Cisco ASA シリーズファイアウォール ASDM コンフィギュレーションガイドソフトウェアバージョン 7.3
Twice NAT(ASA 8.3 以降)
Twice NAT(ASA 8.3 以降)
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

Twice NAT(ASA 8.3 以降)

Twice NAT に関する情報

Twice NAT のライセンス要件

Twice NAT の前提条件

ガイドラインと制限事項

デフォルト設定

Twice NAT の設定

ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定

ダイナミック PAT(隠蔽)の設定

スタティック NAT またはポート変換を設定したスタティック NAT の設定

アイデンティティ NAT の設定

Per-Session PAT ルールの設定

Twice NAT のモニタリング

Twice NAT の設定例

宛先に応じて異なる変換(ダイナミック PAT)

宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)

Twice NAT の機能履歴

Twice NAT(ASA 8.3 以降)

Twice NAT では、1 つのルールで送信元アドレスおよび宛先アドレスの両方を識別できます。この章では、Twice NAT を設定する方法について説明します。

「Twice NAT に関する情報」

「Twice NAT のライセンス要件」

「Twice NAT の前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「Twice NAT の設定」

「Twice NAT のモニタリング」

「Twice NAT の設定例」

「Twice NAT の機能履歴」


) NAT の機能の詳細については、「ネットワーク アドレス変換(NAT)(ASA 8.3 以降)」を参照してください。


Twice NAT に関する情報

Twice NAT では、1 つのルールで送信元アドレスおよび宛先アドレスの両方を識別できます。送信元アドレスと宛先アドレスの両方を指定すると、たとえば送信元アドレスが宛先 X に向かう場合は A に変換され、宛先 Y に向かう場合は B に変換されるように指定できます。


) スタティック NAT の場合、ルールは双方向であるため、たとえば、特定の接続が「宛先」アドレスから発生する場合でも、このガイドを通じてのコマンドおよび説明では「送信元」および「宛先」が使用されていることに注意してください。たとえば、ポート アドレス変換を使用するスタティック NAT を設定し、送信元アドレスを Telnet サーバとして指定する場合に、Telnet サーバに向かうすべてのトラフィックのポートを 2323 から 23 に変換するには、このコマンドで、変換する送信元ポート(実際:23、マッピング:2323)を指定する必要があります。Telnet サーバ アドレスを送信元アドレスとして指定しているため、その送信元ポートを指定します。


宛先アドレスはオプションです。宛先アドレスを指定する場合、宛先アドレスを自身にマッピングするか(アイデンティティ NAT)、別のアドレスにマッピングできます。宛先マッピングは、常にスタティック マッピングです。

Twice NAT では、ポート変換を設定したスタティック NAT のサービス オブジェクトも使用できます。ネットワーク オブジェクト NAT は、インライン定義だけを受け入れます。

Twice NAT とネットワーク オブジェクト NAT の違いの詳細については、「NAT の実装方法」を参照してください。

Twice NAT ルールは、NAT ルール テーブルのセクション 1 に追加されます。指定した場合には、セクション 3 に追加されます。NAT の順序付けの詳細については、「NAT ルールの順序」を参照してください。

Twice NAT のライセンス要件

 

モデル
ライセンス要件

ASAv

標準または Premium ライセンス

他のすべてのモデル

基本ライセンス

Twice NAT の前提条件

実際のアドレスとマッピング アドレスの両方について、ネットワーク オブジェクトまたはネットワーク オブジェクト グループを設定します。ネットワーク オブジェクト グループは、非連続的な IP アドレスの範囲または複数のホストやサブネットで構成されるマッピング アドレスを作成する場合に特に便利です。ネットワーク オブジェクトまたはグループを作成するには、『一般的な操作のコンフィギュレーション ガイド』を参照してください。

ポート変換を設定したスタティック NAT の場合、TCP または UDP サービス オブジェクトを設定します。サービス オブジェクトを作成するには、『一般的な操作のコンフィギュレーション ガイド』を参照してください。

オブジェクトおよびグループに関する特定のガイドラインについては、設定する NAT タイプの設定の項を参照してください。「ガイドラインと制限事項」も参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

トランスペアレント モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定する必要があります。--Any-- は使用できません。

トランスペアレント モードでは、インターフェイス PAT を設定できません。トランスペアレント モードのインターフェイスには、IP アドレスが設定されていないためです。管理 IP アドレスもマッピング アドレスとして使用できません。

トランスペアレント モードでは、IPv4 ネットワークと IPv6 ネットワークとの間の変換はサポートされていません。2 つの IPv6 ネットワーク間、または 2 つの IPv4 ネットワーク間の変換がサポートされます。

IPv6 のガイドライン

IPv6 をサポートします。

ルーテッド モードの場合は、IPv4 と IPv6 との間の変換もできます。

トランスペアレント モードの場合は、IPv4 ネットワークと IPv6 ネットワークとの間の変換はサポートされていません。2 つの IPv6 ネットワーク間、または 2 つの IPv4 ネットワーク間の変換がサポートされます。

トランスペアレント モードの場合は、PAT プールは IPv6 に対してはサポートされません。

スタティック NAT の場合は、/64 までの IPv6 サブネットを指定できます。これよりも大きいサブネットはサポートされません。

FTP を NAT46 とともに使用する場合は、IPv4 FTP クライアントが IPv6 FTP サーバに接続するときに、クライアントは拡張パッシブ モード(EPSV)または拡張ポート モード(EPRT)を使用する必要があります。PASV コマンドおよび PORT コマンドは IPv6 ではサポートされません。

その他のガイドライン

送信元 IP アドレスがサブネット(またはセカンダリ接続を使用するその他のアプリケーション)の場合、FTP 宛先ポート変換を設定できません。FTP データ チャネルの確立に失敗します。

NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに新しい NAT 情報を使用する必要がある場合は、 clear xlate コマンドを使用して変換テーブルを消去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。


) ダイナミック NAT または PAT ルールを削除し、次に削除したルールに含まれるアドレスと重複するマッピング アドレスを含む新しいルールを追加すると、新しいルールは、削除されたルールに関連付けられたすべての接続がタイムアウトするか、clear xlate コマンドを使用してクリアされるまで使用されません。この予防手段のおかげで、同じアドレスが複数のホストに割り当てられないようにできます。


1 つのオブジェクト グループに IPv4 と IPv6 の両方のアドレスを入れることはできません。オブジェクト グループには、1 つのタイプのアドレスだけが含まれている必要があります。

NAT ルールで any キーワードを使用する場合、「any」トラフィック(IPv4 と IPv6)は、ルールによって異なります。ASA がパケットに対して NAT を実行する前に、パケットが IPv6-to-IPv6 または IPv4-to-IPv4 である必要があります。この前提条件では、ASA は、NAT ルールの any の値を決定できます。たとえば、「any」から IPv6 サーバへのルールを設定しており、このサーバが IPv4 アドレスからマッピングされている場合、 any は「任意の IPv6 トラフィック」を意味します。「any」から「any」へのルールを設定しており、送信元をインターフェイス IPv4 アドレスにマッピングする場合、マッピングされたインターフェイス アドレスによって宛先も IPv4 であることが示されるため、 any は「任意の IPv4 トラフィック」を意味します。

NAT で使用されるオブジェクトおよびオブジェクト グループを未定義にすることはできません。IP アドレスを含める必要があります。

同じオブジェクトを複数のルールで使用できます。

マッピング IP アドレス プールは、次のアドレスを含むことができません。

マッピング インターフェイスの IP アドレス。ルールに --Any-- インターフェイスを指定すると、すべてのインターフェイスの IP アドレスが拒否されます。インターフェイス PAT(ルーテッド モードのみ)の場合、IP アドレスの代わりにインターフェイス名を使用します。

(トランスペアレント モード)管理 IP アドレス。

(ダイナミック NAT)VPN がイネーブルの場合は、スタンバイ インターフェイスの IP アドレス。

既存の VPN プールのアドレス。

スタティックおよびダイナミック NAT ポリシーでは重複アドレスを使用しないでください。たとえば、重複アドレスを使用すると、PPTP のセカンダリ接続がダイナミック xlate ではなくスタティックにヒットした場合、PPTP 接続の確立に失敗する可能性があります。

NAT のトランザクション コミット モデルを使用することで、システムのパフォーマンスと信頼性を高めることができます。詳細については、『一般的な操作のコンフィギュレーション ガイド』の基本設定の章を参照してください。このオプションは、[Configurations] > [Device Management] > [Advanced] > [Rule Engine] にあります。

デフォルト設定

デフォルトでは、NAT テーブルのセクション 1 の最後にルールが追加されます。

(ルーテッド モード)デフォルトの実際のインターフェイスおよびマッピング インターフェイスは Any で、すべてのインターフェイスにルールが適用されます。

(8.3(1)、8.3(2)、8.4(1))アイデンティティ NAT のデフォルト動作で、プロキシ ARP はディセーブルにされます。これは設定できません。(8.4(2) 以降)アイデンティティ NAT のデフォルト動作で、プロキシ ARP はイネーブルにされ、他のスタティック NAT ルールと一致します。必要に応じてプロキシ ARP をディセーブルにできます。

オプションのインターフェイスを指定する場合、ASA によって NAT コンフィギュレーションが使用されて、出力インターフェイスが決定されます。(8.3(1) ~ 8.4(1))唯一の例外はアイデンティティ NAT です。アイデンティティ NAT では、NAT コンフィギュレーションに関係なく、常にルート ルックアップが使用されます。(8.4(2) 以降)アイデンティティ NAT の場合、デフォルト動作は NAT コンフィギュレーションの使用ですが、代わりにルート ルックアップを常に使用するオプションがあります。

Twice NAT の設定

この項では、Twice NAT の設定方法について説明します。

「ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定」

「ダイナミック PAT(隠蔽)の設定」

「スタティック NAT またはポート変換を設定したスタティック NAT の設定」

「アイデンティティ NAT の設定」

「Per-Session PAT ルールの設定」

ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定

この項では、ダイナミック NAT または PAT プールを使用するダイナミック PAT の Twice NAT を設定する方法について説明します。詳細については、「ダイナミック NAT」または「ダイナミック PAT」を参照してください。

ガイドライン

PAT プールの場合:

使用できる場合、実際の送信元ポート番号がマッピング ポートに対して使用されます。ただし、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(0 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。そのため、1024 よりも下のポートでは、小さい PAT プールのみを使用できます。(8.4(3) 以降、8.5(1) または 8.6(1) を除く)下位ポート範囲を使用するトラフィックが数多くある場合は、PAT プールに対して、サイズが異なる 3 つの層の代わりにフラットなポート範囲を使用するように指定できます。1024 ~ 65535 または 1 ~ 65535 です。

(8.4(3) 以降、8.5(1) または 8.6(1) を除く)2 つの個別のルールで同じ PAT プール オブジェクトを使用する場合は、各ルールに対して同じオプションを指定します。たとえば、1 つのルールで拡張 PAT およびフラットな範囲が指定される場合は、もう一方のルールでも拡張 PAT およびフラットな範囲が指定される必要があります。

PAT プールの拡張 PAT の場合(8.4(3) 以降、8.5(1) または 8.6(1) を除く):

多くのアプリケーション インスペクションでは、拡張 PAT はサポートされていません。サポート対象外のインスペクションの完全な一覧については、「アプリケーション レイヤ プロトコル インスペクションの準備」「デフォルト インスペクションと NAT に関する制限事項」を参照してください。

ダイナミック PAT ルールに対して拡張 PAT をイネーブルにする場合は、PAT プール内のアドレスを、ポート変換ルールを設定した別のスタティック NAT の PAT アドレスとしても使用することはできません。たとえば、PAT プールに 10.1.1.1 が含まれている場合、PAT アドレスとして 10.1.1.1 を使用する、ポート変換ルールを設定したスタティック NAT は作成できません。

NAT プールは固有の宛先ごとに作成されるため、拡張 PAT は大量のメモリを消費する場合があり、メモリを使い尽くしてしまう可能性があります。これにより、接続数を減らしたとしても、すぐにメモリが枯渇してしまう場合があります。

PAT プールを使用し、フォールバックのインターフェイスを指定する場合、拡張 PAT を使用できません。

ICE または TURN を使用する VoIP 配置では、拡張 PAT を使用しないでください。ICE および TURN は、すべての宛先に対して同じであるために PAT バインディングに依存しています。

PAT プールのラウンドロビンの場合:

(8.4(3) 以降、8.5(1) または 8.6(1) を除く)ホストに既存の接続がある場合、そのホストからの後続の接続では、ポートが使用可能であれば同じ PAT IP アドレスが使用されます。 :この「粘着性」は、フェールオーバーが発生すると失われます。ASA がフェールオーバーすると、ホストからの後続の接続では最初の IP アドレスが使用されない場合があります。

(8.4(2)、8.5(1)、および 8.6(1))ホストに既存の接続がある場合、そのホストからの後続の接続では、ラウンドロビン割り当てのため、接続ごとに 別の PAT アドレスが使用される可能性があります。この場合、ホストについて情報を交換する 2 つの Web サイト(e- コマース サイトと支払サイトなど)にアクセスするときに問題が発生する可能性があります。これらのサイトが、1 つのホストとして扱うべきものを 2 つの異なる IP アドレスと見なした場合、トランザクションは失敗することがあります。

ラウンドロビンでは、特に拡張 PAT と組み合わせた場合に、大量のメモリが消費されます。NAT プールはマッピングされるプロトコル/IP アドレス/ポート範囲ごとに作成されるため、ラウンドロビンでは数多くの同時 NAT プールが作成され、メモリが使用されます。拡張 PAT では、さらに多くの同時 NAT プールが作成されます。

手順の詳細

ダイナミック NAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。

このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。

 

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。

ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。

a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。

b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。

 

ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。

 

a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any です。

 

b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。

ステップ 4 (オプション)元のパケット ポート( マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。

ダイナミック NAT では、ポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Dynamic] を選択します。

この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。

 

ステップ 6 変換済みパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが宛先インターフェイス上のネットワーク( マッピング送信元アドレス 実際の宛先アドレス )に表示されるかどうかを識別します。必要に応じて、IPv4 と IPv6 の間で変換できます。元のパケットと変換されたパケットの例については、 次の図を参照してください。

 

a. ダイナミック NAT または PAT プールを使用するダイナミック PAT を実行できます。

ダイナミック NAT:[Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

ダイナミック NAT では、通常、大きい送信元アドレスのグループが小さいグループにマッピングされます。


) オブジェクトまたはグループは、サブネットを含むことはできません。


PAT プールを使用したダイナミック PAT:PAT プールを設定するには、[PAT Pool Translated Address] チェックボックスをオンにしてから、参照ボタンをクリックして、既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated PAT Pool Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。 :[Source Address] フィールドは空のままにしておきます。

 


) オブジェクトまたはグループは、サブネットを含むことはできません。


(オプション)PAT プールの場合は、次のオプションを設定します。

ラウンドロビン方式でアドレス/ポートを割り当てるには、[Round Robin] チェックボックスをオンにします。ラウンドロビンを使用しない場合、デフォルトでは、次の PAT アドレスが使用される前に PAT アドレスのすべてのポートが割り当てられます。ラウンドロビン方式では、最初のアドレスに戻って再び使用される前に、2 番目のアドレス、またその次と、プール内の各 PAT アドレスからアドレス/ポートが割り当てられます。

(8.4(3) 以降、8.5(1) または 8.6(1) を除く)拡張 PAT を使用するには、[Extend PAT uniqueness to per destination instead of per interface] チェックボックスをオンにします。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、 サービス ごとに 65535 個のポートが使用されます。通常は、PAT 変換を作成するときに宛先ポートとアドレスは考慮されないため、PAT アドレスごとに 65535 個のポートに制限されます。たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。

(8.4(3) 以降、8.5(1) または 8.6(1) を除く)ポートの割り当て時に 1 つのフラットな範囲として 1024 ~ 65535 のポート範囲を使用するには、[Translate TCP or UDP ports into flat range (1024-65535)] チェックボックスをオンにします。変換のマッピング ポート番号を選択するときに、ASA によって、使用可能な場合は実際の送信元ポート番号が使用されます。ただし、このオプションを設定しないと、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(1 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。下位範囲でポートが不足するのを回避するには、この設定を行います。1 ~ 65535 の全範囲を使用するには、[Include range 1 to 1023] チェックボックスもオンにします。

b. (任意、ルーテッド モードのみ)他のマッピングされた送信元アドレスがすでに割り当てられている場合に、インターフェイス IP アドレスをバックアップの手段として使用するには、[Fall through to interface PAT] チェックボックスをオンにします。IPv6 インターフェイス アドレスを使用するには、[Use IPv6 for interface PAT] チェックボックスもオンにします。

宛先インターフェイス IP アドレスが使用されます。このオプションは、特定の [Destination Interface] を設定する場合にだけ使用できます。

 

c. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクト、グループ、またはインターフェイスを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

宛先アドレスのアイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ポート変換を設定したスタティック インターフェイス NAT に限り、[Browse] ダイアログボックスからインターフェイスを選択します。サービス変換も必ず設定します(ステップ 7 を参照)。このオプションでは、ステップ 2 で [Source Interface] に特定のインターフェイスを設定する必要があります。 詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

 

ステップ 7 (オプション)変換されたパケット ポート( 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Translated Service] ダイアログボックスから新しいオブジェクトを作成します。

ダイナミック NAT では、ポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 8 (オプション)[Options] 領域で NAT オプションを設定します。

 

a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。

b. (送信元専用ルールの場合)[Translate DNS replies that match this rule]:DNS 応答内の DNS A レコードを書き換えます。DNS インスペクションがイネーブルになっていることを確認してください(デフォルトではイネーブルです)。宛先アドレスを設定する場合、DNS 修正は設定できません。詳細については、「DNS および NAT」を参照してください。

c. [Description]:ルールに関する説明を 200 文字以内で追加します。

ステップ 9 [OK] をクリックします。


 

ダイナミック PAT(隠蔽)の設定

この項では、ダイナミック PAT(隠蔽)の Twice NAT の設定方法について説明します。PAT プールを使用するダイナミック PAT については、この項ではなく、「ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定」を参照してください。詳細については、「ダイナミック PAT」を参照してください。

手順の詳細

ダイナミック PAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。

このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。

 

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。

ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。

a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。

b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。

 

ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。

 

a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any です。

 

b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタン をクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。

ステップ 4 (オプション)元のパケット ポート( マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。

ダイナミック PAT では、追加のポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Dynamic PAT (Hide)] を選択します。

この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。


) PAT プールを使用するダイナミック PAT を設定するには、[Dynamic PAT (Hide)] の代わりに [Dynamic] を選択します。「ダイナミック NAT または PAT プールを使用したダイナミック PAT の設定」を参照してください。


 

ステップ 6 変換済みパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが宛先インターフェイス上のネットワーク( マッピング送信元アドレス 実際の宛先アドレス )に表示されるかどうかを識別します。必要に応じて、IPv4 と IPv6 の間で変換できます。元のパケットと変換されたパケットの例については、 次の図を参照してください。

 

a. [Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはインターフェイスを選択するか、[Browse Translated Source Address] ダイアログボックスから新しいオブジェクトを作成します。

 

インターフェイスの IPv6 アドレスを使用するには、[Use IPv6 for interface PAT] チェックボックスをオンにします。

 

b. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。

宛先アドレスのアイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ポート変換を設定したスタティック インターフェイス NAT に限り、[Browse] ダイアログボックスからインターフェイスを選択します。サービス変換も必ず設定します(ステップ 7 を参照)。このオプションでは、ステップ 2 で [Source Interface] に特定のインターフェイスを設定する必要があります。 詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

ステップ 7 (オプション)変換されたパケット ポート( 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして [Browse Translated Service] ダイアログボックスから既存の TCP または UDP サービス オブジェクトを選択します。

[Browse Translated Service] ダイアログボックスから新しいサービス オブジェクトを作成して、このオブジェクトをマッピング宛先ポートとして使用することもできます。

ダイナミック PAT では、追加のポート変換はサポートされません。しかし、宛先変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 8 (オプション)[Options] 領域で NAT オプションを設定します。

 

a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。

b. (送信元専用ルールの場合)[Translate DNS replies that match this rule]:DNS 応答内の DNS A レコードを書き換えます。DNS インスペクションがイネーブルになっていることを確認してください(デフォルトではイネーブルです)。宛先アドレスを設定する場合、DNS 修正は設定できません。詳細については、「DNS および NAT」を参照してください。

c. [Description]:ルールに関する説明を 200 文字以内で追加します。

ステップ 9 [OK] をクリックします。


 

スタティック NAT またはポート変換を設定したスタティック NAT の設定

この項では、Twice NAT を使用してスタティック NAT ルールを設定する方法について説明します。スタティック NAT の詳細については、「スタティック NAT」を参照してください。

手順の詳細

スタティック NAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。

このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。

 

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。

ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。

a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。

b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。

 

ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。

 

a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any ですが、アイデンティティ NAT を除いてはこのオプションを使用しないでください。詳細については、「アイデンティティ NAT の設定」を参照してください。

 

b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。

ステップ 4 (オプション)元のパケットの送信元ポートまたは宛先ポート( 実際の送信元ポート または マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。

サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。実際のサービス オブジェクトとマッピング サービス オブジェクトの両方に、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Static] を選択します。[Static] がデフォルトの設定です。

この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。

 

ステップ 6 変換済みパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが宛先インターフェイス上のネットワーク( マッピング送信元アドレス 実際の宛先アドレス )に表示されるかどうかを識別します。必要に応じて、IPv4 と IPv6 の間で変換できます。元のパケットと変換されたパケットの例については、 次の図を参照してください。

 

a. [Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Translated Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

 

スタティック NAT のマッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、インターフェイスを指定できます。インターフェイスの IPv6 アドレスを使用するには、[Use IPv6 for interface PAT] チェックボックスをオンにします。

 

詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

b. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクト、グループ、またはインターフェイスを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

スタティック NAT のマッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、インターフェイスを指定できます。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 7 (オプション)変換されたパケットの送信元ポートまたは宛先ポート( マッピング送信元ポート または 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Translated Service] ダイアログボックスから新しいオブジェクトを作成します。

サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。実際のサービス オブジェクトとマッピング サービス オブジェクトの両方に、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 8 (オプション)NAT46 の場合、[Use one-to-one address translation] チェックボックスをオンにします。NAT46 の場合、最初の IPv4 アドレスを最初の IPv6 アドレス、2 番目の IPv4 アドレスを 2 番目の IPv6 アドレス、以下同様に 1 対 1 で順に変換するように指定します。このオプションを指定しない場合は、IPv4 埋め込み方式が使用されます。1 対 1 変換の場合は、このキーワードを使用する必要があります。

ステップ 9 (オプション)[Options] 領域で NAT オプションを設定します。

 

a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。

b. (送信元専用ルールの場合)[Translate DNS replies that match this rule]:DNS 応答内の DNS A レコードを書き換えます。DNS インスペクションがイネーブルになっていることを確認してください(デフォルトではイネーブルです)。宛先アドレスを設定する場合、DNS 修正は設定できません。詳細については、「DNS および NAT」を参照してください。

c. [Disable Proxy ARP on egress interface]:マッピング IP アドレスへの着信パケットのプロキシ ARP をディセーブルにします。詳細については、「マッピング アドレスとルーティング」を参照してください。

d. [Direction]:ルールを単方向にするには、[Unidirectional] を選択します。デフォルトは [Both] です。ルールを単方向にすると、トラフィックが実際のアドレスへの接続を開始するのを回避できます。

e. [Description]:ルールに関する説明を 200 文字以内で追加します。

ステップ 10 [OK] をクリックします。


 

アイデンティティ NAT の設定

この項では、Twice NAT を使用してアイデンティティ NAT ルールを設定する方法について説明します。アイデンティティ NAT の詳細については、「アイデンティティ NAT」を参照してください。

手順の詳細

アイデンティティ NAT を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Firewall] > [NAT Rules] を選択して、[Add] をクリックします。

このルールをセクション 3(ネットワーク オブジェクト ルールの後)に追加する場合は、[Add] の横にある下矢印をクリックし、[Add NAT Rule After Network Object NAT Rules] を選択します。

 

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。

ルーテッド モードのデフォルトでは、どちらのインターフェイスも --Any-- に設定されています。トランスペアレント ファイアウォール モードでは、特定のインターフェイスを設定する必要があります。

a. [Match Criteria: Original Packet] > [Source Interface] ドロップダウン リストから、送信元インターフェイスを選択します。

b. [Match Criteria: Original Packet] > [Destination Interface] ドロップダウン リストから、宛先インターフェイスを選択します。

 

ステップ 3 元のパケットのアドレスが IPv4 であるか IPv6 であるか、つまり、パケットのアドレスが送信元インターフェイス上のネットワーク( 実際の送信元アドレス マッピング宛先アドレス )に表示されるかどうかを識別します。元のパケットと変換されたパケットの例については、 次の図を参照してください。ここでは、内部ホストでアイデンティティ NAT を実行しますが、外部ホストを変換します。

 

a. [Match Criteria: Original Packet] > [Source Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Source Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。デフォルトは any です。このオプションは、マッピング アドレスも any に設定する場合にのみ使用します。

 

b. (オプション)[Match Criteria: Original Packet] > [Destination Address] の場合、参照ボタン をクリックして既存のネットワーク オブジェクトまたはグループを選択するか、[Browse Original Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動でのルールの順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクト NATと Twice NAT の主な違い」を参照してください。

ステップ 4 (オプション)元のパケットの送信元ポートまたは宛先ポート( 実際の送信元ポート または マッピング宛先ポート )を識別します。[Match Criteria: Original Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Original Service] ダイアログボックスから新しいオブジェクトを作成します。

サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。両方のサービス オブジェクトに、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 5 [Match Criteria: Translated Packet] > [Source NAT Type] ドロップダウン リストから、[Static] を選択します。[Static] がデフォルトの設定です。

この設定は送信元アドレスにのみ適用されます。宛先の変換は常にスタティックになります。

 

ステップ 6 変換されたパケット アドレスを識別します。つまり、宛先インターフェイス ネットワークに表示されるパケット アドレス( マッピング送信元アドレス 実際の宛先アドレス )です。元のパケットと変換されたパケットの例については、 次の図を参照してください。ここでは、内部ホストでアイデンティティ NAT を実行しますが、外部ホストを変換します。

 

a. [Match Criteria: Translated Packet] > [Source Address] の場合、参照ボタンをクリックして [Browse Translated Source Address] ダイアログボックスから実際の送信元アドレスに選択したものと同じネットワーク オブジェクトまたはグループを選択します。実際のアドレスに any を指定した場合は any を使用します。

b. [Match Criteria: Translated Packet] > [Destination Address] の場合、参照ボタンをクリックして既存のネットワーク オブジェクト、グループ、またはインターフェイスを選択するか、[Browse Translated Destination Address] ダイアログボックスから新しいオブジェクトまたはグループを作成します。

宛先アドレスのアイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ポート変換を設定したスタティック インターフェイス NAT に限り、インターフェイスを選択します。インターフェイスを指定する場合は、必ずサービス変換も設定します。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

ステップ 7 (オプション)変換されたパケットの送信元ポートまたは宛先ポート( マッピング送信元ポート または 実際の宛先ポート )を識別します。[Match Criteria: Translated Packet] > [Service] の場合、参照ボタンをクリックして既存の TCP または UDP サービス オブジェクトを選択するか、[Browse Translated Service] ダイアログボックスから新しいオブジェクトを作成します。

サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。両方のサービス オブジェクトに、送信元ポート または 宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの 両方 を指定する必要がありますが、固定の送信元ポートはめったに使用されません。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、元のパケットのサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。変換されたパケットのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方を同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal(等しくない)」( != )演算子はサポートされていません。

 

 

ステップ 8 (オプション)[Options] 領域で NAT オプションを設定します。

 

a. [Enable rule]:この NAT ルールをイネーブルにします。このルールはデフォルトでイネーブルになっています。

b. [Disable Proxy ARP on egress interface]:マッピング IP アドレスへの着信パケットのプロキシ ARP をディセーブルにします。詳細については、「マッピング アドレスとルーティング」を参照してください。

c. (ルーテッド モード、インターフェイスを指定)[Lookup route table to locate egress interface]:NAT コマンドに指定したインターフェイスを使用する代わりに、ルート ルックアップを使用して出力インターフェイスを決定します。詳細については、「出力インターフェイスの決定」を参照してください。

d. [Direction]:ルールを単方向にするには、[Unidirectional] を選択します。デフォルトは [Both] です。ルールを単方向にすると、トラフィックが実際のアドレスへの接続を開始するのを回避できます。この設定は、テストのために使用する場合があります。

e. [Description]:ルールに関する説明を 200 文字以内で追加します。


) 宛先アドレスを設定しない場合でも [Translate DNS replies that match this rule] チェックボックスを使用できますが、アドレスをそれ自身に変換しているので DNS 応答に修正が必要ないため、このオプションはアイデンティティ NAT には適用されません。詳細については、「DNS および NAT」を参照してください。


ステップ 9 [OK] をクリックします。


 

Per-Session PAT ルールの設定

デフォルトでは、すべての TCP PAT トラフィックおよびすべての UDP DNS トラフィックが Per-Session PAT を使用します。トラフィックに Multi-Session PAT を使用するには、Per-Session PAT ルールを設定します。許可ルールで Per-Session PAT を使用し、拒否ルールで Multi-Session PAT を使用します。Per-Session PAT と Multi-Session PAT の詳細については、「Per-Session PAT と Multi-Session PAT(バージョン 9.0(1) 以降)」を参照してください。

手順の詳細

Per-Session PAT ルールを設定するには、「Per-Session PAT ルールの設定」を参照してください。

Twice NAT のモニタリング

[Monitoring] > [Properties] > [Connection Graphs] > [Xlates] ペインでは、アクティブなネットワーク アドレス変換をグラフィック形式で表示できます。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

フィールド

[Available Graphs]:グラフ化できるコンポーネントを一覧表示します。

[Xlate Utilization]:ASA の NAT の使用状況を表示します。

[Graph Window Title]:グラフ タイプを追加するグラフ ウィンドウ名を表示します。既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、新しいウィンドウ タイトルを入力します。

[Add]:[Available Graphs] リストで選択したエントリを [Selected Graphs] リストに移動するには、このフィールドをクリックします。

[Remove]:[Selected Graphs] リストから選択したエントリを削除するには、このフィールドをクリックします。

[Show Graphs]:新しいグラフ ウィンドウ、または更新したグラフ ウィンドウを表示するには、このフィールドをクリックします。

[Monitoring] > [Properties] > [Connection Graphs] > [Perfmon] ペインでは、パフォーマンス情報をグラフィック形式で表示できます。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

フィールド

[Available Graphs]:グラフ化できるコンポーネントを一覧表示します。

[AAA Perfmon]:ASA の AAA パフォーマンス情報を表示します。

[Inspection Perfmon]:ASA の検査パフォーマンス情報を表示します。

[Web Perfmon]:URL アクセスおよび URL サーバ要求などの ASA の Web パフォーマンス情報を表示します。

[Connections Perfmon]:ASA の接続パフォーマンス情報を表示します。

[Xlate Perfmon]:ASA の NAT パフォーマンス情報を表示します。

[Graph Window Title]:グラフ タイプを追加するグラフ ウィンドウ名を表示します。既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、新しいウィンドウ タイトルを入力します。

[Add]:[Available Graphs] リストで選択したエントリを [Selected Graphs] リストに移動するには、このフィールドをクリックします。

[Remove]:[Selected Graphs] リストから選択した統計タイプを削除するには、このフィールドをクリックします。

[Show Graphs]:新しいグラフ ウィンドウ、または更新したグラフ ウィンドウを表示するには、このフィールドをクリックします。

Twice NAT の設定例

ここでは、次の設定例を示します。

「宛先に応じて異なる変換(ダイナミック PAT)」

「宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)」

宛先に応じて異なる変換(ダイナミック PAT)

図 7-1 に、2 台の異なるサーバにアクセスしている 10.1.2.0/24 ネットワークのホストを示します。ホストがサーバ 209.165.201.11 にアクセスすると、実際のアドレスは 209.165.202.129: ポート に変換されます。ホストがサーバ 209.165.200.225 にアクセスすると、実際のアドレスは 209.165.202.130: ポート に変換されます。

図 7-1 異なる宛先アドレスを使用する Twice NAT

 


ステップ 1 内部ネットワークから DMZ ネットワーク 1 へのトラフィックの NAT ルールを追加します。

 

デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。

 

ステップ 3 [Original Source Address] の場合、参照ボタンをクリックして、[Browse Original Source Address] ダイアログボックスで内部ネットワークの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. 内部ネットワーク アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 4 [Original Destination Address] の場合、参照ボタンをクリックして、[Browse Original Destination Address] ダイアログボックスで DMZ ネットワーク 1 の新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. DMZ ネットワーク 1 のアドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 5 NAT タイプを [Dynamic PAT (Hide)] に設定します。

 

ステップ 6 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. PAT アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 7 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(DMZnetwork1)、または参照ボタンをクリックして選択します。

宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。

 

ステップ 8 [OK] をクリックして NAT テーブルにルールを追加します。

ステップ 9 内部ネットワークから DMZ ネットワーク 2 へのトラフィックの NAT ルールを追加します。

 

デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 10 送信元インターフェイスおよび宛先インターフェイスを設定します。

 

ステップ 11 [Original Source Address] の場合、内部ネットワーク オブジェクトの名前を入力するか(myInsideNetwork)、または参照ボタンをクリックして選択します。

ステップ 12 [Original Destination Address] の場合、参照ボタンをクリックして、[Browse Original Destination Address] ダイアログボックスで DMZ ネットワーク 2 の新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. DMZ ネットワーク 2 のアドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 13 NAT タイプを [Dynamic PAT (Hide)] に設定します。

 

ステップ 14 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. PAT アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 15 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(DMZnetwork2)、または参照ボタンをクリックして選択します。

宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。

 

ステップ 16 [OK] をクリックして NAT テーブルにルールを追加します。

ステップ 17 [Apply] をクリックします。


 

宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)

図 7-2 に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワークのホストは Web サービスと Telnet サービスの両方を提供する 1 つのホストにアクセスします。ホストが Telnet サービスを求めてサーバにアクセスすると、実際のアドレスは 209.165.202.129: port に変換されます。ホストが Web サービスを求めて同じサーバにアクセスすると、実際のアドレスは 209.165.202.130: port に変換されます。

図 7-2 異なる宛先ポートを使用する Twice NAT

 


ステップ 1 内部ネットワークから Telnet サーバへのトラフィックの NAT ルールを追加します。

 

デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 2 送信元インターフェイスおよび宛先インターフェイスを設定します。

 

ステップ 3 [Original Source Address] の場合、参照ボタンをクリックして、[Browse Original Source Address] ダイアログボックスで内部ネットワークの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. 内部ネットワーク アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 4 [Original Destination Address] の場合、参照ボタンをクリックして、[Browse Original Destination Address] ダイアログボックスで Telnet/Web サーバの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. サーバ アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 5 [Original Service] の場合、参照ボタンをクリックして、[Browse Original Service] ダイアログボックスで Telnet の新しいサービス オブジェクトを追加します。

a. 新しいサービス オブジェクトを追加します。

 

b. プロトコルとポートを定義し、[OK] をクリックします。

 

c. 新しいサービス オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 6 NAT タイプを [Dynamic PAT (Hide)] に設定します。

 

ステップ 7 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. PAT アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 8 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(TelnetWebServer)、または参照ボタンをクリックして選択します。

宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。

 

ステップ 9 [OK] をクリックして NAT テーブルにルールを追加します。

ステップ 10 内部ネットワークから Web サーバへのトラフィックの NAT ルールを追加します。

 

デフォルトでは、セクション 1 の最後に NAT ルールが追加されます。NAT ルールをセクション 3(ネットワーク オブジェクト NAT ルールの後)に追加する場合は、[Add NAT Rule After Network Object NAT Rules] を選択します。

[Add NAT Rule] ダイアログボックスが表示されます。

 

ステップ 11 実際のインターフェイスおよびマッピング インターフェイスを設定します。

 

ステップ 12 [Original Source Address] の場合、内部ネットワーク オブジェクトの名前を入力するか(myInsideNetwork)、または参照ボタンをクリックして選択します。

ステップ 13 [Original Destination Address] の場合、Telnet/Web サーバのネットワーク オブジェクトの名前を入力するか(TelnetWebServer)、または参照ボタンをクリックして選択します。

ステップ 14 [Original Service] の場合、参照ボタンをクリックして、[Browse Original Service] ダイアログボックスで HTTP の新しいサービス オブジェクトを追加します。

a. 新しいサービス オブジェクトを追加します。

 

b. プロトコルとポートを定義し、[OK] をクリックします。

 

c. 新しいサービス オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 15 NAT タイプを [Dynamic PAT (Hide)] に設定します。

 

ステップ 16 [Translated Source Address] の場合、参照ボタンをクリックして、[Browse Translated Source Address] ダイアログボックスで PAT アドレスの新しいネットワーク オブジェクトを追加します。

a. 新しいネットワーク オブジェクトを追加します。

 

b. PAT アドレスを定義し、[OK] をクリックします。

 

c. 新しいネットワーク オブジェクトをダブルクリックで選択します。[OK] をクリックして、NAT コンフィギュレーションに戻ります。

 

ステップ 17 [Translated Destination Address] の場合、元の宛先アドレスの名前を入力するか(TelnetWebServer)、または参照ボタンをクリックして選択します。

宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。

 

ステップ 18 [OK] をクリックして NAT テーブルにルールを追加します。

ステップ 19 [Apply] をクリックします。


 

Twice NAT の機能履歴

表 7-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 7-1 Twice NAT の機能履歴

機能名
プラットフォーム リリース
機能情報

Twice NAT

8.3(1)

Twice NAT では、1 つのルールで送信元アドレスおよび宛先アドレスの両方を識別できます。

次の画面が変更されました。[Configuration] > [Firewall] > [NAT Rules]。

アイデンティティ NAT の設定が可能なプロキシ ARP およびルート ルックアップ

8.4(2)/8.5(1)

アイデンティティ NAT の以前のリリースでは、プロキシ ARP はディセーブルにされ、出力インターフェイスの決定には常にルート ルックアップが使用されていました。これらを設定することはできませんでした。8.4(2) 以降、アイデンティティ NAT のデフォルト動作は他のスタティック NAT コンフィギュレーションの動作に一致するように変更されました。これにより、デフォルトでプロキシ ARP はイネーブルにされ、NAT コンフィギュレーションにより出力インターフェイスが決定されるようになりました(指定されている場合)。これらの設定をそのまま残すこともできますし、個別にイネーブルまたはディセーブルにすることもできます。通常のスタティック NAT のプロキシ ARP をディセーブルにすることもできるようになっています。

8.3 よりも前の設定の場合、8.4(2) 以降への NAT 免除ルール( nat 0 access-list コマンド)の移行には、プロキシ ARP をディセーブルにするキーワード no-proxy-arp およびルート ルックアップを使用するキーワード route-lookup があります。8.3(2) および 8.4(1) への移行に使用された unidirectional キーワードは、移行に使用されなくなりました。8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードすると、既存機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになっています。 unidirectional キーワードは削除されました。

次の画面が変更されました。[Configuration] > [Firewall] > [NAT Rules] > [Add/Edit NAT Rule]

PAT プールおよびラウンド ロビン アドレス割り当て

8.4(2)/8.5(1)

1 つのアドレスの代わりに、PAT アドレスのプールを指定できるようになりました。また、オプションで、PAT アドレスのすべてのポートを使用してからプール内の次のアドレスを使用するのではなく、PAT アドレスのラウンドロビン割り当てをイネーブルにすることもできます。これらの機能は、1 つの PAT アドレスで多数の接続を行っている場合にそれが DoS 攻撃の対象となることを防止するのに役立ちます。またこの機能により、多数の PAT アドレスを簡単に設定できます。

次の画面が変更されました。[Configuration] > [Firewall] > [NAT Rules] > [Add NAT Rule]/[Edit NAT Rule]。

ラウンドロビン PAT プール割り当てで、既存のホストの同じ IP アドレスを使用する

8.4(3)

ラウンドロビン割り当てで PAT プールを使用するときに、ホストに既存の接続がある場合、そのホストからの後続の接続では、ポートが使用可能であれば同じ PAT IP アドレスが使用されます。

変更された画面はありません。

この機能は、8.5(1) または 8.6(1) では使用できません。

PAT プールの PAT ポートのフラットな範囲

8.4(3)

使用できる場合、実際の送信元ポート番号がマッピング ポートに対して使用されます。ただし、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(0 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。そのため、1024 よりも下のポートには、小さい PAT プールのみがあります。

下位ポート範囲を使用するトラフィックが数多くある場合は、PAT プールを使用するときに、サイズが異なる 3 つの層の代わりにフラットなポート範囲を使用するように指定できます。1024 ~ 65535 または 1 ~ 65535 です。

次の画面が変更されました。[Configuration] > [Firewall] > [NAT Rules] > [Add NAT Rule]/[Edit NAT Rule]。

この機能は、8.5(1) または 8.6(1) では使用できません。

PAT プールの拡張 PAT

8.4(3)

各 PAT IP アドレスでは、最大 65535 個のポートを使用できます。65535 個のポートで変換が不十分な場合は、PAT プールに対して拡張 PAT をイネーブルにすることができます。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、 サービス ごとに 65535 個のポートが使用されます。

次の画面が変更されました。[Configuration] > [Firewall] > [NAT Rules] > [Add NAT Rule]/[Edit NAT Rule]。

この機能は、8.5(1) または 8.6(1) では使用できません。

VPN ピアのローカル IP アドレスを変換してピアの実際の IP アドレスに戻す自動 NAT ルール

8.4(3)

まれに、内部ネットワークで、割り当てられたローカル IP アドレスではなく、VPN ピアの実際の IP アドレスを使用する場合があります。VPN では通常、内部ネットワークにアクセスするために、割り当てられたローカル IP アドレスがピアに指定されます。ただし、内部サーバおよびネットワーク セキュリティがピアの実際の IP アドレスに基づく場合などに、ローカル IP アドレスを変換してピアの実際のパブリック IP アドレスに戻す場合があります。

この機能は、トンネル グループごとに 1 つのインターフェイスでイネーブルにすることができます。VPN セッションが確立または切断されると、オブジェクト NAT ルールが動的に追加および削除されます。ルールは show nat コマンドを使用して表示できます。

(注) ルーティングの問題のため、この機能が必要でない場合は、この機能の使用は推奨しません。ご使用のネットワークとの機能の互換性を確認するには、Cisco TAC にお問い合わせください。次の制限事項を確認してください。

Cisco IPsec および AnyConnect クライアントのみがサポートされます。

NAT ポリシーおよび VPN ポリシーが適用されるように、パブリック IP アドレスへのリターン トラフィックは ASA にルーティングされる必要があります。

ロードバランシングはサポートされません(ルーティングの問題のため)。

ローミング(パブリック IP 変更)はサポートされません。

ASDM ではこのコマンドはサポートされません。コマンドライン ツールを使用してコマンドを入力してください。

IPv6 用の NAT のサポート

9.0(1)

NAT が IPv6 トラフィックをサポートするようになり、IPv4 と IPv6 の間の変換もサポートされます。IPv4 と IPv6 の間の変換は、トランスペアレント モードではサポートされません。

次の画面が変更されました。[Configuration] > [Firewall] > [NAT Rules]。

逆引き DNS ルックアップ用の NAT のサポート

9.0(1)

NAT ルールがイネーブルにされた DNS インスペクションを使用する IPv4 NAT、IPv6 NAT、および NAT64 を使用する場合、NAT は逆引き DNS ルックアップ用の DNS PTR レコードの変換をサポートするようになりました。

Per-Session PAT

9.0(1)

Per-session PAT 機能によって PAT のスケーラビリティが向上し、クラスタリングの場合に各メンバ ユニットに独自の PAT 接続を使用できるようになります。Multi-Session PAT 接続は、マスター ユニットに転送してマスター ユニットを所有者とする必要があります。Per-Session PAT セッションの終了時に、ASA からリセットが送信され、即座に xlate が削除されます。このリセットによって、エンド ノードは即座に接続を解放し、TIME_WAIT 状態を回避します。対照的に、Multi-Session PAT では、PAT タイムアウトが使用されます(デフォルトでは 30 秒)。「ヒットエンドラン」トラフィック、たとえば HTTP や HTTPS の場合は、Per-Session 機能によって、1 アドレスでサポートされる接続率が大幅に増加することがあります。Per-session 機能を使用しない場合は、特定の IP プロトコルに対する 1 アドレスの最大接続率は約 2000/秒です。Per-session 機能を使用する場合は、特定の IP プロトコルに対する 1 アドレスの接続率は 65535/平均ライフタイムです。

デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。Multi-Session PAT を必要とするトラフィック、たとえば H.323、SIP、Skinny に対して Per-session PAT をディセーブルにするには、Per-session 拒否ルールを作成します。

次の画面が導入されました。[Configuration] > [Firewall] > [Advanced] > [Per-Session NAT Rules]。

NAT ルール エンジンのトランザクション コミット モデル

9.3(1)

イネーブルの場合、NAT ルールの更新はルール コンパイルの完了後に適用され、ルール照合のパフォーマンスに影響を及ぼすことはありません。

[Configuration] > [Device Management] > [Advanced] > [Rule Engine] 画面に NAT が追加されました。