Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
NAT のバイパス
NAT のバイパス
発行日;2012/02/05 | 英語版ドキュメント(2012/01/04 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

NAT のバイパス

アイデンティティ NAT の設定

アイデンティティ NAT に関する情報

アイデンティティ NAT のライセンス要件

アイデンティティ NAT のガイドラインと制限事項

アイデンティティ NAT のデフォルト設定

アイデンティティ NAT の設定

アイデンティティ NAT の監視

アイデンティティ NAT の機能履歴

スタティック アイデンティティ NAT の設定

スタティック アイデンティティ NAT に関する情報

スタティック アイデンティティ NAT のライセンス要件

スタティック アイデンティティ NAT のガイドラインと制限事項

スタティック アイデンティティ NAT のデフォルト設定

スタティック アイデンティティ NAT の設定

ポリシー スタティック アイデンティティ NAT の設定

標準スタティック アイデンティティ NAT の設定

スタティック アイデンティティ NAT の監視

スタティック アイデンティティ NAT の機能履歴

NAT 免除の設定

NAT 免除に関する情報

NAT 免除のライセンス要件

NAT 免除のガイドラインと制限事項

NAT 免除のデフォルト設定

NAT 免除の設定

NAT 免除の監視

NAT 免除の設定例

NAT 免除の機能履歴

NAT のバイパス

NAT 制御をイネーブルにすると、外部ホストにアクセスする際に、内部ホストは NAT 規則と一致する必要があります。NAT 制御をイネーブルにするときに NAT をバイパスして、ローカル IP アドレスを変換せずに表示することができます。また、NAT をサポートしていないアプリケーションを使用している場合も NAT をバイパスできます。NAT をサポートしていない検査エンジンについては、「アプリケーション プロトコル検査を使用するタイミング」を参照してください。

NAT は、アイデンティティ NAT、スタティック アイデンティティ NAT、または NAT 免除を使用することでバイパスできます。

この章では、NAT のバイパス方法について説明します。次の項目を取り上げます。

「アイデンティティ NAT の設定」

「スタティック アイデンティティ NAT の設定」

「NAT 免除の設定」

アイデンティティ NAT の設定

この項は、次の内容で構成されています。

「アイデンティティ NAT に関する情報」

「アイデンティティ NAT のライセンス要件」

「アイデンティティ NAT のガイドラインと制限事項」

「アイデンティティ NAT のデフォルト設定」

「アイデンティティ NAT の設定」

「アイデンティティ NAT の監視」

「アイデンティティ NAT の機能履歴」

アイデンティティ NAT に関する情報

アイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。「変換済み」のホストだけが NAT 変換を作成でき、応答トラフィックが許可されます。

アイデンティティ NAT(ダイナミック NAT と類似)を設定するときは、変換を特定のインターフェイス上のホストに限定しません。つまり、アイデンティティ NAT は、すべてのインターフェイスを通過する接続に対して使用する必要があります。たとえば、インターフェイス A にアクセスするときに実際のアドレスに対して通常の変換を実行し、インターフェイス B にアクセスするときにアイデンティティ NAT を使用するという選択はできません。アイデンティティ NAT は、すべてのインターフェイスを通過するすべての接続に対して使用するため、アイデンティティ NAT を適用する実際のアドレスは、アクセスリストで使用可能となっているすべてのネットワークでルーティング可能である必要があります。


) アドレスを変換するために特定のインターフェイスを指定する必要がある場合は、標準ダイナミック NAT を使用します。


図 31-1 に、一般的なアイデンティティ NAT のシナリオを示します。

図 31-1 アイデンティティ NAT

 

アイデンティティ NAT のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

アイデンティティ NAT のガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

その他のガイドラインと制限事項

アイデンティティ NAT には、次のガイドラインと制限事項が適用されます。

NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに新しい NAT 情報を使用する必要がある場合は、 clear xlate コマンドを使用して変換テーブルを消去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。

アイデンティティ NAT を適用する実際のアドレスは、アクセスリストで使用可能となっているすべてのネットワークでルーティング可能である必要があります。

アイデンティティ NAT では、マッピング アドレスは実際のアドレスと同じものになりますが、外部から内部への接続を開始することはできません(インターフェイス アクセスリストでそれが許可されている場合も同じです)。そのような機能が必要な場合は、スタティック アイデンティティ NAT または NAT 免除を使用します。

アイデンティティ NAT のデフォルト設定

表 31-1 に、アイデンティティ NAT パラメータのデフォルト設定を示します。

 

表 31-1 アイデンティティ NAT のデフォルト パラメータ

パラメータ
デフォルト

emb_limit

デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

tcp tcp_max_conns

デフォルト値は 0 です。これは、接続が無制限であることを示します。

udp udp_max_conns

デフォルト値は 0 です。これは、接続が無制限であることを示します。

アイデンティティ NAT の設定

アイデンティティ NAT を設定するには、次のコマンドを入力します。

 

コマンド
目的
nat ( real_interface ) nat_id real_ip [ mask [ dns ] [ outside ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]
 
:
hostname(config)# nat (inside) 0 10.1.1.0 255.255.255.0
 

内部 10.1.1.0/24 ネットワークに対してアイデンティティ NAT を設定します。

real_interface 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

nat_id 引数には、NAT ID の整数を指定します。アイデンティティ NAT では、NAT ID に 0 を使用します。この ID は、グローバル プールを real_ip と関連付けるために global コマンドで参照されます。

real_ip 引数には、変換する実際のアドレスを指定します。すべてのアドレスの指定に 0.0.0.0 (または省略形の 0 )を使用できます。

オプションの mask 引数には、実際のアドレスのサブネット マスクを指定します。マスクを入力しない場合、IP アドレス クラスのデフォルトのマスクが使用されます。

オプションの dns キーワードは、このコマンドに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。

このインターフェイスのセキュリティ レベルが、一致する global 文で指定したインターフェイスのセキュリティ レベルより低い場合、 outside を入力する必要があります。

オプションの norandomseq キーワードは、TCP ISN ランダム化の保護をディセーブルにします。

オプションの tcp tcp_max_conns キーワードと引数には、ローカル ホストで許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定します。デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

オプションの udp udp_max_conns キーワードと引数には、ローカル ホストで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』の nat コマンドを参照してください)。

アイデンティティ NAT の監視

NAT バイパスを監視するには、次のコマンドを入力します。

 

コマンド
目的
show running-config nat

ネットワークに関連付けられているグローバル IP アドレスのプールを表示します。

アイデンティティ NAT の機能履歴

表 31-2 に、この機能のリリース履歴の一覧を示します。

 

表 31-2 アイデンティティ NAT の機能履歴

機能名
リリース
機能情報

アイデンティティ NAT

 

7.0

アイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。アイデンティティ NAT は、すべてのインターフェイスを通過する接続に対して使用します。

nat コマンドが導入されました。

NAT

8.0(2)

NAT が透過ファイアウォール モードでサポートを開始しました。

スタティック アイデンティティ NAT の設定

この項は、次の内容で構成されています。

「スタティック アイデンティティ NAT に関する情報」

「スタティック アイデンティティ NAT のライセンス要件」

「スタティック アイデンティティ NAT のガイドラインと制限事項」

「スタティック アイデンティティ NAT のデフォルト設定」

「スタティック アイデンティティ NAT の設定」

「スタティック アイデンティティ NAT の監視」

「スタティック アイデンティティ NAT の機能履歴」

スタティック アイデンティティ NAT に関する情報

スタティック アイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。スタティック アイデンティティ NAT では、インターフェイスを指定して実際のアドレスの表示を許可できるため、インターフェイス A にアクセスするときにアイデンティティ NAT を使用し、インターフェイス B にアクセスするときに通常の変換を使用できます。スタティック アイデンティティ NAT では、ポリシー NAT も使用できます。ポリシー NAT では、変換対象の実際のアドレスを決定するときに、実際のアドレスと宛先アドレスが指定されます (ポリシー NAT の詳細については、「ポリシー NAT」を参照してください)。たとえば、内部アドレスが外部インターフェイスにアクセスするとき、宛先がサーバ A である場合は内部アドレスに対してスタティック アイデンティティ NAT を使用し、外部サーバ B にアクセスする場合は通常の変換を使用できます。この変換は常にアクティブであるため、「変換済み」のホストとリモート ホストの両方が接続を開始できます。

図 31-2 に、一般的なスタティック アイデンティティ NAT のシナリオを示します。

図 31-2 スタティック アイデンティティ NAT

 

スタティック アイデンティティ NAT のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

スタティック アイデンティティ NAT のガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

その他のガイドラインと制限事項

スタティック アイデンティティ NAT には、次のガイドラインと制限事項が適用されます。

clear xlate コマンドで変換テーブルからスタティック変換を消去することはできません。 static コマンドを削除する必要があります。 clear xlate コマンドでは、 nat コマンドおよび global コマンドで作成したダイナミック変換だけを削除できます。

static コマンドを削除した場合、変換を使用している既存の接続は影響を受けません。これらの接続を削除するには、 clear local-host コマンドを入力します。

ポリシー スタティック アイデンティティ NAT は、inactive および time-range キーワードを考慮しません。すべての ACE が、ポリシー NAT コンフィギュレーションに対してアクティブであると見なされます (詳細については、「ポリシー NAT」を参照してください)。

スタティック ポリシー NAT では、変換を元に戻すときに、 static コマンドの ACL は使用されません。パケットの宛先アドレスがスタティック規則のマッピング アドレスと一致する場合は、スタティック規則を使用してアドレスの変換を元に戻します。

スタティック アイデンティティ NAT のデフォルト設定

表 31-3 に、スタティック アイデンティティ NAT パラメータのデフォルト設定を示します。

 

表 31-3 スタティック アイデンティティ NAT のデフォルト パラメータ

パラメータ
デフォルト

emb_limit

デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

tcp tcp_max_conns

デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

udp udp_max_conns

デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

スタティック アイデンティティ NAT の設定

この項では、ポリシー スタティック アイデンティティ NAT と標準スタティック アイデンティティ NAT の設定方法について説明します。次の項目を取り上げます。

「ポリシー スタティック アイデンティティ NAT の設定」

「標準スタティック アイデンティティ NAT の設定」

ポリシー スタティック アイデンティティ NAT の設定

ポリシー スタティック アイデンティティ NAT を設定するには、次のコマンドを入力します。

 

コマンド
目的
static ( real_interface , mapped_interface ) real_ip access-list acl_id [ dns ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]
 
:
hostname(config)# static (inside,outside) 209.165.202.129 access-list NET1

ポリシー スタティック NAT を設定します。

real_interface,mapped_interface 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前と、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

real_ip 引数には、変換する実際のアドレスを指定します。

access-list キーワードと acl_id 引数は、拡張アクセスリストを使用して、実際のアドレスと宛先/送信元アドレスを指定します。 access-list extended コマンドを使用して、拡張アクセスリストを作成します (「拡張アクセスリストの追加」を参照)。このアクセスリストには、 許可 ACE だけを含めます。アクセスリストの送信元アドレスが、このコマンドの real_ip と一致することを確認します。

オプションの dns キーワードは、この static コマンドに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。この機能をサポートするために、DNS 検査をイネーブルにする必要があります。

オプションの norandomseq キーワードは、TCP ISN ランダム化の保護をディセーブルにします。

オプションの tcp tcp_max_conns キーワードと引数には、ローカル ホストで許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定します。デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

オプションの udp udp_max_conns キーワードと引数には、ローカル ホストで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』の static コマンドを参照してください)。

ポリシー スタティック アイデンティティ NAT の例

次のポリシー スタティック アイデンティティ NAT の例は、ある宛先アドレスにアクセスするときにアイデンティティ NAT を使用し、別の宛先アドレスにアクセスするときに何らかの変換を使用する 1 つの実際のアドレスを示しています。

hostname(config)# access-list NET1 permit ip host 10.1.2.27 209.165.201.0 255.255.255.224
hostname(config)# access-list NET2 permit ip host 10.1.2.27 209.165.200.224
255.255.255.224
hostname(config)# static (inside,outside) 209.165.202.129 access-list NET1
hostname(config)# static (inside,outside) 209.165.202.130 access-list NET2

標準スタティック アイデンティティ NAT の設定

標準スタティック アイデンティティ NAT を設定するには、次のコマンドを入力します。

 

コマンド
目的
static ( real_interface , mapped_interface ) real_ip real_ip [ netmask mask ] [ dns ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]
 
:
hostname(config)# static (inside,outside) 10.1.1.3 10.1.1.3 netmask 255.255.255.255
 

スタティック アイデンティティ NAT を設定します。

real_interface,mapped_interface 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前と、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

real_ip 引数には、変換する実際のアドレスを指定します。両方の real_ip 引数に、同じ IP アドレスを指定します。

netmask mask オプションには、実際のアドレスとマッピング アドレスのサブネット マスクを指定します。

dns オプションは、このスタティックに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。


) この機能をサポートするために、DNS 検査をイネーブルにする必要があります。


norandomseq オプションは、TCP ISN ランダム化の保護をディセーブルにします。各 TCP 接続には、クライアントで生成される ISN とサーバで生成される ISN の 2 つの ISN があります。セキュリティ アプライアンスは、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。

スタティック PAT では、 tcp オプションはプロトコルを TCP として指定します。

tcp_max_cons 引数には、ローカル ホストで許可された同時 TCP 接続の最大数を指定します (local-host コマンドを参照してください)。デフォルト値は 0 です。これは、接続が無制限であることを示します。

オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定します。デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

udp udp_max_conns オプションには、ローカル ホストで許可された同時 UDP 接続の最大数を指定します (local-host コマンドを参照してください)。デフォルト値は 0 です。これは、接続が無制限であることを示します。

この例では、外部からのアクセスがあった場合に、内部 IP アドレス(10.1.1.3)に対してスタティック アイデンティティ NAT が使用されます。

標準スタティック アイデンティティ NAT の例

次のコマンドでは、外部からのアクセスがあった場合に、内部 IP アドレス(10.1.1.3)に対してスタティック アイデンティティ NAT が使用されます。

hostname(config)# static (inside,outside) 10.1.1.3 10.1.1.3 netmask 255.255.255.255
 

次のコマンドでは、内部からのアクセスがあった場合に、外部アドレス(209.165.201.15)に対してスタティック アイデンティティ NAT が使用されます。

hostname(config)# static (outside,inside) 209.165.201.15 209.165.201.15 netmask 255.255.255.255
 

次のコマンドは、サブネット全体をスタティックにマッピングします。

hostname(config)# static (inside,dmz) 10.1.2.0 10.1.2.0 netmask 255.255.255.0
 

スタティック アイデンティティ NAT の監視

スタティック アイデンティティ NAT を監視するには、次のコマンドを入力します。

 

コマンド
目的
show running-config static

コンフィギュレーションですべての static コマンドを表示します。

スタティック アイデンティティ NAT の機能履歴

表 31-4 に、この機能のリリース履歴の一覧を示します。

 

表 31-4 スタティック アイデンティティ NAT の機能履歴

機能名
リリース
機能情報

スタティック アイデンティティ NAT

 

7.0

スタティック アイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。

static コマンドが導入されました。

NAT

8.0(2)

NAT が透過ファイアウォール モードでサポートを開始しました。

NAT 免除の設定

この項は、次の内容で構成されています。

「NAT 免除に関する情報」

「NAT 免除のライセンス要件」

「NAT 免除のガイドラインと制限事項」

「NAT 免除のデフォルト設定」

「NAT 免除の設定」

「NAT 免除の監視」

「NAT 免除の設定例」

「NAT 免除の機能履歴」

NAT 免除に関する情報

NAT 免除を使用すると、アドレスは変換を免除され、変換済みのホストとリモート ホストの両方が接続を開始できるようになります。アイデンティティ NAT と同様に、変換を特定のインターフェイス上のホストに限定しません。すべてのインターフェイスを通過する接続に対して NAT 免除を使用する必要があります。ただし、NAT 免除では、変換対象の実際のアドレスを決定するときに実際のアドレスおよび宛先アドレスを指定できます(ポリシー NAT と類似)。したがって、アイデンティティ NAT を使用するよりも、NAT 免除を使用した方が制御力が高くなります。しかし、ポリシー NAT とは異なり、NAT 免除では、アクセスリストのポートは考慮されません。アクセスリストのポートを考慮する場合は、スタティック アイデンティティ NAT を使用してください。

図 31-3 に、一般的な NAT 免除のシナリオを示します。

図 31-3 NAT 免除

 

NAT 免除のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

NAT 免除のガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

その他のガイドラインと制限事項

NAT 制限には、次のガイドラインと制限事項が適用されます。

NAT 免除コンフィギュレーションを削除しても、NAT 免除を使用している既存の接続は影響を受けません。これらの接続を削除するには、 clear local-host コマンドを入力します。

NAT 免除では、最大 TCP 接続数などの接続設定はサポートしていません。

デフォルトでは、 nat コマンドは内部から外部へのトラフィックを免除します。外部から内部へのトラフィックが NAT をバイパスするようにするには、別の nat コマンドを追加し、 outside を入力して NAT インスタンスを外部 NAT として指定します。外部インターフェイスに対してダイナミック NAT を設定している場合に他のトラフィックを免除するときは、外部 NAT 免除を使用できます。

show access-list コマンドによって表示されるアクセスリストのヒット数は、NAT 免除のアクセスリストを増分しません。

NAT 免除のデフォルト設定

表 31-5 に、NAT 免除パラメータのデフォルト設定を示します。

 

表 31-5 デフォルトの NAT 免除パラメータ

パラメータ
デフォルト

nat_id

NAT ID の整数を指定します。NAT 免除では、NAT ID に 0 を使用します。

NAT 免除の設定

NAT 免除を設定するには、次のコマンドを入力します。

 

コマンド
目的
nat ( real_interface ) nat_id access-list acl_name [ outside ]
 
:
hostname(config)# nat (inside) 0 access-list EXEMPT

NAT 免除を設定します。

real_interface 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

nat_id 引数には、NAT ID の整数を指定します。NAT 免除では、NAT ID に 0 を使用します。

access-list キーワードは、拡張アクセスリストを使用してローカル アドレスと宛先アドレスを指定します。 access-list extended コマンドを使用して、拡張アクセスリストを作成します (「拡張アクセスリストの追加」を参照)。このアクセスリストには、 許可 ACE と 拒否 ACE の両方を含めることができます。このアクセスリストでは、実際のポートおよび宛先ポートを指定しないでください。NAT 免除はポートを考慮しません。NAT 免除は、 inactive time-range の各キーワードを考慮しますが、すべての inactive ACE と time-range ACE が含まれた ACL はサポートしていません。

デフォルトでは、このコマンドは内部から外部へのトラフィックを免除します。外部から内部へのトラフィックが NAT をバイパスするようにするには、別の nat コマンドを追加し、 outside を入力して NAT インスタンスを外部 NAT として指定します。外部インターフェイスに対してダイナミック NAT を設定している場合に他のトラフィックを免除するときは、外部 NAT 免除を使用できます。

このインターフェイスのセキュリティ レベルが、一致する global 文で指定したインターフェイスのセキュリティ レベルより低い場合、 outside を入力します

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』の nat コマンドを参照してください)。

NAT 免除の監視

NAT バイパスを監視するには、次のコマンドを入力します。

 

コマンド
目的
show running-config nat

ネットワークに関連付けられているグローバル IP アドレスのプールを表示します。

NAT 免除の設定例

次の例は、NAT 免除の設定方法を示しています。

任意の宛先アドレスにアクセスするとき、内部ネットワークに対して免除するには、次のコマンドを入力します。

hostname(config)# access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any
hostname(config)# nat (inside) 0 access-list EXEMPT
 

ある DMZ ネットワークに対してダイナミック外部 NAT を使用し、別の DMZ ネットワークに対して免除するには、次のコマンドを使用します。

hostname(config)# nat (dmz) 1 10.1.2.0 255.255.255.0 outside dns
hostname(config)# global (inside) 1 10.1.1.45
hostname(config)# access-list EXEMPT permit ip 10.1.3.0 255.255.255.0 any
hostname(config)# nat (dmz) 0 access-list EXEMPT
 

2 つの異なる宛先アドレスにアクセスするとき、内部アドレスに対して免除するには、次のコマンドを入力します。

hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 255.255.255.224
hostname(config)# nat (inside) 0 access-list NET1
 

NAT 免除の機能履歴

表 31-6 に、この機能のリリース履歴の一覧を示します。

 

表 31-6 NAT 免除の機能履歴

機能名
リリース
機能情報

NAT 免除

 

7.0

NAT 免除を使用すると、アドレスは変換を免除され、変換済みのホストとリモート ホストの両方が接続を開始できるようになります。

nat コマンドが導入されました。

NAT

8.0(2)

NAT が透過ファイアウォール モードでサポートを開始しました。