれを実現できます。

global (outside) 1 209.165.201.3-209.165.201.30 netmask 255.255.255.224
global (outside) 1 209.165.200.225-209.165.200.254 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

: NAT ステートメントではワイルドカード アドレッシング方式が使用されます。 この文はインターネットに出かけるとき ASA を内部ソースアドレスを変換するように告げます。 必要な場合は、このコマンドのアドレスをさらに絞り込むことができます。

ASA バージョン 8.3 および それ 以降

設定はここにあります。

object network obj-natted
range 209.165.201.3 209.165.201.30

object network obj-natted-2
range 209.165.200.225 209.165.200.254

object network any-1
subnet 0.0.0.0 0.0.0.0

Using the Manual Nat statements:

nat (inside,outside) source dynamic any-1 obj-natted
nat (inside,outside) source dynamic any-1 obj-natted-2

Using the Auto Nat statements:

object network any-1
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted

object network any-2
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted-2

設定例- NAT および PAT の設定例を混合して下さい

ネットワーク図

この例では、ISP は 209.165.201.1 からの 209.165.201.30 にアドレス範囲を会社が使用することができるようにネットワーク管理者に与えます。 ネットワーク管理者はインターネットルータの内部インターフェイスのために 209.165.201.1 および ASA の outside インターフェイスのために 209.165.201.2 を使用することにしました。 209.165.201.30 による 209.165.201.3 を NATプールのために使用するためにそれから残されます。 ただし、ネットワーク管理者は、どんな時点でも、ASA の出かけることを試みる 28 人以上の個人がある場合もあることがわかっています。 ネットワーク管理者は複数のユーザが 1 アドレスを同時に共有できるように 209.165.201.30 を奪取 し、それに PAT アドレスをすることにしました。

これらのコマンドは ASA を渡って渡るために ASA に最初の 27 人の内部ユーザ向けの 209.165.201.29 によって 209.165.201.3 への送信元アドレスを変換するように指示します。 これらのアドレスが排出された後、そして ASA は NATプールのアドレスの 1 つが自由になるまで 209.165.201.30 へのすべてのそれに続く送信元アドレスを変換します。

: NAT ステートメントではワイルドカード アドレッシング方式が使用されます。 この文はインターネットに出かけるとき ASA を内部ソースアドレスを変換するように告げます。 必要な場合は、このコマンドのアドレスをさらに絞り込むことができます。

ASA バージョン 8.3 および それ 以降

設定はここにあります。

Using the Manual Nat statements:
object network any-1
subnet 0.0.0.0 0.0.0.0

object network obj-natted
range 209.165.201.3 209.165.201.30

object network obj-natted-2
subnet 209.165.201.30 255.255.255.224

nat (inside,outside) source dynamic 0.0.0.0/0 obj-natted
nat (inside,outside) source dynamic 0.0.0.0/0 obj-natted-2

Using the Auto Nat statements:

object network any-1
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted

object network any-2
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted-2

設定例-手動文を用いる複数のNAT記述

ネットワーク図

この例では、ISP は 209.165.201.1 からの 209.165.201.30 にアドレス範囲を再度ネットワーク管理者に与えます。 ネットワーク管理者はインターネットルータの内部インターフェイスに 209.165.201.1 および ASA の outside インターフェイスに 209.165.201.2 を割り当てることにします。

ただし、このシナリオでは、インターネット ルータの他に別のプライベート LAN セグメントが存在しています。 ネットワーク管理者は、通常、これら 2 つのネットワーク上のホスト同士が通信する際にグローバル プールのアドレスを無駄に使用しないようにすることを選好します。 それでも、内部ユーザ(10.0.0.0/8)がインターネットにアクセスする際には、必ず送信元アドレスを変換する必要があります。

この設定は 10.0.0.0/8 の送信元アドレスおよび 198.51.100.0/24 の宛先アドレスとそれらのアドレスを変換しません。 それは 10.0.0.0/8 ネットワーク内から初期化されるおよび範囲 209.165.201.3 からの 209.165.201.30 によってアドレスに 198.51.100.0/24 以外にどこでも向かうあらゆるトラフィックからの送信元アドレスを変換します。

使用中の Cisco デバイスからの write terminal コマンドの出力がある場合は、アウトプット インタープリタ登録ユーザ専用)を使用できます。

ASA バージョン 8.3 および それ 以降

設定はここにあります。

Using the Manual Nat statements:

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0

object network obj-198.51.100.0/24
subnet 198.51.100.0 255.255.255.0

object network obj-natted
range 209.165.201.3 209.165.201.30

nat (inside,outside) source static obj-10.0.0.0/8 obj-10.0.0.0/8 destination
static obj-198.51.100.0/24 obj-198.51.100.0/24

nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-natted

Using the Auto Nat statements:

object network obj-natted
range 209.165.201.3 209.165.201.30
nat (inside,outside) source static obj-10.0.0.0/8 obj-10.0.0.0/8 destination
static obj-198.51.100.0/24 obj-198.51.100.0/24

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic obj-natted

設定例-ポリシー NAT を使用して下さい

ネットワーク図

0 以外の NAT ID の nat コマンドでアクセス リストを使用すると、ポリシー NAT が有効になります。

ポリシー NAT を使用すると、アクセス リストでの送信元および宛先アドレス(またはポート)の指定により、アドレス変換に対するローカル トラフィックを識別できます。 通常の NAT で使用されるのは、送信元のアドレス/ポートだけです。 ポリシー NAT では、送信元と宛先の両方のアドレス/ポートが使用されます。

: NAT 免除(nat 0 access-list)を除き、すべてのタイプの NAT でポリシー NAT がサポートされています。 NAT 免除はポートが考慮されないのでローカルアドレスを識別するために Access Control List (ACL)を使用しますがポリシー NAT と異なります。

ポリシー NAT では、発信元/ポートと宛先/ポートの組み合わせが設定ごとに一意である限り、同じローカル アドレスを識別する複数の NAT 設定やスタティック設定を作成できます。 これにより、それぞれの送信元ポートと宛先ポートのペアに対して異なるグローバル アドレスを対応させることができます。

この例では、ポート 80(Web)とポート 23(Telnet)が宛先 IP アドレス 172.30.1.11 にアクセスできるようにする必要がありますが、送信元アドレスとして 2 つの異なる IP アドレスを使用する必要があります。 209.165.201.3 は Web および 209.165.201.4 のための送信元アドレスが Telnet のために使用される使用され、と同時に 10.0.0.0/8 範囲にある内部アドレスすべてを変換する必要があります。 ネットワーク管理者は、次の方法でこれを実現できます。

access-list WEB permit tcp 10.0.0.0 255.0.0.0 
172.30.1.11 255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 172.30.1.11
255.255.255.255 eq 23

nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 209.165.201.3 255.255.255.224
global (outside) 2 209.165.201.4 255.255.255.224

ASA バージョン 8.3 および それ 以降

設定はここにあります。

Using the Manual Nat statements:

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0

object network obj-172.30.1.11
host 172.30.1.11

object network obj-209.165.201.3
host 209.165.201.3

object network obj-209.165.201.4
host 209.165.201.4

object service obj-23
service tcp destination eq telnet

object service obj-80
service tcp destination eq telnet

nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-209.165.201.3 destination
static obj-172.30.1.11 obj-172.30.1.11 service obj-80 obj-80
nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-209.165.201.4 destination
static obj-172.30.1.11 obj-172.30.1.11 service obj-23 obj-23

: ASA バージョン 8.4 の NAT および PAT の設定に関する詳細については、NAT についての情報を参照して下さい。

ASA バージョン 8.4 におけるアクセス リストの設定の詳細については、「アクセス リストについて」を参照してください。

確認

ウェブ ブラウザの HTTP によって Webサイトにアクセスすることを試みて下さい。 この例では 198.51.100.100 でホストされているサイトを使用します。 接続が正常である場合、次の セクションの出力は ASA CLI で見られる場合があります。

接続

ASA(config)# show connection address 10.0.0.2
16 in use, 19 most used
TCP outside 198.51.100.100:80 inside 10.0.0.2:57431, idle 0:00:06, bytes 9137,
flags UIO

ASA はステートフル ファイアウォールであり、Web サーバからのリターン トラフィックはファイアウォール接続テーブルの接続の 1 つと一致するため、ファイアウォールの通過を許可されます。 事前に存在する接続の 1 つと一致するトラフィックは、インターフェイス ACL によってブロックされないでファイアウォールの通過を許可されます。

上の出力では、内部インターフェイス上のクライアントが外部インターフェイスからの 198.51.100.100 ホストへの接続を確立しました。 この接続では TCP プロトコルが使用されており、6 秒間アイドル状態です。 接続のフラグは、この接続の現在の状態を示します。 接続のフラグの詳細については、「ASA の TCP 接続フラグ」を参照してください。

Syslog

ASA(config)# show log | in 10.0.0.2

Jun 28 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
10.0.0.2/57431 to outside:209.165.201.3/57431

Jun 28 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:10.0.0.2/57431 (209.165.201.3/57431)

ASA ファイアウォールは正常動作中に syslog を生成します。 syslog の冗長さはログ設定に基づいて変化します。 この出力はレベル 6、つまり「情報」レベルでの 2 種類の syslog を示します。

この例では、2 種類の syslog が生成されています。 1 番目は、ファイアウォールが変換を作成したこと、具体的にはダイナミックな TCP の変換(PAT)を行ったことを示すログ メッセージです。 これは、トラフィックが内部インターフェイスから外部インターフェイスに渡るときの、送信元 IP アドレスとポート、および変換後の IP アドレスとポートを示します。

2 番目の syslog はファイアウォールがクライアントとサーバ間のこの特定のトラフィック用に接続テーブルで接続を作成したことを示します。 この接続試行をブロックするようにファイアウォールが設定された場合や、その他の要因(リソース制約または設定ミスの可能性)によってこの接続の作成が妨げられる場合は、ファイアウォールは接続が確立されたことを示すログを生成しません。 通常は、代わりに、接続が拒否される理由や、接続の作成を妨げた要因に関する兆候を記録します。

NAT 変換(Xlate) 

ASA(config)# show xlate local 10.0.0.2
3 1in use, 810 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
TCP PAT from inside:10.0.0.2/58799 to outside:209.165.201.3/57431 flags ri idle
0:12:22 timeout 0:00:30

この設定の一部として、内部ホストの IP アドレスをインターネットでルーティングできるアドレスに変換するために PAT が設定されます。 これらの変換が作成されていることを確認するには、xlate(変換)テーブルをチェックします。 コマンド show xlatelocal キーワードおよび内部ホストの IP アドレスと組み合わせると、そのホストの変換テーブルにあるすべてのエントリを表示します。 上記の出力は、内部インターフェイスと外部インターフェイス間でこのホストに対して現在作成された変換があることを示しています。 内部ホスト IP およびポートは設定ごとの 10.165.200.226 アドレスに変換されます。

示されているフラグ r i は、変換がダイナミックであり、ポートマップであることを示しています。 別の NAT コンフィギュレーションについての詳細は NAT についての情報で見つけることができます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 15243