Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
NAT 制御の設定
NAT 制御の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

NAT 制御の設定

NAT 制御に関する情報

NAT 制御と内部インターフェイス

NAT 制御と同じセキュリティ レベルのインターフェイス

NAT 制御と外部のダイナミック NAT

NAT 制御とスタティック NAT

NAT 制御がイネーブルな状態での NAT のバイパス

ライセンス要件

NAT 制御の前提条件

ガイドラインと制限事項

デフォルト設定

NAT 制御の設定

NAT 制御の監視

NAT 制御の設定例

NAT 制御の機能履歴

NAT 制御の設定

この章では、Network Address Translation(NAT; ネットワーク アドレス変換)制御について説明します。次の項目を取り上げます。

「NAT 制御に関する情報」

「ライセンス要件」

「NAT 制御の前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「NAT 制御の設定」

「NAT 制御の監視」

「NAT 制御の設定例」

「NAT 制御の機能履歴」

NAT 制御に関する情報

この項では、NAT 制御について説明します。次の項目を取り上げます。

「NAT 制御と内部インターフェイス」

「NAT 制御と同じセキュリティ レベルのインターフェイス」

「NAT 制御と外部のダイナミック NAT」

「NAT 制御とスタティック NAT」

「NAT 制御がイネーブルな状態での NAT のバイパス」

NAT 制御と内部インターフェイス

NAT 制御では、内部インターフェイスから外部インターフェイスに移動するパケットが NAT 規則と一致することが要求されます。内部ネットワークの任意のホストが外部ネットワークのホストにアクセスできるようにするには、内部ホスト アドレスが変換されるように NAT を設定する必要があります(図 27-1 を参照)。

図 27-1 NAT 制御と発信トラフィック

 

NAT 制御と同じセキュリティ レベルのインターフェイス

同じセキュリティ レベルのインターフェイスは、NAT を使用して通信することを要求されません。ただし、ダイナミック NAT または Port Address Translation(PAT; ポート アドレス変換)を同じセキュリティ レベルのインターフェイス上に設定した場合は、そのインターフェイスから同じセキュリティ レベルのインターフェイス、または外部インターフェイスに向かうすべてのトラフィックは、NAT 規則と一致する必要があります(図 27-2 を参照)。

図 27-2 NAT 制御と同じセキュリティ レベルのトラフィック

 

NAT 制御と外部のダイナミック NAT

同様に、外部のダイナミック NAT または PAT をイネーブルにした場合、すべての外部トラフィックは、内部インターフェイスにアクセスするときに、NAT 規則と一致する必要があります (図 27-3 を参照)。

図 27-3 NAT 制御と着信トラフィック

 

NAT 制御とスタティック NAT

NAT 制御はスタティック NAT に影響を与えず、ダイナミック NAT で見られる制限は発生しません。

NAT 制御がイネーブルな状態での NAT のバイパス

NAT 制御によってセキュリティを強化し、同時に内部アドレスの変換を回避する必要がある場合は、それらのアドレスに対して NAT 免除規則またはアイデンティティ NAT 規則を適用できます。

NAT 制御をイネーブルにすると、外部ホストにアクセスする際に、内部ホストは NAT 規則と一致する必要があります。一部のホストに対して NAT が実行されないようにするには、それらのホストに対する NAT をバイパスするか、または、NAT 制御をディセーブルにする方法もあります。たとえば、NAT をサポートしていないアプリケーションを使用している場合も NAT をバイパスできます。NAT をサポートしていない検査エンジンについては、「アプリケーション プロトコル検査を使用するタイミング」を参照してください。

次の 3 つの方法のいずれかを使用して、トラフィックが NAT をバイパスするように設定できます。どの方法でも、検査エンジンとの互換性が実現されます。ただし、それぞれの方法で提供される機能は、わずかに異なります。

アイデンティティ NAT( nat 0 コマンド):アイデンティティ NAT(ダイナミック NAT と類似)を設定するときは、変換を特定のインターフェイス上のホストに限定しません。つまり、アイデンティティ NAT は、すべてのインターフェイスを通過する接続に対して使用する必要があります。したがって、インターフェイス A にアクセスするときに実際のアドレスに対して通常の変換を実行し、インターフェイス B にアクセスするときにアイデンティティ NAT を使用するということは選択できません。一方、標準ダイナミック NAT では、アドレスを変換する特定のインターフェイスを指定できます。アイデンティティ NAT を適用する実際のアドレスは、アクセスリストで使用可能となっているすべてのネットワークでルーティング可能である必要があります。

アイデンティティ NAT では、マッピング アドレスは実際のアドレスと同じものになりますが、外部から内部への接続を開始することはできません(インターフェイス アクセスリストでそれが許可されている場合も同じです)。そのような機能が必要な場合は、スタティック アイデンティティ NAT または NAT 免除を使用します。

スタティック アイデンティティ NAT( static コマンド): スタティック アイデンティティ NAT では、インターフェイスを指定して実際のアドレスの表示を許可できるため、インターフェイス A にアクセスするときにアイデンティティ NAT を使用し、インターフェイス B にアクセスするときに通常の変換を使用できます。スタティック アイデンティティ NAT では、ポリシー NAT も使用できます。ポリシー NAT では、変換対象の実際のアドレスを決定するときに、実際のアドレスと宛先アドレスが指定されます (ポリシー NAT の詳細については、「ポリシー NAT」を参照してください)。たとえば、内部アドレスが外部インターフェイスにアクセスするとき、宛先がサーバ A である場合は内部アドレスに対してスタティック アイデンティティ NAT を使用し、外部サーバ B にアクセスする場合は通常の変換を使用できます。

NAT 免除( nat 0 access-list コマンド):NAT 免除では、変換済みのホストおよびリモート ホストの両方が接続を開始できます。アイデンティティ NAT と同様に、変換を特定のインターフェイス上のホストに限定しません。すべてのインターフェイスを通過する接続に対して NAT 免除を使用する必要があります。ただし、NAT 免除では、変換対象の実際のアドレスを決定するときに実際のアドレスおよび宛先アドレスを指定できます(ポリシー NAT と類似)。したがって、NAT 免除を使用すると制御力が高くなります。しかし、ポリシー NAT とは異なり、NAT 免除では、アクセスリストのポートは考慮されません。また、NAT 免除では、最大 TCP 接続数などの接続設定はサポートしていません。

ライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

NAT 制御の前提条件

NAT 制御には次の前提条件があります。

NAT 制御では、内部インターフェイスから外部インターフェイスに移動するパケットが NAT 規則と一致することが要求されます。内部ネットワークの任意のホストが外部ネットワークのホストにアクセスできるようにするには、内部ホスト アドレスが変換されるように NAT を設定する必要があります。

同じセキュリティ レベルのインターフェイスは、NAT を使用して通信することを要求されません。ただし、ダイナミック NAT または PAT を同じセキュリティ レベルのインターフェイス上に NAT 制御をイネーブルにして設定した場合は、そのインターフェイスから同じセキュリティ レベルのインターフェイス、または外部インターフェイスに向かうすべてのトラフィックは、NAT 規則と一致する必要があります。

同様に、外部のダイナミック NAT または PAT を NAT 制御でイネーブルにした場合、すべての外部トラフィックは、内部インターフェイスにアクセスするときに、NAT 規則と一致する必要があります。

NAT 制御によるスタティック NAT では、これらの制限は発生しません。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マルチコンテキスト モードでは、共有インターフェイスで固有の MAC アドレスをイネーブルにしない場合、パケット分類子が NAT コンフィギュレーションに依存してパケットをコンテキストに割り当てる場合があります。分類子と NAT の関係の詳細については、「セキュリティ アプライアンスによるパケットの分類方法」を参照してください。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードでサポートされます。

その他のガイドラインと制限事項

NAT 制御によってセキュリティを強化し、同時に内部アドレスの変換を回避する必要がある場合は、それらのアドレスに対して NAT 免除規則( nat 0 access-list )またはアイデンティティ NAT 規則( nat 0 または static )を適用できます。

デフォルト設定

デフォルトでは、NAT 制御はディセーブルになっています。したがって、NAT を実行する場合以外、いずれのネットワークにおいても NAT を実行する必要はありません。ただし、以前のバージョンのソフトウェアからアップグレードした場合は、NAT 制御がシステムでイネーブルになっている可能性があります。NAT 制御がディセーブルになっている場合でも、ダイナミック NAT を設定するアドレスで NAT を実行する必要があります。ダイナミック NAT の適用方法については、「ダイナミック NAT および PAT の設定」を参照してください。

NAT 制御の設定

NAT 制御をイネーブルにするには、次のコマンドを入力します。

 

コマンド
目的

nat-control

 

例:

hostname(config)# nat-control

NAT 制御をイネーブルにします。

NAT 制御をディセーブルにするには、このコマンドの no 形式を入力します。

NAT 制御の監視

NAT 制御を監視するには、次のいずれかのタスクを実行します。

 

コマンド
目的
show running-config nat-control

NAT の設定要件を表示します。

NAT 制御の設定例

NAT制御が no-nat control コマンドでディセーブルにされ、NAT と global コマンドのペアがインターフェイスに設定されたとき、実際の IP アドレスは、 nat 0 access-list コマンドで宛先を定義しない限り、他のインターフェイスで送信されません。

たとえば、次の NAT は、外部ネットワークへ向かうときに実行するものです。

nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 209.165.201.2
 

上記の設定では内部ネットワークですべてが取得するため、内部アドレスが DMZ へ向かうときにそれらのアドレス変換しない場合は、次の例のように、そのトラフィックを NAT 免除と一致させる必要があります。

access-list EXEMPT extended permit ip any 192.168.1.0 255.255.255.0
access-list EXEMPT remark This matches any traffic going to DMZ1
access-list EXEMPT extended permit ip any 10.1.1.0 255.255.255.0
access-list EXEMPT remark This matches any traffic going to DMZ1
nat (inside) 0 access-list EXEMPT
 

また、すべてのインターフェイスで NAT 変換を実行できます。

nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 209.165.201.2
global (dmz1) 1 192.168.1.230
global (dmz2) 1 10.1.1.230
 

NAT 制御の機能履歴

表 27-1 に、この機能のリリース履歴の一覧を示します。

 

表 27-1 NAT 制御の機能履歴

機能名
リリース
機能情報

NAT 制御をイネーブルおよびディセーブルにする機能

7.0(1)

NAT 制御をイネーブルおよびディセーブルにする機能が導入されました。

nat-control コマンドが導入されました。