Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

ダイナミック NAT および PAT の設定

ダイナミック NAT および PAT に関する情報

ダイナミック NAT に関する情報

PAT に関する情報

ダイナミック NAT および PAT の実装に関する情報

ダイナミック NAT および PAT のライセンス要件

ガイドラインと制限事項

デフォルト設定

ダイナミック NAT または PAT の設定

ダイナミック NAT および PAT の設定のタスク フロー

ポリシー ダイナミック NAT の設定

標準ダイナミック NAT の設定

ダイナミック NAT および PAT の監視

ダイナミック NAT および PAT の設定例

ダイナミック NAT および PAT の機能履歴

ダイナミック NAT および PAT の設定

この項では、ダイナミック ネットワーク アドレス変換について説明します。ダイナミック NAT とダイナミック PAT のコンフィギュレーションはほぼ同じです。NAT の場合はマッピング アドレスの範囲を指定し、PAT の場合は 1 つのアドレスを指定する点だけが異なります。

次の項目について説明します。

「ダイナミック NAT および PAT に関する情報」

「ダイナミック NAT および PAT のライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「ダイナミック NAT または PAT の設定」

「ダイナミック NAT および PAT の監視」

「ダイナミック NAT および PAT の設定例」

「ダイナミック NAT および PAT の機能履歴」

ダイナミック NAT および PAT に関する情報

この項は、次の内容で構成されています。

「ダイナミック NAT に関する情報」

「PAT に関する情報」

「ダイナミック NAT および PAT の実装に関する情報」

ダイナミック NAT に関する情報

ダイナミック NAT では、実際のアドレスのグループは、宛先ネットワーク上でルーティング可能なマッピング アドレスのプールに変換されます。マッピングされたプールにあるアドレスは、実際のグループより少ないことがあります。変換対象のホストが宛先ネットワークにアクセスすると、適応型セキュリティ アプライアンスは、マッピングされたプールから IP アドレスをそのホストに割り当てます。変換は、実際のホストが接続を開始したときにだけ追加されます。変換は接続が継続している間だけ有効であり、変換がタイムアウトすると、そのユーザは同じ IP アドレスを保持しません。例については、『 Cisco ASA 5500 Series Command Reference 』の timeout xlate コマンドを参照してください。したがって、アクセスリストでその接続が許可されている場合でも、宛先ネットワークのユーザは、ダイナミック NAT を使用しているホストへの確実な接続を開始できません。また、適応型セキュリティ アプライアンスは、実際のホスト アドレスに直接接続しようとする試みを拒否します。ホストへの確実なアクセスを取得する方法の詳細については、「スタティック NAT の設定」または「スタティック PAT の設定」を参照してください。


) 適応型セキュリティ アプライアンスがセッションを拒否した場合でも、接続に変換が追加されることがあります。この状況は通常、変換がタイムアウトになる着信アクセスリスト、管理専用インターフェイス、またはバックアップ インターフェイスで発生します。例については、『Cisco ASA 5500 Series Command Reference』の show xlate コマンドを参照してください。


図 28-1 に、実際のアドレスへの接続を試みているリモート ホストを示します。適応型セキュリティ アプライアンスはマッピング アドレスへのリターン接続だけを許可するため、この接続は拒否されています。

図 28-1 実際のアドレスへの接続を試みているリモート ホスト

 

図 28-2 に、マッピング アドレスへの接続開始を試みているリモート ホストを示します。このアドレスは、現時点では変換テーブルにないため、適応型セキュリティ アプライアンスはパケットをドロップしています。

図 28-2 マッピング アドレスへの接続開始を試みているリモート ホスト

 


) 変換が継続している間、アクセスリストで許可されていれば、リモートホストは変換済みホストへの接続を開始できます。アドレスは予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセスリストのセキュリティに依存できます。


ダイナミック NAT には、次の欠点があります。

マッピングされたプールにあるアドレスが実際のグループより少ない場合、予想以上にトラフィックが多いと、アドレスが不足する可能性があります。

これが頻繁に起こる場合は、PAT を使用します。PAT では、1 つのアドレスの複数のポートを使用して 64,000 件を超える変換が提供されます。

マッピングされたプール内のルーティング可能なアドレスを多数使用する必要があります。インターネットなど、宛先ネットワークが登録アドレスを要求する場合は、使用可能なアドレスが不足する可能性があります。

ダイナミック NAT の利点は、一部のプロトコルが PAT を使用できないということです。たとえば、PAT は次の場合は機能しません。

GRE バージョン 0 などのように、オーバーロードするためのポートがない IP プロトコルでは機能しません。

一部のマルチメディア アプリケーションなどのように、1 つのポート上にデータ ストリームを持ち、別のポート上に制御パスを持ち、公開規格ではないアプリケーションでも機能しません。

NAT および PAT のサポートの詳細については、「アプリケーション プロトコル検査を使用するタイミング」を参照してください。

PAT に関する情報

PAT では、複数の実際のアドレスが 1 つのマッピング IP アドレスに変換されます。具体的には、セキュリティ アプライアンスが複数の実際のアドレスおよび送信元ポート(実際のソケット)を 1 つのマッピング アドレスおよび 1024 より上の固有のポート(マッピング ソケット)に変換します。送信元ポートが接続ごとに異なるため、各接続には別の変換が必要です。たとえば、10.1.1.1:1025 には、10.1.1.1:1026 とは別の変換が必要です。

接続の有効期限が切れると、ポート変換も 30 秒間の非アクティブ状態の後に有効期限切れになります。このタイムアウトは変更できません。宛先ネットワークのユーザは、PAT を使用するホストへの接続を確実には開始できません(アクセスリストでその接続が許可されている場合も同じです)。ユーザがホストの実際のポート番号またはマッピング ポート番号を予測できないだけでなく、変換済みのホストが発信側ではない場合、適応型セキュリティ アプライアンスは変換をまったく作成しません。ホストへの確実なアクセスについては、「スタティック NAT の設定」または「スタティック PAT の設定」を参照してください。

PAT では、1 つのマッピング アドレスを使用できるため、ルーティング可能なアドレスが節約されます。さらに、適応型セキュリティ アプライアンス インターフェイスの IP アドレスを PAT アドレスとして使用できます。PAT は、制御パスとは異なるデータ ストリームを持つ一部のマルチメディア アプリケーションでは機能しません。NAT および PAT のサポートの詳細については、「アプリケーション プロトコル検査を使用するタイミング」を参照してください。


) 変換が継続している間、アクセスリストで許可されていれば、リモートホストは変換済みホストへの接続を開始できます。実際のポート アドレスおよびマッピング ポート アドレスはどちらも予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセスリストのセキュリティに依存できます。ただし、ポリシー PAT では時間ベースの ACL をサポートしていません。


ダイナミック NAT および PAT の実装に関する情報

ダイナミック NAT および PAT を実装するには、まず特定のインターフェイス上の変換対象の実際のアドレスを指定する nat コマンドを設定します。次に、別の global コマンドを設定して、別のインターフェイスを出るときのマッピング アドレスを指定します(PAT の場合、これは 1 つのアドレスです)。各 nat コマンドは、各コマンドに割り当てた番号である NAT ID を比較することにより、 global コマンドと照合されます (図 28-3 を参照)。

図 28-3 nat と global の ID 照合

 

この例について、次のコマンドを参照してください。

hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
 

1 つ以上のインターフェイスで同じ NAT ID を使用して、複数の nat コマンドを入力できます。これらのインターフェイスは、すべて特定のインターフェイスを出るときに同じ global コマンドを使用します。たとえば、どちらも NAT ID 1 である内部インターフェイスおよび DMZ インターフェイスに nat コマンドを設定できます。次に、同じく ID 1 の外部インターフェイスに global コマンドを設定します。内部インターフェイスおよび DMZ インターフェイスからのトラフィックは、外部インターフェイスを出るときに、マッピングされたプールまたは PAT アドレスを共有します (図 28-4 を参照)。

図 28-4 複数のインターフェイスに対する nat コマンド

 

この例について、次のコマンドを参照してください。

hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (inside) 1 192.168.1.0 255.255.255.0
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
 

また、同じ NAT ID を使用する各インターフェイスに対して global コマンドを入力することもできます。ID 1 の外部インターフェイスおよび DMZ インターフェイスに対して global コマンドを入力すると、内部 nat コマンドは、トラフィックが外部インターフェイスに向かうときも DMZ インターフェイスに向かうときも、変換済みのトラフィックを指定します。同様に、ID 1 の DMZ インターフェイスに対して nat コマンドも入力すると、外部インターフェイスに対する global コマンドが DMZ トラフィックにも使用されます (図 28-5 を参照)。

図 28-5 複数のインターフェイスに対する global コマンドと nat コマンド

 

この例について、次のコマンドを参照してください。

hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
hostname(config)# global (dmz) 1 10.1.1.23
 

異なる NAT ID を使用すると、実際のアドレスの集合を指定して、それぞれが異なるマッピング アドレスを持つようにできます。たとえば、内部インターフェイス上で、異なる 2 つの NAT ID に対して 2 つの nat コマンドを設定できます。外部インターフェイス上で、これら 2 つの ID に対して 2 つの global コマンドを設定できます。その場合、内部ネットワーク A からのトラフィックが外部インターフェイスを出ると、IP アドレスはプール A のアドレスに変換されます。内部ネットワーク B からのトラフィックは、プール B のアドレスに変換されます (図 28-6 を参照)。ポリシー NAT を使用した場合は、宛先のアドレスとポートが各アクセスリスト内で固有であれば、複数の nat コマンドに対して同じ実際のアドレスを指定できます。

図 28-6 異なる NAT ID

 

この例について、次のコマンドを参照してください。

hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (inside) 2 192.168.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
hostname(config)# global (outside) 2 209.165.201.11
 

同じ NAT ID を使用して、1 つのインターフェイスに対して複数の global コマンドを入力できます。適応型セキュリティ アプライアンスは最初にダイナミック NAT global コマンドをコンフィギュレーション内の順序で使用し、次に PAT global コマンドを順序どおりに使用します。特定のアプリケーションに対してダイナミック NAT を使用する必要があると同時に、ダイナミック NAT アドレスが不足したときに備えてバックアップ PAT 文を用意しておく必要がある場合、ダイナミック NAT global コマンドと PAT global コマンドの両方を入力できます。同様に、1 つの PAT がマッピングされた文がサポートする約 64,000 回の PAT セッションより多くのセッションが必要な場合、2 つの PAT 文を入力できます (図 28-7 を参照)。

図 28-7 NAT と PAT の併用

 

この例について、次のコマンドを参照してください。

hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (outside) 1 209.165.201.5
 

外部 NATについては(外部から内部)、 nat コマンドで outside キーワードを使用する必要があります。外部インターフェイスにアクセスするときにも同じトラフィックを変換する場合(たとえば、DMZ 上のトラフィックを、内部インターフェイスと外部インターフェイスにアクセスするときに変換する場合)は、 outside オプションなしで別の nat コマンドを設定する必要があります。この場合、両方の文で同じアドレスを指定し、同じ NAT ID を使用できます (図 28-8 を参照)。外部 NAT(DMZ インターフェイスから内部インターフェイスへ)では、内部ホストは static コマンドを使用して外部アクセスを許可します。したがって、送信元アドレスと宛先アドレスの両方が変換されます。

図 28-8 外部 NAT と内部 NAT の併用

 

この例について、次のコマンドを参照してください。

hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 outside
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (inside) 1 10.1.2.30-1-10.1.2.40
 

nat コマンドで IP アドレスのグループを指定した場合は、そのアドレス グループがセキュリティ レベルの低いまたは同じインターフェイスにアクセスするときに、NAT を実行する必要があります。各インターフェイスに対して同じ NAT ID を使用して global コマンドを適用するか、 static コマンドを使用する必要があります。このグループがセキュリティ レベルの高いインターフェイスにアクセスするときは、NAT は必要とされません。外部から内部への NAT を実行するには、 outside キーワードを使用する別の nat コマンドを作成する必要があるためです。外部 NAT を適用しない場合、このアドレス グループがセキュリティ レベルの高いインターフェイスにアクセスするときは、上記の NAT 要件がそのアドレス グループに対して有効になります。 static コマンドで指定されているトラフィックは影響を受けません。

ダイナミック NAT および PAT のライセンス要件

次の表に、これらの機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでだけサポートされています。

その他のガイドラインと制限事項

ダイナミック NAT および PAT では、次の機能はサポートされていません。

NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに新しい NAT 情報を使用する必要がある場合は、 clear xlate コマンドを使用して変換テーブルを消去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。

他の nat コマンドで重複アドレスを指定できます。たとえば、1 つのコマンドで 10.1.1.0 を指定しても、別のコマンドで 10.1.1.1 を指定できます。トラフィックは、最初の一致が見つかるまで順序どおりにポリシー NAT コマンドと照合されます。または、標準 NAT の場合は、最も適合するものが使用されます。

NAT 免除を除くすべてのタイプの NAT は、ポリシー NAT をサポートします。NAT 免除では、アクセスリストを使用して実際のアドレスを指定しますが、ポートが考慮されない点でポリシー NAT とは異なります。ポリシー NAT をサポートするスタティック アイデンティティ NAT を使用することでも、NAT 免除と同じ結果が得られます。

ダイナミック PAT の使用時、アクセスリストで許可されていれば、リモートホストは変換が継続している間に変換済みホストへの接続を開始できます。実際のアドレスおよびマッピング アドレスはどちらも予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセスリストのセキュリティに依存できます。

マッピングされたプールにあるアドレスが実際のグループより少ない場合、予想以上にトラフィックが多いと、アドレスが不足する可能性があります。これが頻繁に起こる場合は、PAT を使用します。PAT では、1 つのアドレスの複数のポートを使用して 64,000 件を超える変換が提供されます。

マッピングされたプール内のルーティング可能なアドレスを多数使用する必要があります。インターネットなど、宛先ネットワークが登録アドレスを要求する場合は、使用可能なアドレスが不足する可能性があります。

デフォルト設定

表 28-1 に、ポリシー NAT と標準 NAT のコマンド オプションとデフォルト設定を示します。 表 28-2 に、標準 NAT の追加コマンド オプションを示します。

コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』の nat コマンドを参照してください。

表 28-1 ポリシー NAT と標準 NAT のコマンド オプションとデフォルト設定

 

コマンド
目的

access-list acl_name

拡張アクセスリストを使用して、実際のアドレスと宛先アドレスを指定します。 access-list extended コマンドを使用して、拡張アクセスリストを作成します (「拡張アクセスリストの追加」を参照)。このアクセスリストには、 許可 ACE だけを含めます。 eq 演算子を使用して、アクセスリストに実際のポートおよび宛先ポートをオプションで指定できます。ポリシー NAT は、 inactive time-range の各キーワードを考慮しますが、すべての inactive ACE と time-range ACE が含まれた ACL はサポートしていません。

nat_id

1 ~ 65535 の整数。NAT ID は、 global コマンドの NAT ID と一致する必要があります。NAT ID の使用方法の詳細については、「ダイナミック NAT および PAT の実装に関する情報」を参照してください。 0 は、NAT 免除用に予約されています (NAT 免除の詳細については、「スタティック アイデンティティ NAT の設定」を参照してください)。

dns

nat コマンドに DNS サーバ内にエントリを持つホストのアドレスが含まれており、その DNS サーバがクライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバでホストのアドレスが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが必要です。このオプションにより、クライアントに対する DNS 応答内でアドレスが書き換えられます。変換済みのホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にある必要があります。一般に、他のインターフェイスからのアクセスを許可する必要のあるホストはスタティック変換を使用するため、このオプションは多くの場合、 static コマンドで使用されます (詳細については、「DNS および NAT」を参照してください)。

outside

このインターフェイスのセキュリティ レベルが、一致する global 文で指定したインターフェイスのセキュリティ レベルより低い場合、 outside を入力して NAT インスタンスを外部 NAT として指定する必要があります。

norandomseq , tcp tcp_max_conns , udp udp_max_conns , and emb_limit

これらのキーワードは、接続制限値を設定します。ただし、接続制限値の設定には、より汎用的な方法を使用することをお勧めします。詳細については、「接続の制限値とタイムアウトの設定」を参照してください。

tcp_max_conns emb_limit 、および udp_max_conns のデフォルト値は 0(無制限)で、使用可能な最大値となります。

表 28-2 標準 NAT のコマンド オプションとデフォルト設定

 

nat_id

1 ~ 2147483647 の整数。NAT ID は、 global コマンドの NAT ID と一致する必要があります。NAT ID の使用方法の詳細については、「ダイナミック NAT および PAT の実装に関する情報」を参照してください。 0 は、アイデンティティ NAT 用に予約されています。アイデンティティ NAT の詳細については、「アイデンティティ NAT の設定」を参照してください。

ダイナミック NAT または PAT の設定

この項では、ダイナミック NAT またはダイナミック PAT を設定する方法について説明します。次の項目を取り上げます。

「ダイナミック NAT および PAT の設定のタスク フロー」

「ポリシー ダイナミック NAT の設定」

「標準ダイナミック NAT の設定」

ダイナミック NAT および PAT の設定のタスク フロー

次のガイドラインを使用して、ダイナミック NAT または PAT のいずれかを設定します。

まず、指定されたインターフェイス上の変換対象の実際のアドレスを特定する nat コマンドを設定します。

次に、別の global コマンドを設定して、別のインターフェイスを出るときのマッピング アドレスを指定します (PAT の場合、これは 1 つのアドレスです)。各 nat コマンドは、各コマンドに割り当てた番号である NAT ID を比較することにより、global コマンドと照合されます。


) ダイナミック NAT とダイナミック PAT のコンフィギュレーションはほぼ同じです。NAT の場合はマッピング アドレスの範囲を指定し、PAT の場合は 1 つのアドレスを指定する点だけが異なります。


図 28-9 に、一般的なダイナミック NAT のシナリオを示します。変換済みのホストだけが NAT セッションを作成でき、応答トラフィックが許可されます。マッピング アドレスは、 global コマンドで定義されたプールからダイナミックに割り当てられます。

図 28-9 ダイナミック NAT

 

図 28-10 に、一般的なダイナミック PAT のシナリオを示します。変換済みのホストだけが NAT セッションを作成でき、応答トラフィックが許可されます。 global コマンドで定義されたマッピング アドレスはどの変換でも同じですが、ポートがダイナミックに割り当てられます。

図 28-10 ダイナミック PAT

 

ダイナミック NAT の詳細については、「ダイナミック NAT に関する情報」を参照してください。PAT の詳細については、「PAT に関する情報」を参照してください。

ポリシー ダイナミック NAT の設定

ダイナミック NAT および PAT を設定し、別のインターフェイス上のマッピング アドレスに変換される特定のインターフェイス上の実際のアドレスを指定するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

nat ( real_interface ) nat_id access-list acl_name [ dns ] [ outside ][[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ][ norandomseq ]
 
例例 :
hostname(config)# nat (inside) 1 access-list NET1 tcp 0 2000 udp 10000
 

ダイナミック ポリシー NAT または PAT を設定し、マッピング アドレスのプールの 1 つに変換する指定されたインターフェイス上の実際のアドレスを特定します。

real_interface には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

nat_id nat コマンドの NAT ID と一致する必要があります。一致した nat コマンドにより、このインターフェイスを出るときに変換するアドレスが指定されます。1 つのアドレス(PAT の場合)またはアドレスの範囲(NAT の場合)を指定できます。必要であれば、サブネットの境界を横断する範囲を指定できます。たとえば、 192.168.1.1-192.168.2.254 という「スーパーネット」を指定できます。

ポリシー NAT では、 nat_id 引数は、1 ~ 65535 の整数になります。

access-list キーワードは、拡張アクセスリストを使用して、ローカル アドレスと宛先/送信元アドレスを特定します。

acl_name 引数には、アクセスリストの名前を指定します。

dns オプションは、このスタティックに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。

このインターフェイスのセキュリティ レベルが、一致する global 文で指定したインターフェイスのセキュリティ レベルより低い場合、オプションの outside キーワードを入力します。この機能は、NAT または双方向 NAT の外側で呼び出されます。

tcp オプションは、プロトコルを TCP で指定します。

tcp_max_cons 引数には、ローカル ホストで許可された同時 TCP 接続の最大数を指定します(local-host コマンドを参照)。デフォルト値は 0 です。これは、接続が無制限であることを示します (timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

emb_limit オプションには、ホストごとの初期接続の最大数を指定します。デフォルト値は 0 です。これは、初期接続が無制限であることを示します。

udp udp_max_conns オプションには、ローカル ホストで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0 です。これは、接続が無制限であることを示します。

norandomseq オプションは、TCP ISN ランダム化の保護をディセーブルにします。

ステップ 2

global ( mapped_interface ) nat_id { mapped_ip [ - mapped_ip ] | interface }
 
:
hostname(config)# global (outside) 1 209.165.202.129

特定のインターフェイスを出るときに実際のアドレスから変換するマッピング アドレスを指定します (PAT の場合、これは 1 つのアドレスです)。

real_interface オプションには、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

nat_id 引数は、 global コマンドの NAT ID と一致する必要があります。NAT ID の使用については、「ダイナミック NAT および PAT の実装に関する情報」を参照してください。

mapped_ip mapped_ip には、マッピング インターフェイスを出るときに実際のアドレスから変換するマッピング アドレスを指定します。1 つのアドレスを指定する場合は、PAT を設定します。アドレスの範囲を指定する場合は、ダイナミック NAT を設定します。外部ネットワークがインターネットに接続している場合、各グローバル IP アドレスを Network Information Center(NIC)に登録する必要があります。

interface キーワードは、インターフェイスの IP アドレスをマッピング アドレスとして使用します。このキーワードは、インターフェイスのアドレスを使用するときに、そのアドレスが DHCP を使用してダイナミックに割り当てられている場合に使用します。

その他のコマンド オプションの詳細については、 表 28-1 の「ポリシー NAT と標準 NAT のコマンド オプションとデフォルト設定」を参照してください。

標準ダイナミック NAT の設定

標準 NAT を設定し、別のインターフェイス上のマッピング アドレスに変換される特定のインターフェイス上の実際のアドレスを指定するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

nat ( real_interface ) nat_id real_ip [ mask [ dns ] [ outside ]] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]] [ norandomseq ]
 
:
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0

ダイナミック NAT または PAT を設定し、マッピング アドレスのプールの 1 つに変換する指定されたインターフェイス上の実際のアドレスを特定します。

nat_id nat コマンドの NAT ID と一致する必要があります。一致した nat コマンドにより、このインターフェイスを出るときに変換するアドレスが指定されます。1 つのアドレス(PAT の場合)またはアドレスの範囲(NAT の場合)を指定できます。必要であれば、サブネットの境界を横断する範囲を指定できます。たとえば、 192.168.1.1-192.168.2.254 という「スーパーネット」を指定できます。標準 NAT では、 nat_id 引数は、1 ~ 2147483647 の整数になります。

real_ip 引数には、変換する実際のアドレスを指定します。すべてのアドレスの指定に 0.0.0.0(または省略形の 0)を使用できます。

mask 引数には、実際のアドレスのサブネット マスクを指定します。マスクを入力しない場合、IP アドレス クラスのデフォルトのマスクが使用されます。

dns キーワードは、このコマンドに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。

このインターフェイスのセキュリティ レベルが、一致する global 文で指定したインターフェイスのセキュリティ レベルより低い場合、 outside オプションを入力します。この機能は、NAT または双方向 NAT の外側で呼び出されます。

tcp tcp_max_cons 引数には、ローカル ホストで許可された同時 TCP 接続の最大数を指定します ( local-host コマンドを参照してください)。デフォルト値は 0 です。これは、接続が無制限であることを示します ( timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

udp udp_max_conns には、ローカル ホストで許可された同時 UDP 接続の最大数を指定します。( local-host コマンドを参照してください)。デフォルト値は 0 です。これは、接続が無制限であることを示します ( timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

norandomseq キーワードは、TCP ISN ランダム化の保護をディセーブルにします。NAT 免除(nat 0 access-list)ではサポートされていません。この引数は CLI で入力できますが、コンフィギュレーションには保存されません。

(コマンド オプションの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。)

ステップ 2

global ( mapped_interface ) nat_id { mapped_ip [ - mapped_ip ] | interface }
 
:
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10

特定のインターフェイスを出るときに実際のアドレスから変換するマッピング アドレスを指定します。

real_interface オプションには、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

nat_id は、 global コマンドの NAT ID と一致する必要があります。NAT ID の使用方法の詳細については、「ダイナミック NAT および PAT の実装に関する情報」を参照してください。

mapped_ip mapped_ip には、マッピング インターフェイスを出るときに実際のアドレスから変換するマッピング アドレスを指定します。1 つのアドレスを指定する場合は、PAT を設定します。アドレスの範囲を指定する場合は、ダイナミック NAT を設定します。外部ネットワークがインターネットに接続している場合、各グローバル IP アドレスを Network Information Center(NIC)に登録する必要があります。

interface キーワードは、インターフェイスの IP アドレスをマッピング アドレスとして使用します。このキーワードは、インターフェイスのアドレスを使用するときに、そのアドレスが DHCP を使用してダイナミックに割り当てられている場合に使用します。

その他のコマンド オプションの詳細については、 表 28-1 の「ポリシー NAT と標準 NAT のコマンド オプションとデフォルト設定」を、標準 NAT に固有の情報については、 表 28-2 をそれぞれ参照してください。

ダイナミック NAT および PAT の監視

ダイナミック NAT および PAT を監視するには、次のタスクを実行します。

 

コマンド
目的
show running-config nat

ネットワークに関連付けられているグローバル IP アドレスのプールを表示します。

ダイナミック NAT および PAT の設定例

たとえば、内部インターフェイス上の 10.1.1.0/24 ネットワークを変換するには、次のコマンドを入力します。

hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.30
 

ダイナミック NAT 用のアドレス プールを、NAT プールを使い果たしたときのための PAT アドレスとともに指定するには、次のコマンドを入力します。

hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.5
hostname(config)# global (outside) 1 209.165.201.10-209.165.201.20
 

ルーティングの簡略化などのために、セキュリティの低い DMZ(非武装地帯)のネットワーク アドレスを変換して内部ネットワーク(10.1.1.0)と同じネットワーク上に表示するには、次のコマンドを入力します。

hostname(config)# nat (dmz) 1 10.1.2.0 255.255.255.0 outside dns
hostname(config)# global (inside) 1 10.1.1.45
 

ポリシー NAT を使用して、1 つの実際のアドレスに 2 つの異なる宛先アドレスを指定するには、次のコマンドを入力します(これに関する図については、図 26-3 を参照してください)。

hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 255.255.255.224
hostname(config)# nat (inside) 1 access-list NET1 tcp 0 2000 udp 10000
hostname(config)# global (outside) 1 209.165.202.129
hostname(config)# nat (inside) 2 access-list NET2 tcp 1000 500 udp 2000
hostname(config)# global (outside) 2 209.165.202.130
 

ポリシー NAT を使用して、それぞれが異なるポートを使用する、1 つの実際のアドレスと宛先アドレスのペアを指定するには、次のコマンドを入力します(これに関する図については、図 26-4 を参照してください)。

hostname(config)# access-list WEB permit tcp 10.1.2.0 255.255.255.0 209.165.201.11 255.255.255.255 eq 80
hostname(config)# access-list TELNET permit tcp 10.1.2.0 255.255.255.0 209.165.201.11 255.255.255.255 eq 23
hostname(config)# nat (inside) 1 access-list WEB
hostname(config)# global (outside) 1 209.165.202.129
hostname(config)# nat (inside) 2 access-list TELNET
hostname(config)# global (outside) 2 209.165.202.130

ダイナミック NAT および PAT の機能履歴

表 28-3 に、この機能のリリース履歴の一覧を示します。

 

表 28-3 ダイナミック NAT および PAT の機能履歴

機能名
リリース
機能情報

透過ファイアウォール モードでの NAT

8.0(2)

NAT は現在、透過ファイアウォール モードでサポートされています。