セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA 7.x および FWSM:NAT と PAT の設定例

2009 年 3 月 12 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

Interactive:This document offers customized analysis of your Cisco device.


目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
nat-control コマンド
      nat 0 を含む複数の NAT 設定例
複数のグローバル プール
      ネットワーク ダイアグラム
NAT グローバル設定と PAT グローバル設定の混在
      ネットワーク ダイアグラム
nat 0 アクセス リストを含む複数の NAT 設定例
      ネットワーク ダイアグラム
ポリシー NAT の使用
      ネットワーク ダイアグラム
スタティック NAT
      ネットワーク ダイアグラム
NAT をバイパスする方法
      アイデンティティ NAT の設定
      スタティック アイデンティティ NAT の設定
      NAT 免除の設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco PIX/ASA セキュリティ アプライアンスでの基本的なネットワーク アドレス変換(NAT)とポート アドレス変換(PAT)の設定の例を紹介しています。また、簡略化したネットワーク ダイアグラムも掲載されています。詳細は、使用している PIX/ASA ソフトウェア バージョンの PIX/ASA のドキュメントを参照してください。

PIX 5.x 以降での natglobalstaticconduitaccess-list の各コマンドおよびポート リダイレクション(フォワーディング)についての詳細は、『PIX での nat、global、static、conduit、および access-list の各コマンドとポート リダイレクション(フォワーディング)の使用方法』を参照してください。

Cisco Secure PIX Firewall での基本的な NAT と PAT の設定例についての詳細は、『Cisco Secure PIX Firewall での NAT と PAT の使用』を参照してください。

注:透過モードでの NAT は PIX/ASA バージョン 8.x 以降でサポートされています。詳細は、『透過モードでの NAT』を参照してください。

前提条件

要件

このドキュメントの読者には、Cisco PIX/ASA セキュリティ アプライアンスに関する知識が必要です。

使用するコンポーネント

このドキュメントの情報は Cisco PIX 500 シリーズ セキュリティ アプライアンス ソフトウェア バージョン 7.0 以降に基づくものです。

注:このドキュメントは PIX/ASA バージョン 8.x で再検証されています。

注:このドキュメントで使用されているコマンドは、Firewall Service Module(FWSM)に適用可能です。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

nat-control コマンド

PIX/ASA で nat-control コマンドが設定されると、ファイアウォールを通過するすべてのトラフィックが特定の変換エントリ(global とマッチする nat 設定、または static 設定)を持つ必要があります。nat-control コマンドを使用すると、バージョン 7.0 より前の PIX Firewall と変換の動作が同じになります。PIX/ASA バージョン 7.0 以降のデフォルト設定は、no nat-control コマンドの指定です。PIX/ASA バージョン 7.0 以降では、nat-control コマンドを発行することにより動作を変更できます。

nat-control がディセーブルになっていると、コンフィギュレーションに特定の変換エントリがなくても、PIX/ASA ではより高セキュリティのインターフェイスから、より低セキュリティのインターフェイスにパケットの転送が行われます。より低セキュリティのインターフェイスから、より高セキュリティのインターフェイスにトラフィックを渡すには、トラフィックの許可にアクセス リストを使用します。これで、PIX/ASA はトラフィックの転送を行います。このドキュメントでは、nat-control がイネーブルにされた状態での PIX/ASA セキュリティ アプライアンスの動作に焦点を当てています。

注:PIX/ASA で nat-control 設定を削除またはディセーブルにするには、セキュリティ アプライアンスからすべての NAT 設定を削除する必要があります。一般的には、NAT 制御をオフにする前に、NAT を削除する必要があります。期待どおりに動作させるには、PIX/ASA で NAT を再設定する必要があります。

nat 0 を含む複数の NAT 設定例

ネットワーク ダイアグラム

pix70-nat-pat-1.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

この例では、172.16.199.1 〜 172.16.199.63 のアドレス範囲が ISP からネットワーク管理者に提供されています。ネットワーク管理者は、インターネット ルータの Inside インターフェイスに 172.16.199.1 を割り当て、PIX/ASA の Outside インターフェイスに 172.16.199.2 を割り当てると判断します。

ネットワーク管理者にはネットワーク 192.168.200.0/24 に割り当てられた Class C アドレスがあり、インターネットにアクセスするためにこれらのアドレスを使用する複数のワークステーションがあります。これらのワークステーションはアドレス変換の対象ではありません。ところが、新しいワークステーションには 10.0.0.0/8 ネットワークのアドレスが割り当てられるため、これらには変換が必要です。

このネットワーク設計を実現するには、次の出力に示されているように、ネットワーク管理者は PIX/ASA のコンフィギュレーションに 2 つの NAT 設定と 1 つのグローバル プールを使用する必要があります。

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 192.168.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

このコンフィギュレーションでは、192.168.200.0/24 ネットワークからのアウトバウンド トラフィックで送信元アドレスが変換されるものはありません。この場合、10.0.0.0/8 ネットワークからの送信元アドレスが、172.16.199.3 〜 172.16.199.62 の範囲からのアドレスに変換されます。

下記の手順は、Adaptive Security Device Manager(ASDM)を使用して同じ設定を適用する方法を示しています。

注:設定の変更には CLI または ASDM のいずれかを使用します。CLI と ASDM の両方を設定の変更に使用すると、ASDM によって適用される設定に関して重大な誤動作が発生します。これは不具合ではなく、ASDM の動作によるものです。

注:ASDM をオープンすると、PIX/ASA から現在のコンフィギュレーションがインポートされ、変更の作成や適用を行った際には、そのコンフィギュレーションに基づいて動作します。ASDM セッションがオープンしている場合に PIX/ASA に変更が加えられると、ASDM は、PIX/ASA の現在のコンフィギュレーションと見なしているものでは動作しなくなります。CLI でコンフィギュレーションを変更する場合は、必ず ASDM セッションをすべてクローズするようにしてください。GUI で作業する場合には、ASDM を再オープンします。

  1. ASDM を起動して、Configuration タブに移動し、NAT をクリックします。

  2. Add をクリックして新しいルールを作成します。

    pix70-nat-pat-2.gif

    新しいウィンドウが表示され、ここからこの NAT エントリの NAT オプションを変更できます。この例では、特定の 10.0.0.0/24 のネットワークから発信され、Inside インターフェイスに到達したパケットに対して NAT が実行されます。

    PIX/ASA では、これらのパケットが、Outside インターフェイスのダイナミック IP プールに変換されます。NAT を適用するトラフィックについての情報を入力したら、変換済みトラフィック用の IP アドレスのプールを定義します。

  3. 新しい IP プールを追加するには Manage Pools をクリックします。

    pix70-nat-pat-3.gif

  4. outside を選択して、Add をクリックします。

    pix70-nat-pat-4.gif

  5. プールの IP 範囲を指定し、プールに一意の ID 番号を割り当てます。

    pix70-nat-pat-5.gif

  6. 適切な値を選択して、OK をクリックします。

    Outside インターフェイスに新しいプールが定義されます。

    pix70-nat-pat-6.gif

  7. プールを定義したら、OK をクリックして、NAT ルール設定ウィンドウに戻ります。

    必ず、Address Pool ドロップダウン リストで作成したばかりの正しいプールを選択するようにしてください。

    pix70-nat-pat-7.gif

    これで、セキュリティ アプライアンスを経由する NAT 変換が作成されました。ところが、NAT を行わないトラフィックを指定する NAT エントリをさらに作成する必要があります。

  8. 新しいルールを作成するには、ウィンドウの最上段にある Translation Exemption Rules をクリックして、Add をクリックする必要があります。

    pix70-nat-pat-8.gif

  9. 送信元に inside インターフェイスを選択し、192.168.200.0/24 サブネットを指定します。「When connecting」の値はデフォルト設定のままにしておきます。

    pix70-nat-pat-9.gif

    これで、NAT ルールが定義されました。

  10. セキュリティ アプライアンスの現在の実行コンフィギュレーションにこの変更を適用するには、Apply をクリックします。

    次の出力には、PIX/ASA のコンフィギュレーションに適用される実際の追加部分が示されています。これらは手動で入力するコマンドとは多少異なりますが、効果は同じです。

    access-list inside_nat0_outbound extended permit 
    ip 192.168.200.0 255.255.255.0 any
    
    global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192
    
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 10.0.0.0 255.255.255.0
    

複数のグローバル プール

ネットワーク ダイアグラム

pix70-nat-pat-10.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

この例では、インターネットに登録されている 2 つの IP アドレス範囲がネットワーク管理者に提供されています。ネットワーク管理者は、10.0.0.0/8 の範囲にあるすべての内部アドレスを登録アドレスに変換する必要があります。ネットワーク管理者が使用する必要のある IP アドレスの範囲は、172.16.199.1 〜 172.16.199.62 と 192.168.150.1 〜 192.168.150.254 です。ネットワーク管理者は、次の方法でこれを実現できます。

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

global (outside) 1 192.168.150.1-192.168.150.254 netmask 255.255.255.0 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

ダイナミック NAT では、より限定的な設定が、同じインターフェイス上でグローバル設定を使用する場合に優先されます。

nat (inside) 1 10.0.0.0 255.0.0.0
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 1 172.16.1.1
global (outside) 2 192.168.1.1

Inside のネットワークが 10.1.0.0 の場合、NAT global 2 は 1 よりも変換に関して限定的なので、global 2 が 1 より優先されます。

注:NAT 設定ではワイルドカード アドレッシング方式が使用されます。この設定では、内部送信元アドレスがインターネットに送出される際に、PIX/ASA で内部送信元アドレスをすべて変換するように指定されています。必要な場合は、このコマンドのアドレスをさらに限定的にすることができます。

NAT グローバル設定と PAT グローバル設定の混在

ネットワーク ダイアグラム

pix70-nat-pat-11.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

この例では、会社で使用するように、172.16.199.1 〜 172.16.199.63 のアドレス範囲が ISP からネットワーク管理者に提供されています。ネットワーク管理者は、インターネット ルータの Inside インターフェイスに 172.16.199.1 を使用し、PIX/ASA の Outside インターフェイスに 172.16.199.2 を使用すると判断します。NAT プールの用途には、172.16.199.3 〜 172.16.199.62 が残されています。ところが、ネットワーク管理者には、一時点で 60 人を超えるユーザが PIX/ASA からの外部アクセスを試みる可能性があることがわかっています。そのため、ネットワーク管理者は 172.16.199.62 を使用して、これを PAT アドレスにすると判断します。これにより、複数のユーザが同時に 1 つのアドレスを共用できます。

global (outside) 1 172.16.199.3-172.16.199.61 netmask 255.255.255.192

global (outside) 1 172.16.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

これらのコマンドでは、PIX/ASA に対して、最初の 59 人の内部ユーザが PIX/ASA を通過するために送信元アドレスを 172.16.199.3 〜 172.16.199.61 に変換するように指示されています。これらのアドレスが使い果たされると、PIX では、NAT プール内のアドレスの 1 つが解放されるまで、後続の送信元アドレスすべてを 172.16.199.62 に変換することになります。

注:NAT 設定ではワイルドカード アドレッシング方式が使用されます。この設定では、内部送信元アドレスがインターネットに送出される際に、PIX/ASA で内部送信元アドレスをすべて変換するように指定されています。必要な場合は、このコマンドのアドレスをさらに限定的にすることができます。

nat 0 アクセス リストを含む複数の NAT 設定例

ネットワーク ダイアグラム

pix70-nat-pat-12.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

この例では、172.16.199.1 〜 172.16.199.63 のアドレス範囲が ISP からネットワーク管理者に提供されています。ネットワーク管理者は、インターネット ルータの Inside インターフェイスに 172.16.199.1 を割り当て、PIX/ASA の Outside インターフェイスに 172.16.199.2 を割り当てると判断します。

ただし、このシナリオでは、インターネット ルータの外に別のプライベート LAN セグメントが存在しています。ネットワーク管理者は、これら 2 つのネットワーク内のホストどうしが通信するときに、グローバル プールのアドレスを無駄に使用しないようにする必要があります。ただし、内部ユーザ(10.0.0.0/8)がインターネットにアクセスする場合は、内部ユーザの発信元アドレスを変換する必要があります。

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

このコンフィギュレーションでは、送信元アドレスが 10.0.0.0/8 の範囲で宛先アドレスが 192.168.1.0/24 の範囲のアドレスは変換されません。この場合、10.0.0.0/8 のネットワーク内から開始され、192.168.1.0/24 以外のいずれかを宛先とする送信元アドレスが、172.16.199.3 〜 172.16.199.62 の範囲にあるアドレスに変換されます。

Cisco デバイスからの write terminal コマンドの出力がある場合、アウトプットインタープリタ登録ユーザ専用)を使用できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ポリシー NAT の使用

ネットワーク ダイアグラム

pix70-nat-pat-10.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

0 以外の NAT ID の nat コマンドでアクセス リストを使用すると、ポリシー NAT がイネーブルになります。

注:ポリシー NAT はバージョン 6.3.2 で導入されました。

ポリシー NAT を使用すると、アクセス リストで発信元と宛先のアドレス(またはポート)を指定する際に、アドレス変換対象のローカル トラフィックを識別できます。通常の NAT で使用されるのは発信元のアドレス/ポートのみですが、ポリシー NAT では発信元と宛先の両方のアドレス/ポートが使用されます。

注:NAT 免除(nat 0 access-list)を除き、すべてのタイプの NAT でポリシー NAT がサポートされています。NAT 免除では、ローカル アドレスの識別にアクセス コントロール リストが使用されますが、ポートは考慮されないという点がポリシー NAT と異なります。

ポリシー NAT では、発信元/ポートと宛先/ポートの組み合せが設定ごとに一意である限り、同じローカル アドレスを識別する複数の NAT 設定や static 設定を作成できます。これにより、それぞれの発信元/ポートと宛先/ポートのペアに対して異なるグローバル アドレスを対応させることができます。

この例では、ネットワーク管理者からはポート 80(Web)とポート 23(Telnet)に宛先 IP アドレス 192.168.201.11 へのアクセスが割り当てられていますが、送信元アドレスには 2 つの異なる IP アドレスを使用する必要があります。IP アドレス 172.16.199.3 が Web への送信元アドレスに使用されます。Telnet には IP アドレス 172.16.199.4 が使用され、10.0.0.0/8 の範囲にあるすべての内部アドレスは変換が必要です。ネットワーク管理者は、次の方法でこれを実現できます。

access-list WEB permit tcp 10.0.0.0 255.0.0.0 192.168.201.11 
255.255.255.255 eq 80

access-list TELNET permit tcp 10.0.0.0 255.0.0.0 192.168.201.11 
255.255.255.255 eq 23 

nat (inside) 1 access-list WEB

nat (inside) 2 access-list TELNET

global (outside) 1 172.16.199.3 netmask 255.255.255.192

global (outside) 2 172.16.199.4 netmask 255.255.255.192

可能性のある問題と修正を表示するには、アウトプットインタープリタ登録ユーザ専用)を使用できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

スタティック NAT

ネットワーク ダイアグラム

pix70-nat-pat-13.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

スタティック NAT 設定では、1 対 1 のマッピングが作成され、特定のアドレスが別のアドレスに変換されます。このタイプの設定では、設定が存在する限り、NAT テーブルに恒久的なエントリが作成され、Inside のホストと Outside のホストの両方から接続を開始できます。これは、主にメール、Web、FTP などのアプリケーション サービスを提供するホストで便利な設定です。この例では、Inside と Outside のユーザが DMZ 上の Web サーバにアクセスできるようにスタティック NAT 設定を設定します。

次の出力は、スタティック設定の作成方法を示しています。マッピングされる IP アドレスと実際の IP アドレスの順序に注意してください。

static (real_interface,mapped_interface) mapped_ip real_ip netmask mask

これは、Inside インターフェイス上のユーザが DMZ 上のサーバにアクセスできるように作成されたスタティック変換です。これにより、Inside のアドレスと DMZ 上のサーバのアドレスとのマッピングが作成されます。これで、Inside のユーザは、Inside のアドレスを使用して DMZ 上のサーバにアクセスできるようになります。

static (DMZ,inside) 10.0.0.10 192.168.100.10 netmask 255.255.255.255

これは、Outside インターフェイス上のユーザが DMZ 上のサーバにアクセスできるように作成されたスタティック変換です。これにより、Outside のアドレスと DMZ 上のサーバのアドレスとのマッピングが作成されます。これで、Outside のユーザは、Outside のアドレスを使用して DMZ 上のサーバにアクセスできるようになります。

static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255

注:Outside インターフェイスのセキュリティ レベルは DMZ よりも低いため、Outside のユーザに DMZ 上のサーバにアクセスできるようにするには、アクセス リストを作成する必要もあります。このアクセス リストでは、スタティック変換でマッピングされるアドレスへのアクセスをユーザに許可する必要があります。このアクセス リストはできるだけ詳細に作成することを推奨します。この場合、いずれのホストも、Web サーバのポート 80(www/http)およびポート 443(https)以外へのアクセスは許可されません。

access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https

ここで、Outside インターフェイスにアクセス リストを適用する必要があります。

access-group OUTSIDE in interface outside

access-list コマンドと access-group コマンドについての詳細は、『拡張アクセスリスト』と『アクセスグループ』を参照してください。

NAT をバイパスする方法

このセクションでは、NAT をバイパスする方法を説明しています。NAT 管理をイネーブルにしている場合に、NAT をバイパスする必要がある場合があります。NAT をバイパスするには、アイデンティティ NAT、スタティック アイデンティティ NAT、あるいは、NAT 免除を使用できます。

アイデンティティ NAT の設定

アイデンティティ NAT では、実 IP アドレスが同じ IP アドレスに変換されます。NAT 変換を作成できるのは「変換対象」ホストだけであり、応答トラフィックを返すことが可能です。

注:NAT 設定を変更する場合に、新しい NAT 情報が使用される前に既存の変換がタイムアウトするのを待つことをしたくない場合は、clear xlate コマンドを使用して変換テーブルをクリアできます。ところが、変換を使用している既存の接続は、変換テーブルをクリアする際に、すべて接続解除されます。

アイデンティティ NAT を設定するには、次のコマンドを入力します。

hostname(config)#nat (real_interface) 0 real_ip
         [mask [dns] [outside] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
         udp_max_conns] 

たとえば、Inside の 10.1.1.0/24 のネットワークにアイデンティティ NAT を使用するには、次のコマンドを入力します。

hostname(config)#nat (inside) 0 10.1.1.0
         255.255.255.0 

nat コマンドの詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 7.2』を参照してください。

スタティック アイデンティティ NAT の設定

スタティック アイデンティティ NAT では、実 IP アドレスが同じ IP アドレスに変換されます。変換は常にアクティブで、「変換対象」のホストとリモートのホストでは、どちらも接続の開始が可能です。スタティック アイデンティティ NAT では、通常の NAT かポリシー NAT を使用できます。ポリシー NAT では、変換する実アドレスを判別する際に、実アドレスと宛先アドレスによる識別が可能です(ポリシー NAT の詳細は「ポリシー NAT の使用」セクションを参照してください)。たとえば、Outside の宛先サーバ A にアクセスする場合は、Inside アドレスに対してポリシー スタティック アイデンティティ NAT を使用し、Outside のサーバ B にアクセスする場合には、通常の変換を使用することも可能です。

注:スタティック コマンドを削除しても、変換を使用している現在の接続への影響はありません。これらの接続を削除する場合は、clear local-host コマンドを入力します。clear xlate コマンドでは、変換テーブルからスタティック変換をクリアできません。その代わりに、static コマンドを削除する必要があります。clear xlate コマンドで削除できるのは、nat コマンドと global コマンドで作成されたダイナミック変換だけです。

ポリシー スタティック アイデンティティ NAT を設定するには、次のコマンドを入力します。

hostname(config)#static
         (real_interface,mapped_interface) real_ip access-list acl_id [dns]
         [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]

拡張アクセス リストを作成するには、access-list extended コマンドを使用します。このアクセス リストに記載できるのは許可 ACE だけです。アクセス リスト内の送信元アドレスが、このコマンドの real_ip に一致していることを確認してください。ポリシー NAT では、inactive キーワードや time-range キーワードは考慮されません。ポリシー NAT の設定では、すべての ACE はアクティブであると見なされます。詳細は、「ポリシー NAT の使用」セクションを参照してください。

通常のスタティック アイデンティティ NAT を設定するには、次のコマンドを入力します。

hostname(config)#static
         (real_interface,mapped_interface) real_ip real_ip [netmask mask] [dns]
         [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
         udp_max_conns]

両方の real_ip 引数に同じ IP アドレスを指定します。

ネットワーク ダイアグラム

pix70-nat-pat-14.gif

注:この設定で使用している IP アドレッシング スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 leavingcisco.com で使用されているアドレスであり、ラボ環境で使用されたものです。

たとえば、次のコマンドでは、Outside からアクセスされる際の Inside の IP アドレス(10.1.1.2)にはスタティック アイデンティティ NAT が使用されています。

hostname(config)#static (inside,outside) 10.1.1.2
         10.1.1.2 netmask 255.255.255.255

static コマンドの詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 7.2』を参照してください。

次のコマンドでは、Inside からアクセスされる際の Outside の IP アドレス(172.16.199.1)にはスタティック アイデンティティ NAT が使用されています。

hostname(config)#static (outside,inside) 172.16.199.1
         172.16.199.1 netmask 255.255.255.255

次のコマンドでは、サブネット全体がスタティックにマッピングされます。

 hostname(config)#static (inside,dmz) 10.1.1.2 10.1.1.2
         netmask 255.255.255.0 

次のスタティック アイデンティティ ポリシー NAT の例には、1 つの宛先アドレスにアクセスする際のアイデンティティ NAT を使用する単一の実アドレス、および、それ以外にアクセスする際の変換が示されています。

hostname(config)#access-list NET1 permit ip host
         10.1.1.3 172.16.199.0 255.255.255.224
hostname(config)#access-list NET2 permit ip host
         10.1.1.3 172.16.199.224 255.255.255.224 
hostname(config)#static (inside,outside) 10.1.1.3
         access-list NET1 
hostname(config)#static (inside,outside) 172.16.199.1
         access-list NET2

注:static コマンドについての詳細は、『Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド リファレンス、バージョン 8.1』を参照してください。

注:アクセスリストについての詳細は、『Cisco ASA 5580 適応型セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド、バージョン 8.1』を参照してください。

NAT 免除の設定

NAT 免除により、アドレスの変換が免除され、実ホストとリモート ホストの両方で接続を開始できます。NAT 免除では、(ポリシー NAT と同様に)免除する実トラフィックを決定する際に、実アドレスと宛先アドレスを指定できるので、アイデンティティ NAT よりも NAT 免除を使用する方が制御の範囲が広がります。アクセス リスト内のポートを検討するには、スタティック アイデンティティ NAT を使用します。

注:NAT 免除を削除しても、NAT 免除を使用している既存の接続への影響はありません。これらの接続を削除するには、clear local-host コマンドを入力します。

NAT 免除を設定するには、次のコマンドを入力します。

hostname(config)#nat (real_interface) 0 access-list
         acl_name [outside] 

access-list extended コマンドを使用して、拡張アクセス リストを作成します。このアクセス リストには許可 ACE と拒否 ACE の両方を記載できます。アクセス リストには実ポートと宛先ポートは指定しないでください。NAT 免除ではポートは考慮されません。NAT 免除では、inactive キーワードや time-range キーワードは考慮されません。NAT 免除の設定では、すべての ACE はアクティブであると見なされます。

デフォルトでは、このコマンドで免除対象になるのは、Inside から Outside へのトラフィックです。Outside から Inside へのトラフィックで NAT をバイパスするには、さらに nat コマンドを追加して、outside と入力することにより、NAT インスタンスを Outside の NAT として識別されるようにします。Outside インターフェイスにダイナミック NAT を設定して他のトラフィックを免除する場合、Outside NAT 免除を使用できます。

たとえば、すべての宛先アドレスにアクセスする際に Inside のネットワークを免除するには、次のコマンドを入力します。

 hostname(config)#access-list EXEMPT permit ip 10.1.1.0
         255.255.255.0 any 
hostname(config)# nat (inside) 0 access-list
         EXEMPT 

ある DMZ ネットワークにダイナミック Outside NAT を使用して、他の DMZ ネットワークを免除するには、次のコマンドを入力します。

 hostname(config)#nat (dmz) 1 10.1.1.0 255.255.255.0
         outside dns 
hostname(config)#global (inside) 1
         10.1.1.2
hostname(config)#access-list EXEMPT permit ip 10.1.1.0
         255.255.255.0 any 
hostname(config)#nat (dmz) 0 access-list
         EXEMPT

たとえば、2 つの異なる宛先アドレスにアクセスする際に 1 つの Inside のアドレスを免除するには、次のコマンドを入力します。

hostname(config)#access-list NET1 permit ip 10.1.1.0
         255.255.255.0 172.16.199.0 255.255.255.224
hostname(config)#access-list NET1 permit ip 10.1.1.0
         255.255.255.0 172.16.199.224 255.255.255.224 
hostname(config)#nat (inside) 0 access-list NET1
         

確認

セキュリティ アプライアンスを通過するトラフィックは、ほとんどが NAT の対象になります。セキュリティ アプライアンスで適用されている変換を確認するには、『PIX/ASA:パフォーマンスの問題の監視とトラブルシューティング』を参照してください。

show xlate count コマンドは、PIX を経由した変換の現在数と最大数を表示します。変換は外部アドレスへの内部アドレスのマッピングで、1 対 1 のマッピングになる場合(NAT など)と多対 1 のマッピングになる場合(PAT など)があります。このコマンドは、show xlate コマンドのサブセットで、PIX を介して各変換が出力されます。コマンド出力に表示される「in use」の変換は、コマンドの発行時点で PIX 内に存在するアクティブな変換の数を表します。「most used」は、PIX の電源オン以降に PIX で見られた変換の最大数を表します。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 64758