セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA 7.x/FWSM 3.x:スタティック ポリシー NAT を使用した、複数のグローバル IP アドレスから単一のローカル IP アドレスへの変換

2011 年 1 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 1 月 30 日) | フィードバック


概要

このドキュメントでは、PIX/Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)7.x ソフトウェア上でポリシーベースのスタティック Network Address Translation(NAT; ネットワーク アドレス変換)を使用して、1 つのローカル IP アドレスを複数のグローバル IP アドレスにマッピングする設定例を示します。



前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認します。

  • PIX/ASA 7.x CLI に関する実務知識およびアクセス リストとスタティック NAT を設定した経験が必要です。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • この具体例では ASA 5520 を使用します。ただし、ポリシー NAT コンフィギュレーションは、7.x が稼働するすべての PIX または ASA アプライアンスで動作します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

この設定例では、ASA の背後(192.168.100.50)に内部 Web サーバを持ちます。このサーバから、内部 IP アドレス 192.168.100.50 および外部アドレス 172.16.171.125 を使用して外部ネットワーク インターフェイスにアクセス可能であることが要件です。プライベート IP アドレス 192.168.100.50 には、ネットワーク 172.16.171.0/24 からのみアクセス可能であるというセキュリティ ポリシー要件もあります。さらに、内部 Web サーバへの着信に許可されるプロトコルは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)およびポート 80 トラフィックのみです。単一のローカル IP アドレスに 2 つのグローバル IP アドレスがマッピングされているため、ポリシー NAT を使用する必要があります。そうしないと、PIX/ASA は、2 つの 1 対 1 スタティックを重複アドレス エラーとして拒否します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/77800/pixasa-multi-ip-single-ip-1.gif



設定方法

このドキュメントでは次の設定を使用します。

ciscoasa(config)#show run
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.171.124 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive



!--- policy_nat_web1 および policy_nat_web2 は、変換する送信元アドレスに 
!--- 一致する 2 つのアクセス リストです。2 つのアクセス リストはまったく同じでもかまいませんが、
!--- 必ず 2 つ必要です。


access-list policy_nat_web1 extended permit ip host 192.168.100.50 any
access-list policy_nat_web2 extended permit ip host 192.168.100.50 any


!--- inbound_outside アクセス リストは、前述のセキュリティ ポリシーを定義します。
!--- このアクセス リストは、outside インターフェイスへの着信に適用されます。


access-list inbound_outside extended permit tcp 172.16.171.0 255.255.255.0 
   host 192.168.100.50 eq www
access-list inbound_outside extended permit icmp 172.16.171.0 255.255.255.0 
   host 192.168.100.50 echo-reply
access-list inbound_outside extended permit icmp 172.16.171.0 255.255.255.0 
   host 192.168.100.50 echo
access-list inbound_outside extended permit tcp any host 172.16.171.125 eq www
access-list inbound_outside extended permit icmp any host 172.16.171.125 echo-reply
access-list inbound_outside extended permit icmp any host 172.16.171.125 echo
pager lines 24
logging asdm informational
mtu management 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400


!--- この最初のスタティックにより、ユーザは Web サーバの変換済みグローバル IP アドレスに 
!--- 到達できるようになります。このスタティックは、設定の最初に出現するため、内部 Web サーバから
!--- 発信して開始する接続に対して、ASA は送信元アドレスを
!--- 172.16.171.125 に変換します。


static (inside,outside) 172.16.171.125  access-list policy_nat_web1


!--- 2 番目のスタティックにより、ネットワークはプライベート IP アドレス 192.168.100.50 
!--- を使用して Web サーバにアクセスできるようになります。



static (inside,outside) 192.168.100.50  access-list policy_nat_web2


!--- inbound_outside アクセス リストを outside インターフェイスに適用します。


access-group inbound_outside in interface outside

route outside 0.0.0.0 0.0.0.0 172.16.171.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context



確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドが、Output Interpreter Tool登録ユーザ専用)(OIT; アウトプット インタープリタ ツール)でサポートされています。OIT を使用して、show コマンド出力の分析を表示できます。

  1. アップストリーム IOS® ルータ 172.16.171.1 上で、ping コマンドを使用して Web サーバの両方のグローバル IP アドレスに到達できることを確認します。

    router#ping 172.16.171.125
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.171.125, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
    router#ping 192.168.100.50
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.100.50, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
  2. ASA 上で、変換(xlate)テーブルを表示してテーブル内に変換が組み込まれていることを確認します。

    ciscoasa(config)#show xlate global 192.168.100.50
    2 in use, 28 most used
    Global 192.168.100.50 Local 192.168.100.50
    ciscoasa(config)#show xlate global 172.16.171.125
    2 in use, 28 most used
    Global 172.16.171.125 Local 192.168.100.50
    


トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

ping または接続が失敗した場合は、Syslog を使用して変換設定に問題がないかを確認します。(ラボ環境などの)使用率の低いネットワークでは、通常は、ロギング バッファ サイズで十分問題をトラブルシューティングできます。ロギング バッファ サイズでは十分でない場合は、Syslog を外部 Syslog サーバに送信する必要があります。これらの Syslog エントリで設定が正しいことを確認するために、レベル 6 でのバッファへのロギングをイネーブルにします。

ciscoasa(config)#logging buffered 6
ciscoasa(config)#logging on


!--- 172.16.171.120 から、ポート 80 で外部アドレス(172.16.171.125)および内部アドレス
!--- (192.168.100.50)の両方への TCP 接続を開始します。


ciscoasa(config)#show log
Syslog logging: enabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Deny Conn when Queue Full: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level debugging, 4223 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled
    Mail logging: disabled
    ASDM logging: level informational, 4032 messages logged
%ASA-5-111008: User 'enable_15' executed the 'clear logging buffer' command.
%ASA-7-609001: Built local-host outside:172.16.171.120
%ASA-7-609001: Built local-host inside:192.168.100.50
%ASA-6-302013: Built inbound TCP connection 67 for outside:172.16.171.120/33687 
(172.16.171.120/33687) to inside:192.168.100.50/80 (172.16.171.125/80)
%ASA-6-302013: Built inbound TCP connection 72 for outside:172.16.171.120/33689 
(172.16.171.120/33689) to inside:192.168.100.50/80 (192.168.100.50/80)

ログ内に変換エラーを見つけた場合は、NAT 設定を再度チェックします。Syslog で確認しない場合は、ASA の capture 関数を使用してインターフェイス上のトラフィックのキャプチャを試行します。キャプチャをセットアップするには、最初に特定タイプのトラフィックまたは TCP フローに一致するアクセス リストを指定する必要があります。次に、キャプチャ パケットを開始するために、このキャプチャを 1 つ以上のインターフェイスに適用する必要があります。


!--- 外部 IP アドレス 172.16.171.125 へのポート 80 トラフィックに一致する 
!--- キャプチャ アクセス リストを作成します。

!--- 注:これらのコマンドは、スペースの関係上 2 行にわたって表示されます。


ciscoasa(config)#access-list acl_capout permit tcp host 172.16.171.120 
     host 172.16.171.125 eq 80
ciscoasa(config)#access-list acl_capout permit tcp host 172.16.171.125 
    eq 80 host 172.16.171.120
ciscoasa(config)#


!--- Outside インターフェイスに capture を適用します。
 

ciscoasa(config)#capture capout access-list acl_capout interface outside


!--- トラフィックを開始した後、キャプチャを表示すると、これに類似した出力が 
!--- 表示されます。パケット 1 はクライアントからの SYN パケット、パケット 2 は内部サーバ 
!--- からの SYN-ACK 応答パケットであることに注意します。Inside インターフェイスに capture 
!--- を適用した場合、送信元アドレスを 192.168.100.50 とするサーバからの 
!--- 応答が、パケット 2 内に表示されるはずです。


ciscoasa(config)#show capture capout
4 packets captured
   1: 13:17:59.157859 172.16.171.120.21505 > 172.16.171.125.80: S 
      2696120951:2696120951(0) win 4128 <mss 1460>
   2: 13:17:59.159446 172.16.171.125.80 > 172.16.171.120.21505: S 
      1512093091:1512093091(0) ack 2696120952 win 4128 <mss 536>
   3: 13:17:59.159629 172.16.171.120.21505 > 172.16.171.125.80: . 
      ack 1512093092 win 4128
   4: 13:17:59.159873 172.16.171.120.21505 > 172.16.171.125.80: .
      ack 1512093092 win 4128



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 77800