IP : ネットワーク アドレス変換(NAT)

二重内部ネットワークのための ASA を設定して下さい

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料に Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)を設定する方法を 2 つの内部ネットワークの使用のためのその実行ソフトウェア バージョン 9.x 記述されています。

Dinkar Sharma、Bratin Saha、および Prashant Joshi によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

ソフトウェア バージョン 9.x を実行するこの文書に記載されている情報は Cisco ASA に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ASA ファイアウォールの後ろの第 2 内部ネットワークを追加するとき、この重要な情報を考慮して下さい:

  • ASA ではセカンダリ アドレッシングがサポートされていません。

  • ルータは ASA の後ろで現在のネットワークと新たに追加されたネットワーク間のルーティングを実現させるために使用する必要があります。

  • ホストすべてのためのデフォルト ゲートウェイは内部ルータを指す必要があります。

  • ASA に内部ルータにデフォルト ルートをそのポイント追加して下さい。

  • 内部ルータのアドレス解決プロトコル (ARP) キャッシュを消去して下さい。

設定

情報を使用して下さい ASA を設定するためにこのセクションに説明がある。

ネットワーク図

この資料の全体にわたって例のために使用するトポロジーはここにあります:

: この設定で使用される IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 アドレスであり、ラボ環境で使用されるものです。

ASA 9.x 設定

Ciscoデバイスからの write terminal コマンドの出力がある場合、潜在的な問題および修正を表示するために Output Interpreter ツール登録ユーザのみ)を使用できます。

ソフトウェア バージョン 9.x を実行する ASA のための設定はここにあります:

ASA Version 9.3(2)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- This is the configuration for the outside interface.

!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0

!--- This is the configuration for the inside interface.

!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!

boot system disk0:/asa932-smp-k8.bin

!--- This creates an object called OBJ_GENERIC_ALL.
!--- Any host IP address that does not already match another configured
!--- object will get PAT to the outside interface IP address
!--- on the ASA (or 10.1.5.1), for Internet-bound traffic.



object network OBJ_GENERIC_ALL
subnet 0.0.0.0 0.0.0.0

nat (inside,outside) dynamic interface
!
route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 203.0.113.1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

PAT を使用した inside ホストから outside ネットワークへのアクセスの許可

内部ホストを変換のための単一 パブリックアドレスを共有してもらうように意図する場合使用 ポート アドレス変換 (PAT)。 最も簡単な PAT コンフィギュレーションの 1 つはそれらが outside インターフェイス IP のようであるようにすべての内部ホストの変換を含みます。 ISP から利用可能のルーティング可能 な IP アドレスの数が少数だけに制限される、またはちょうど 1 使用されるときこれは典型的な PAT 設定です。

PAT の外部ネットワークに内部ホスト アクセスを許可するためにこれらのステップを完了して下さい:

  1. 設定 > ファイアウォール > NAT ルールにナビゲート し、『Add』 をクリック し、ダイナミック NAT ルールを設定するためにネットワーク オブジェクトを選択して下さい:



  2. ダイナミック PAT が必要となるホスト/範囲を/ネットワーク設定して下さい。 この例では、すべては内部サブネット選択されました。 このプロセスは特定のサブネットのためにこのように変換したいこと繰り返す必要があります:



  3. outside インターフェイスを反映するように『NAT』 をクリック し、追加自動アドレス 変換 規則 チェックボックスをチェックし、ダイナミックを入力し、変換されたアドレス オプションを設定して下さい。 省略記号ボタンをクリックする場合、outside インターフェイスのような前もって構成されたオブジェクトを、選ぶために助けます:



  4. 送信元および宛先 インターフェイスを選択するために『Advanced』 をクリック して下さい:



  5. 『OK』 をクリック し、次に変更を加えるために『Apply』 をクリック して下さい。 完全、適応性がある Security Device Manager (ASDM)は NAT ルールを示します:

ルータ B の設定

ルータ B のための設定はここにあります:

Building configuration...

Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1

!--- This assigns an IP address to the ASA-facing Ethernet interface.

ip address 192.168.0.254 255.255.255.0
no ip directed-broadcast

ip classless

!--- This route instructs the inside router to forward all of the
!--- non-local packets to the ASA.


ip route 0.0.0.0 0.0.0.0 192.168.0.1
no ip http server
!
!
line con 0
exec-timeout 0 0
length 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

確認

設定がきちんと機能することを確認するために Webブラウザによって HTTP によって Webサイトにアクセスして下さい。

この例は IP アドレス 198.51.100.100 でホストされるサイトを使用します。 接続が正常である場合、続くセクションで提供される出力は ASA CLI で見られる場合があります。

接続

接続を確認するために show connection address コマンドを入力して下さい:

ASA(config)# show connection address 172.16.11.5
6 in use, 98 most used
TCP outside 198.51.100.100:80 inside 192.168.1.5:58799, idle 0:00:06, bytes 937,
flags UIO

ASA はステートフル ファイアウォールであり、ファイアウォール 接続テーブルの接続と一致するので Webサーバからのリターントラフィックはファイアウォールによって許可されます。 トラフィックはファイアウォールによってインターフェイス Access Control List (ACL)によってブロックされないで既存する接続と一致する許可されます。

上の出力では、内部インターフェイス上のクライアントが外部インターフェイスからの 198.51.100.100 ホストへの接続を確立しました。 この接続では TCP プロトコルが使用されており、6 秒間アイドル状態です。 接続のフラグは、この接続の現在の状態を示します。

: Connection フラグに関する詳細については ASA TCP Connection フラグ(接続集結およびティアダウン) Ciscoドキュメントを参照して下さい。

トラブルシューティング

情報を使用して下さい設定 に関する 問題を解決するためにこのセクションに説明がある。

syslog

syslog を表示するために show log コマンドを入力して下さい:

ASA(config)# show log | in 192.168.1.5

Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
192.168.1.5/58799 to outside:203.0.113.2/58799

Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:192.168.1.5/58799 (203.0.113.2/58799)

ASA ファイアウォールは正常な動作の間に syslog を生成します。 syslog の冗長さはログ設定に基づいて変化します。 出力はレベル 6 で見られる、または情報レベルを示したものです 2 syslog。

この例では、2 種類の syslog が生成されています。 第 1 はファイアウォールが変換を構築したことを示すログメッセージです; 具体的には、ダイナミック TCP 変換(PAT)。 それはトラフィックが内部から outside インターフェイスに横断するので、ソース IP アドレスおよびポート、また変換された IP アドレスおよびポート示します。

2 番目の syslog はファイアウォールがクライアントとサーバ間のこの特定のトラフィック用に接続テーブルで接続を作成したことを示します。 この接続の試みをブロックするためにファイアウォールが設定されたかまたは他のファクタがこの接続(リソース制約か可能性のある ミスコンフィギュレーション)の作成を禁じたら場合、ファイアウォールは接続が構築されたことを示すためにログを生成しません。 その代り、それは作成から接続を禁じたファクタに関してまたは示す値否定される接続のための原因を記録 します。

パケット トレーサー

パケット トレーサー機能性を有効に するためにこのコマンドを入力して下さい:

ASA(config)# packet-tracer input inside tcp 192.168.1.5 1234 198.51.100.100 80 


--Omitted--

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

ASA のパケット トレーサー機能性はトラフィックを処理するとき模倣されたパケットを規定 し、ファイアウォールが完了するさまざまなステップ、チェックおよび機能すべてを表示することを可能にします。 このツールによって、トラフィックを模倣するためにパススルー ファイアウォール、および使用に許す必要があるその 5-tupple 信じるトラフィックの例を識別することは有用です。 前記の例では、以下の条件を満たす接続試行をシミュレートするために、パケット トレーサを使用します。

  • 模倣されたパケットは内部インターフェイスに着きます。

  • プロトコルは使用される TCP です。

  • 模倣されたクライアントIPアドレスは 192.168.1.5 です。

  • ポート 1234 からソースをたどられるクライアントはトラフィックを送信 します。

  • トラフィックは IP アドレス 198.51.100.100 のサーバに向かいます。

  • トラフィックはポート 80 宛てです。

コマンドの outside インターフェイスの言及がなかったことに注意して下さい。 これはパケット トレーサー設計が原因です。 このツールは、このタイプの接続試行をファイアウォールでどのように処理するのかを示し、ルーティングの方法や、どのインターフェイスから送信するのかが含まれます。

ヒント: パケット トレーサー機能性に関する詳細については、CLI、8.4 および 8.6 を使用して Cisco ASA 5500 シリーズ コンフィギュレーション ガイドパケット トレーサー セクションのトレース パケットを参照して下さい。

キャプチャ

キャプチャを加えるためにこれらのコマンドを入力して下さい:

ASA# capture capin interface inside match tcp host 192.168.1.5 host 198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100
ASA#show capture capin

3 packets captured

1: 11:31:23.432655 192.168.1.5.58799 > 198.51.100.100.80: S 780523448:
780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712518 198.51.100.100.80 > 192.168.1.5.58799: S 2123396067:
2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712884 192.168.1.5.58799 > 198.51.100.100.80: . ack 2123396068
win 32768
ASA#show capture capout

3 packets captured

1: 11:31:23.432869 203.0.113.2.58799 > 198.51.100.100.80: S 1633080465:
1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712472 198.51.100.100.80 > 203.0.113.2.58799: S 95714629:
95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712914 203.0.113.2.58799 > 198.51.100.100.80: . ack 95714630
win 32768/pre>

インターフェイスに入るか、または残す ASA ファイアウォールはトラフィックをキャプチャ することができます。 このキャプチャ機能性はトラフィックは限定的に証明到着するできたり、またはから、ファイアウォールかどうかで去るので素晴らしいです。 前例は inside および outside インターフェイスの capin および capout と名前を挙げられる 2 人のキャプチャの設定をそれぞれ示します。 キャプチャ コマンドはキャプチャ したいと思うトラフィックを規定 することを可能にするキーワードを一致するのに使用します。

capin キャプチャ例に関しては、その内部インターフェイスで(入力か出力)一致する TCPホスト 192.168.1.5 ホスト 198.51.100.100 と見られるトラフィックを一致するたいと思うことが示されます。 すなわち、198.51.100.100 をホストするためにホスト 192.168.1.5 から送信 されるまたは逆にたいと思います TCPトラフィックをキャプチャ し。 match キーワードを使用すると、ファイアウォールでトラフィックを双方向でキャプチャできるようになります。 キャプチャ コマンドは outside インターフェイスのために定義されるファイアウォールがそのクライアントIPアドレスの PAT を行なうので内部クライアント IP アドレスを参照しません。 したがって、そのクライアントの IP アドレスと照合できません。 代わりに、この例では、可能性のあるすべての IP アドレスがその基準と一致することを示すために any を使用します。

キャプチャを設定した後、それから接続を再度確立するように試みることができ、提示キャプチャ <capture_name> を持つキャプチャを表示することを続行するために命じて下さい。 この例では、クライアントがキャプチャで見られる TCP 三方ハンドシェイクによって明白ようにサーバに接続できることがわかります。

関連情報



Document ID: 119195