ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
ネットワーク アドレス変換の設定
ネットワーク アドレス変換の設定
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ネットワーク アドレス変換の設定

この章のトピックでは、ネットワーク アドレス変換(NAT)ルールを定義および管理する方法について説明します。

アドレス変換の概要

アドレス変換は、パケット内の実際のアドレスを、宛先ネットワーク上でルーティング可能な、マッピングされたアドレスで置き換えます。 また、プロセスの一環として、デバイスにより変換データベースにその置換が記録されます。これらのレコードは、「xlate」エントリと呼ばれます。 リターン パケット上でのアドレス変換(マッピングされたアドレスを元の実際のアドレスに置き換えること)を可能にするには、適切な xlate エントリが存在している必要があります。この手順は「逆変換」と呼ばれることがあります。このように、ネットワーク アドレス変換(NAT)は、事実上、実際のアドレスからマッピングされたアドレスへの変換と、リターン トラフィック用の逆の変換の 2 つの手順で構成されます。

シスコ デバイスでは、NAT(アウトバウンドの各ホスト セッションに、グローバルに一意のアドレスを提供する)とポート アドレス変換(PAT)(一意のポート番号を組み合わせた 1 つアドレスを提供する)の両方を、最大で 64,000 個のアウトバウンドまたはインバウンドの同時ホスト セッションに対してサポートしています。 NAT で使用するグローバル アドレスは、アドレス変換用に特別に指定したアドレス プールから取得されます。 PAT で使用する一意のグローバル アドレスには、1 つのグローバル アドレスまたは指定されたインターフェイスの IP アドレスのいずれかを指定できます。

セキュリティ デバイスは、既存の NAT ルールが特定のトラフィック フローと一致した場合にアドレスを変換します。 NAT ルールが一致しなかった場合、パケットの処理が続行されます。 例外は、NAT コントロールをイネーブルにした場合です:NAT 制御では、よりセキュリティの高いインターフェイス(内部)からよりセキュリティの低いインターフェイス(外部)へのパケット通過は NAT ルールに一致している必要があります。一致していない場合、パケットの処理は停止します。

シスコ デバイスは、インバウンドとアウトバウンドの両方の接続で、NAT または PAT を実行できます。 インバウンド アドレスを変換するこの機能は、外部の、つまりセキュリティの高くないインターフェイス上のアドレスが、使用可能な内部 IP アドレスに変換されるため、「外部 NAT」と呼ばれます。 アウトバウンド トラフィックを変換する場合と同様に、ダイナミック NAT、スタティック NAT、ダイナミック PAT、またはスタティック PAT を選択できます。 必要に応じて、内部 NAT とともに外部 NAT を使用して、パケットの送信元 IP アドレスおよび宛先 IP アドレスの両方を変換できます。


(注)  


このマニュアルでは、すべての変換タイプを一般的に NAT と呼びます。それぞれのタイプの詳細については、アドレス変換定義を参照してください。 NAT を説明する場合、内部および外部という用語は 2 つのインターフェイス間のセキュリティ関係を表します。 セキュリティ レベルの高い方が内部で、セキュリティ レベルの低い方が外部になります。


アドレス変換定義

以前の ASA バージョンおよび他のデバイスと比較すると、ASA バージョン 8.3 のリリースでは、ネットワーク アドレス変換(NAT)を設定する簡単なアプローチが導入されました。 NAT の設定は、以前のフローベース方式を、「元のパケット」から「変換後のパケット」へのアプローチで置き換えることによって簡素化されています。

NAT ルールは、セキュリティ レベルに依存しなくなりました。 すべてのインターフェイスからなるグローバル アドレス空間が使用可能であり、キーワード「any」で指定されます。すべての [Interface] フィールドがデフォルトで any に設定されるため、特定のインターフェイスを指定しないかぎり、ルールはすべてのインターフェイスに適用可能になります。

次の表に、アドレス変換の使用可能なタイプについての簡単な説明を示します。

表 1 アドレス変換のタイプ

要素

説明

スタティック NAT

実際の送信元アドレスから特定のマッピングされたアドレスへの固定変換。個々の送信元アドレスは、IP プロトコルおよびポート番号に関係なく、常にマッピングされた同じアドレスに変換されます。

双方向ルールは、実際にはペアになった 2 つのルール(指定した送信元の値と宛先の値の間で実行される発信変換と着信変換のそれぞれに 1 つずつ)として機能するスタティック ルールです。

スタティック PAT

特定の TCP または UDP ポート番号を含む実際の送信元アドレスから特定のマッピングされたアドレスおよびポートへの固定変換。 つまり、個々の送信元アドレス/ポートは、常にマッピングされた同じアドレス/ポートに変換されます。

ダイナミック NAT

実際の送信元アドレスから、共有アドレス プールから取得されるマッピングされたアドレスへのダイナミック変換。 個々の送信元アドレスを、プール内の使用可能な任意のアドレスにマッピングできます。

ダイナミック PAT

実際の送信元アドレスから単一のマッピングされたアドレスへの変換。関連するポート番号のダイナミック変換によって、単一性が実現されます。 つまり、個々の実際のアドレス/ポートの組み合わせは、マッピングされた同じアドレスに変換されますが、一意のポートに割り当てられます。 これは、「オーバーロード」と呼ばれることがあります。

ポリシー スタティック NAT

実際の送信元アドレスから特定のマッピングされたアドレスへの固定変換。 宛先ネットワーク/ホストも指定しますが、サービスは常に IP です。

ポリシー スタティック PAT

特定の TCP または UDP ポート番号を含む実際の送信元アドレスから特定のマッピングされたアドレスおよびポートへの固定変換。 宛先ネットワーク/ホストおよびサービスも指定します。

ポリシー ダイナミック NAT

共有アドレス プールを使用する、指定したインターフェイス上の特定の送信元アドレス/宛先アドレス/サービスの組み合わせのダイナミック変換。 変換の方向(アウトバウンドまたはインバウンド)も指定します。

アイデンティティ NAT

アイデンティティ NAT では、実際のアドレスを自身に変換できます。基本的に NAT を回避します。 つまり、指定したアドレスは実質的に変換されません。 ネットワークまたはその他の大規模なアドレスのグループを変換しているときに、アドレスのサブセットを免除するために使用されます。

アウトバウンド接続にのみ適用されます。リモート アクセス VPN で必要です。

ネットワーク オブジェクト NAT

対応する NAT ルールが指定したセキュリティ デバイスに自動的に適用されるように、ネットワーク オブジェクトに NAT プロパティを定義することもできます。 これらのオブジェクトを使用するということは、必要な IP アドレス、サービス、およびインターフェイスを 1 度だけ入力すればよいということを意味します。 自動的に生成されるこれらのオブジェクトベースのルールは、「ネットワーク オブジェクト NAT」ルールと呼ばれます。

Destination Translation

手動のスタティック ルールでは、送信元アドレス変換に加えて、宛先アドレス変換も設定できます。 送信元変換と宛先変換は、同じ画面で同時に定義できます。 さらに、送信元変換にはスタティックまたはダイナミックを指定できますが、宛先変換は常にスタティックであり、手動ルールでだけ使用できます。

Twice NAT

手動のスタティック ルールを作成すると、実際には 2 つのスタティック NAT ルール(両方向の変換を含む)を示す 1 つのエントリがルール テーブル内に作成されます。 つまり、指定した送信元/変換後のアドレスのペアに対してスタティック ルールが作成されるとともに、変換後のアドレス/送信元のペアに対して、逆のルールが作成されます。 この変換は、実際には 2 つのルールを取得および処理するために必要なルックアップが 1 つだけで済むため、「Twice NAT」と呼ばれます。

PAT プールおよびラウンド ロビン割り当て

適応型セキュリティ アプライアンス バージョン 8.4.2 以降には、ポート アドレス変換(PAT)が行われる方法を変更できる 2 つの機能が含まれています。特に PAT の IP アドレス プールを明示的に定義でき、PAT 処理時のポート割り当てに「ラウンド ロビン」アルゴリズムを選択できます。

これらの機能によって、大量の PAT アドレスの設定を単純化でき、DoS 攻撃の一部として利用されることがある、単一の PAT アドレスからの大量の接続を防ぐことができます。

明示的な PAT プールの定義

バージョン 8.4.2 以前では、ダイナミック NAT および PAT ルールを定義するときに、変換に使用する IP アドレスのプールを指定します(Twice NAT ルールのプロパティ の [Original packet Source] フィールド)。 このプールは、個別の IP アドレス、アドレスの範囲、ネットワーク オブジェクトまたはネットワーク グループ オブジェクト、およびこれらの組み合わせで構成できました。

複数の IP アドレスを含む範囲とオブジェクトが「NAT プール」にあると見なされましたが、個々の IP アドレス、および 1 つ以上の個々の IP アドレスで構成されるグループ オブジェクトが「PAT プール」の一部と見なされました。

デバイスでのアドレス変換は、使用可能なすべてのアドレスを使い果たすまで NAT プールを通じて進行します。 その後、PAT プールを使用してポート アドレス変換が起動します。PAT プールの最初の IP アドレスにポートを割り当て、すべてのポート(約 64,000 個)を割り当て終えると、プールの次のアドレスにポートを割り当てます。その後も同様に動作します。 プール内のすべての IP アドレスですべてのポートが完全に登録されると、これ以上の変換は行われません。

バージョン 8.4.2 以降の ASA デバイスでは、ダイナミックな NAT の個別の PAT プールと PAT ルールを明示的に定義できます。 このように定義する場合、アドレスの最初の集合([Original packet Source] フィールドで定義される)は NAT プールと見なされますが、PAT プール アドレスは、[Translated packet Source] フィールドで指定されます。


(注)  


明示的に PAT プールを指定しない場合、アドレス変換は 8.4.2 以前のデバイスの説明に従って実行されます。


トランスレーション ルールの定義の詳細については、NAT ルールの管理 を参照してください。

ラウンド ロビン ポート割り当て

バージョン 8.4.2 以降の ASA デバイスでは、PAT 処理でのポート割り当てに別の方法を指定することもできます。 すでに説明したように、PAT ポート番号は、最後のポート番号が割り当てられるまで単一の IP アドレスに連続して割り当てられ、その後、プールで次に使用できる IP アドレスを使用して、プロセスが再開します。

ただし、8.4.2 以降のデバイスの新しいパラメータ([Use round robin allocation])を使用すると、使用可能な IP アドレスとポート番号を使用した「ラウンド ロビン」サイクルを指定できます。 この方法では、プールでそれぞれ連続するアドレスを使用して、アドレス/ポートの組み合わせを割り当てます。その後、最初のアドレスを異なるポートで再度使用し、次に 2 番目のアドレスを使用し、以後、同様に動作します。

さらに、ラウンドロビン アルゴリズムは、PAT 処理でアドレスとポートの組み合わせを割り当てるときに準拠を試行する 2 つの追加の原則を組み込みます。

  • 送信元から宛先への特定のマッピングがすでに存在する場合は、アルゴリズムは新しい接続に対して既存の変換を使用しようとします。 これが不可能な場合(たとえば、その IP アドレスのすべてのポートが使い果たされたとき)、アルゴリズムは標準のラウンドロビン サイクルを続行します。
  • 可能な場合、元の送信元ポート番号がマッピング ポート番号として使用されます。 つまり、たとえば、変換するアドレスとポートの組み合わせのポート番号が 4904 で、4904 が PAT プールの次の IP アドレスで使用可能な場合、変換後のアドレスは PAT_address/4904 になります。 これが不可能な場合(そのポートが次の PAT アドレスで使用できない)、アルゴリズムは標準のラウンドロビン サイクルを続行します。

(注)  


明示的にラウンド ロビン割り当てを指定しない場合、ポート割り当て循環は 8.4.2 以前のデバイスの説明に従って実行されます。


NAT ルールの管理

デバイスリ ポジトリ全体で使用できる NAT ルールを追加、編集、および削除でき、個々のデバイスに割り当てられたルールを追加、編集、および削除できます。 リポジトリのルールは、インベントリ内のすべてのデバイスに割り当てられます。

手順
    ステップ 1   NAT ルールを管理するには、Configurations > Policies/Settings を選択します。
    ステップ 2   目的のデバイスを選択します。[Devices] が [Policies/Settings] ビュー セレクタで選択されていることを確認し、デバイス リストから管理するデバイスを選択します。
    ステップ 3   [NAT policies] タブをクリックして NAT ルール テーブルを表示します。

    [NAT Rules] テーブルされているように、このテーブルは 3 つのセクションから構成されます。Twice NAT(オブジェクト NAT 前)ルール、ネットワーク オブジェクト ルール(これらは「自動」ルールです)、および Twice NAT(オブジェクト NAT 後)ルール。 前と後のルールは、それぞれ「自動」ルールの前と後に処理されます。

    ステップ 4   必要に応じて、特定のルールを追加、編集、削除、複製、およびイネーブル/ディセーブルします。 (一般的なポリシー管理は、ポリシーの基本 で説明しています)
    • NAT ルールを追加するには、テーブルの左側にある [Add] ボタンをクリックし、[Add Twice NAT(Before Object NAT)][Add Network Object NAT]、または [Add Twice NAT(After Object NAT)] を選択して適切な作成画面を表示します。

      Twice NAT(前と後)オプションの説明については、Twice NAT ルールのプロパティ を参照してください。 オブジェクト NAT オプションの説明については、オブジェクト NAT ルール を参照してください。

    • NAT ルールを編集するには、ルールを選択し、テーブルの左側にある [Edit] ボタンをクリックして適切な編集画面を表示します。[Edit Twice NAT Policy (before)]、[Edit Object NAT Policy]、または [Edit Twice NAT Policy (after)]。
    • NAT ルールを削除するには、ルールを選択し、テーブルの左側にある [Delete] ボタンをクリックします。 削除の確認が求められます。
    • NAT ルールを複製するには、ルールを選択し、テーブルの左側にある [Duplicate] ボタンをクリックします。 選択したルールと同じパラメータが含まれた [Duplicate NAT Rule] 画面が開きます。 必要に応じてパラメータを変更し、新しいルールを保存します。 Twice NAT(前と後)オプションの説明については、Twice NAT ルールのプロパティ を参照してください。 オブジェクト NAT オプションの説明については、オブジェクト NAT ルール を参照してください。
    • [Twice NAT Before] または [Twice NAT After] セクションでルールをイネーブルまたはディセーブルにするには、ルールを選択し、テーブルの左側にある [Enable/Disable] ボタンをクリックします。ルールは、現在の状態に従って、イネーブルまたはディセーブルになりますが、テーブルに残ります。 これは、ルールの編集および [Enable Rule] オプションの変更を行うためのショートカットです。 このボタンは、ネットワーク オブジェクト NAT ルールを選択した場合には使用できません。
    ステップ 5   優先順位に収まるように、必要に応じてポリシーを移動します。

    ポリシーは、最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つポリシーは、同じトラフィックに適用され、汎用的な基準を持つポリシーよりも上に置く必要があります。

    ポリシー セットまたはルールを移動するには、[Move] アイコン(左端の垂直な両方向矢印)をクリックしたまま、挿入位置のすぐ前のポリシーまでドラッグします。 単にシーケンス番号を編集し、目的の値に変更することもできます。


    Twice NAT ルールのプロパティ

    Twice NAT ルール(つまり、Before Auto Rule または After Auto Rule)を追加または編集するときに、次のプロパティが表示されます。

    Twice NAT プロパティ

    Description

    オプションで入力する最大 200 文字のルールの説明。

    Enable Rule

    テーブルから削除せずにこのルールをイネーブルまたはディセーブルにできます。[On] または[Off] を選択します。

    Source NAT type

    このオーバーライドに対してアドレス変換のタイプを指定します。[Static] または [Dynamic] を選択します。

    • [Static]:実際のアドレスからマッピングされたアドレスへのスタティックな割り当てを提供します。
    • [Dynamic]:複数のローカル アドレスから単一のグローバル IP アドレスおよび一意のポート番号へのダイナミックな割り当てを提供し、実質的に、ローカル アドレスを 1 つのグローバル アドレスの背後に「隠します」。 このオプションを選択すると、使用可能なプロパティに [PAT Pool] オプションも追加されます。 ルーテッド モードで稼働しているデバイスでは、このオプションによって次で説明するフォールスルー オプションも提供されます。

      (注)  


      このプロパティは指定した送信元の変換にだけ適用されます。宛先の変換は常にスタティックになります。


    送信元インターフェイス

    パケットが発信される指定されたデバイス上のインターフェイスの名前を入力または選択します。これは「実際の」インターフェイスです。 デフォルトは、すべてのインターフェイスを表す [Any] です。


    (注)  


    トランスペアレント ファイアウォール モードでは、このプロパティを指定する必要があります。


    宛先インターフェイス

    パケットが到着するインターフェイスの名前を入力または選択します。これは「マッピングされた」インターフェイスです。 デフォルトは、すべてのインターフェイスを表す [Any] です。 [Dynamic] が、選択された [Source NAT type] である場合、インターフェイス名を入力すると [Fallthrough to interface PAT] オプションが使用可能なプロパティに追加されます。


    (注)  


    トランスペアレント ファイアウォール モードでは、このプロパティを指定する必要があります。


    PAT プール

    [Source NAT type] として [Dynamic] を選択した場合に、[PAT Pool] オプションが表示されます。 関連パラメータを使用すると、PAT マッピングに使用されるアルゴリズムを変更できるだけでなく、特にポート アドレス変換に使用する IP アドレスの「プール」を指定することができます。 (詳細については、PAT プールおよびラウンド ロビン割り当て を参照してください)。[On] を選択すると、次のオプションが表示されます。[Translated address]、[Round Robin]、[Extended PAT table]、[Flat port range]、および [Include reserve ports]。

    変換後のアドレス

    PAT プールとして使用する 1 つ以上のネットワークおよびネットワーク グループ オブジェクトの名前を入力または選択します。

    インターフェイスの名前を入力または選択すると、[Additional Information] セクションに [Fallthrough to interface PAT] および [IPv6 Source] オプションが表示され、[Extended PAT table] オプションが表示されなくなります。

    Round Robin

    [PAT Pool] がオンの場合にだけ使用可能です。 アドレス/ポートのマッピングの「ラウンドロビン」手法を使用するには、このオプションをオンにします。 このオプションの詳細については、PAT プールおよびラウンド ロビン割り当て を参照してください。

    拡張 PAT テーブル

    [PAT Pool] がオンの場合にだけ使用可能です。 このオプションをオンにすると、拡張 PAT がイネーブルになります。 拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、サービスごとに 65535 個のポートが使用されます。 通常は、PAT 変換を作成するときに宛先ポートとアドレスは考慮されないため、PAT アドレスごとに 65535 個のポートに制限されます。 たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。

    フラットなポート範囲

    [PAT Pool] がオンの場合にだけ使用可能です。 このオプションをオンにすると、ポートの割り当て時に 1024 ~ 65535 のポート範囲全体の使用をイネーブルにします。 変換のマッピング ポート番号を選択するときに、ASA によって、使用可能な場合は実際の送信元ポート番号が使用されます。 ただし、このオプションを設定しないと、実際のポートが使用できない場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(1 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。 下位範囲でポートが不足するのを回避するには、この設定を行います。 1 ~ 65535 の範囲全体を使用するには、[Include reserve ports] もオンにします。

    予約ポートを含める

    [PAT Pool] および [Flat port range] がオンの場合にだけ使用可能です。 このオプションをオンにすると、PAT の範囲に予約ポート 1~1023 が含められます。

    その他の情報

    NAT 処理に関連する次の追加オプションは、作成するルールのタイプおよび選択された [Source NAT type] によって使用できる場合があります。

    • 単方向
    • DNS 応答の変換
    • IPv6 送信元
    • 1 対 1 のアドレス変換
    • ARP をプロキシしない
    • インターフェイス PAT へのフォールスルー
    • ルート ルックアップの実行
    単方向

    選択した [Source NAT Type] が [Static] の場合だけ使用可能です(ダイナミック ルールは、デフォルトでは単一方向です)。 この機能では、この画面の他のオプションによって指定された単一方向にだけスタティック NAT ルールを設定することができます。 オフの場合、両方向の変換が実行されます。

    IPv6 送信元

    [Destination] フィールドの [Original Packet] に単一のインターフェイスを入力する場合にだけ使用可能です。 IPv6 宛先インターフェイス アドレスを使用するには、オンにします。

    1 対 1 のアドレス変換

    1 対 1 のマッピングに変換を制限するには、オンにします。 通常は NAT 46 に使用されます(IPv4 から IPv6 のアドレス)。

    ARP をプロキシしない

    選択した [Source NAT type] が [Static] の場合のみ使用できます。 指定した宛先インターフェイスでプロキシ ARP をディセーブルにするには、オンにします。

    デフォルトでは、すべての NAT ルールは、出力インターフェイスでプロキシ ARP が含まれます。 NAT 免除ルールは出力インターフェイスを検出するときにルートの概要に依存する入力トラフィックと出力トラフィックの両方に対して NAT をバイパスするために使用されます。 したがって、プロキシ ARP は、NAT 免除ルールを無効にする必要があります。 (NAT 免除ルールが常に優先されます)


    (注)  


    個々のインターフェイスでプロキシ ARP をディセーブルにすることもできます。


    インターフェイス PAT へのフォールスルー

    ルーテッド モードで動作しているデバイス上で選択された [Source NAT Type] が [Dynamic] の場合だけ使用可能で、[Translated address] フィールドにインターフェイス名を指定すると表示されます。 オンにすると、ダイナミック PAT のバックアップがイネーブルになります。 ダイナミック NAT アドレスのプールが枯渇すると、[Translated Address] フィールドで指定されたアドレス プールを使用して、ポート アドレス変換が実行されます。

    ルート ルックアップの実行

    選択された [Source NAT Type] が [Dynamic] の場合だけ使用可能で、[Destination Interface] フィールドにインターフェイス名を指定すると表示されます。 このオプションがオンの場合、出力インターフェイスは、指定した宛先インターフェイスを使用する代わりにルート ルックアップを使用して決定します。 NAT 免除ルールでは、これをオンにしてください。 このオプションは、スタティック アイデンティティ NAT でだけサポートされています。


    (注)  


    このオプションは、トランスペアレント モードで動作しているデバイスでは使用できません。


    オブジェクト NAT ルール

    特定のパケットの宛先アドレスを上書きするために、ネットワーク オブジェクトで Network Address Translation(NAT)のオーバーライドを設定できます。 これは、「オブジェクト NAT」と呼べれ、デバイス レベルのオーバーライドと見なされます。 NAT のオーバーライドは ASA デバイスにのみ適用されます。 ここで定義されている Network Address Translation(NAT)の各ルールは、そのデバイスの NAT ルール テーブルの [Network Object NAT Rule] セクションに表示されます。


    (注)  


    完全修飾ドメイン名(FQDN)を含むネットワーク オブジェクトでは NAT のオーバーライドを設定できません。


    ネットワーク オブジェクトで NAT ルールを設定し、選択したデバイスに割り当てるには、NAT ポリシー ページで [Add rule] ボタンをクリックし、[Add Object NAT policy] を選択します。 [Create Object NAT Policy] 画面が表示されます。 オブジェクト NAT ポリシーのプロパティを入力します。

    既存のオブジェクト NAT ルールは、それを開き(選択したデバイスの NAT ポリシー ページでルールを選択し、[Edit NAT policy] ボタンをクリックします)、オブジェクト NAT ポリシーのプロパティを更新することによって、編集できます。

    既存のオブジェクト NAT ルールを削除するには、それを選択し、[Delete NAT policy] ボタンをクリックします。

    オブジェクト NAT ポリシーのプロパティ

    Description

    オプションで入力する最大 200 文字のルールの説明。

    ネットワーク オブジェクト

    このルールを関連付けるネットワーク オブジェクトの名前を入力または選択します。このフィールドから新しいオブジェクトも作成できます。

    Source NAT type

    このオーバーライドに対してアドレス変換のタイプを指定します。[Static] または [Dynamic] を選択します。

    • [Static]:実際のアドレスからマッピングされたアドレスへのスタティックな割り当てを提供します。
    • [Dynamic]:複数のローカル アドレスから単一のグローバル IP アドレスおよび一意のポート番号へのダイナミックな割り当てを提供し、実質的に、ローカル アドレスを 1 つのグローバル アドレスの背後に「隠します」。 このオプションを選択すると、使用可能なプロパティに [PAT Pool] オプションも追加されます。 ルーテッド モードで稼働しているデバイスでは、このオプションによって次で説明するフォールスルー オプションも提供されます。

      (注)  


      このプロパティは指定した送信元の変換にだけ適用されます。宛先の変換は常にスタティックになります。


    送信元インターフェイス

    パケットが発信される指定されたデバイス上のインターフェイスの名前を入力または選択します。これは「実際の」インターフェイスです。 デフォルトは、すべてのインターフェイスを表す [Any] です。


    (注)  


    トランスペアレント ファイアウォール モードでは、このプロパティを指定する必要があります。


    宛先インターフェイス

    パケットが到着するインターフェイスの名前を入力または選択します。これは「マッピングされた」インターフェイスです。 デフォルトは、すべてのインターフェイスを表す [Any] です。 [Dynamic] が、選択された [Source NAT type] である場合、インターフェイス名を入力すると [Fallthrough to interface PAT] オプションが使用可能なプロパティに追加されます。


    (注)  


    トランスペアレント ファイアウォール モードでは、このプロパティを指定する必要があります。


    オリジナルのパケット

    選択した [Source NAT type] が [Static] の場合のみ使用できます。 元のパケットの情報を提供することによって、スタティック ポート アドレス変換(PAT)をオーバーライドに追加できます。

    • [Service]:デバイスに入力するトラフィックのプロトコルとポートの組み合わせを入力します。
    変換後のパケット

    これらのフィールドを使用してポート アドレス変換(PAT)をルールに追加します(特定の送信元アドレス/宛先アドレス/サービスの組み合わせの変換)。

    • [Source]:PAT アドレスのプールを表すインターフェイス、ネットワーク オブジェクト、またはネットワーク グループ オブジェクトの名前を入力または選択します。
    • [Service]:選択した [Source NAT type] が [Static] の場合のみ使用できます。 元のポート番号に置き換わるポート番号を入力します。
    PAT プール

    [Source NAT type] として [Dynamic] を選択すると、[PAT Pool] オプションが表示されます。 関連パラメータを使用すると、PAT マッピングに使用されるアルゴリズムを変更できるだけでなく、特にポート アドレス変換に使用する IP アドレスの「プール」を指定することができます。 (詳細については、PAT プールおよびラウンド ロビン割り当て を参照してください)。[On] を選択すると、次のオプションが表示されます:[Translated address]、[Round Robin] および [Extended PAT table]。

    Translated Address

    PAT プールとして使用する 1 つ以上のネットワークおよびネットワーク グループ オブジェクトの名前を入力または選択します。

    Round Robin

    [PAT Pool] がオンの場合にだけ使用可能です。 アドレス/ポートのマッピングの「ラウンドロビン」手法を使用するには、このオプションをオンにします。 このオプションの詳細については、PAT プールおよびラウンド ロビン割り当て を参照してください。

    拡張 PAT テーブル

    [PAT Pool] がオンの場合にだけ使用可能です。 このオプションをオンにすると、拡張 PAT がイネーブルになります。 拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、サービスごとに 65535 個のポートが使用されます。 通常は、PAT 変換を作成するときに宛先ポートとアドレスは考慮されないため、PAT アドレスごとに 65535 個のポートに制限されます。 たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。

    フラットなポート範囲

    [PAT Pool] がオンの場合にだけ使用可能です。 このオプションをオンにすると、ポートの割り当て時に 1024 ~ 65535 のポート範囲全体の使用をイネーブルにします。 変換のマッピング ポート番号を選択するときに、ASA によって、使用可能な場合は実際の送信元ポート番号が使用されます。 ただし、このオプションを設定しないと、実際のポートが使用できない場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(1 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。 下位範囲でポートが不足するのを回避するには、この設定を行います。 1 ~ 65535 の範囲全体を使用するには、[Include reserve ports] もオンにします。

    予約ポートを含める

    [PAT Pool] および [Flat port range] がオンの場合にだけ使用可能です。 このオプションをオンにすると、PAT の範囲に予約ポート 1~1023 が含められます。

    その他の情報

    NAT 処理に関連する次の追加オプションは、作成するルールのタイプおよび選択された [Source NAT type] によって使用できる場合があります。

    • 単方向
    • DNS 応答の変換
    • IPv6 送信元
    • 1 対 1 のアドレス変換
    • ARP をプロキシしない
    • インターフェイス PAT へのフォールスルー
    • ルート ルックアップの実行
    DNS 応答の変換

    オンの場合、このルールに一致する DNS 応答に埋め込まれたアドレスが書き換えられます。

    マッピングされたインターフェイスから実際のインターフェイスへの DNS 応答の場合、Address(または「A」)レコードはマッピングされた値から実際の値に書き換えられます。 反対に、実際のインターフェイスからマッピングされたインターフェイスへの DNS 応答の場合、A レコードは実際の値からマッピングされた値に書き換えられます。 この機能をサポートするには、DNS インスペクションをイネーブルにする必要があります。

    1 対 1 のアドレス変換

    1 対 1 のマッピングに変換を制限するには、オンにします。 通常は NAT 46 に使用されます(IPv4 から IPv6 のアドレス)。

    ARP をプロキシしない

    選択した [Source NAT type] が [Static] の場合のみ使用できます。 指定した宛先インターフェイスでプロキシ ARP をディセーブルにするには、オンにします。

    デフォルトでは、すべての NAT ルールは、出力インターフェイスでプロキシ ARP が含まれます。 NAT 免除ルールは出力インターフェイスを検出するときにルートの概要に依存する入力トラフィックと出力トラフィックの両方に対して NAT をバイパスするために使用されます。 したがって、プロキシ ARP は、NAT 免除ルールを無効にする必要があります。 (NAT 免除ルールが常に優先されます)


    (注)  


    個々のインターフェイスでプロキシ ARP をディセーブルにすることもできます。


    インターフェイス PAT へのフォールスルー

    ルーテッド モードで動作しているデバイス上で選択された [Source NAT Type] が [Dynamic] の場合だけ使用可能で、[Translated address] フィールドにインターフェイス名を指定すると表示されます。 オンにすると、ダイナミック PAT のバックアップがイネーブルになります。 ダイナミック NAT アドレスのプールが枯渇すると、[Translated Address] フィールドで指定されたアドレス プールを使用して、ポート アドレス変換が実行されます。

    ルート ルックアップの実行

    選択された [Source NAT Type] が [Dynamic] の場合だけ使用可能で、[Destination Interface] フィールドにインターフェイス名を指定すると表示されます。 このオプションがオンの場合、出力インターフェイスは、指定した宛先インターフェイスを使用する代わりにルート ルックアップを使用して決定します。 NAT 免除ルールでは、これをオンにしてください。 このオプションは、スタティック アイデンティティ NAT でだけサポートされています。


    (注)  


    このオプションは、トランスペアレント モードで動作しているデバイスでは使用できません。


    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)