Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
スタティック NAT の設定
スタティック NAT の設定
発行日;2012/02/05 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

スタティック NAT の設定

スタティック NAT に関する情報

スタティック NAT のライセンス要件

ガイドラインと制限事項

デフォルト設定

スタティック NAT の設定

ポリシー スタティック NAT の設定

標準スタティック NAT の設定

スタティック NAT の監視

スタティック NAT の設定例

一般的なスタティック NAT の例

アドレスが重複するネットワークの例

その他の参考資料

関連資料

スタティック NAT の機能履歴

スタティック NAT に関する情報

スタティック NAT では、実際のアドレスからマッピング アドレスへの固定変換が作成されます。ダイナミック NAT および PAT では、各ホストは後続する変換ごとに異なるアドレスまたはポートを使用します。スタティック NAT では、マッピング アドレスは連続する各接続で同じであり、永続的な変換規則が存在するため、宛先ネットワークのホストは変換済みのホストへのトラフィックを開始できます(そのトラフィックを許可するアクセスリストがある場合)。

ダイナミック NAT とスタティック NAT のアドレス範囲との主な違いは、スタティック NAT ではリモート ホストが変換済みのホストへの接続を開始でき(それを許可するアクセスリストがある場合)、ダイナミック NAT では開始できないという点です。スタティック NAT では、実際のアドレスと同数のマッピング アドレスも必要です。

図 29-1 に、一般的なスタティック NAT のシナリオを示します。この変換は常にアクティブであるので、変換済みのホストとリモート ホストの両方が接続を開始でき、マッピング アドレスは static コマンドによってスタティックに割り当てられます。

図 29-1 スタティック NAT

 

スタティック NAT のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

その他のガイドラインと制限事項

次の機能はスタティック NAT でサポートされていません。

スタティック PAT を使用しないと、同一の実際のアドレスまたはマッピング アドレスを、同一の 2 つのインターフェイス間の複数の static コマンドで使用することはできません (詳細については、「スタティック PAT の設定」を参照してください)。

static コマンドで、同じマッピング インターフェイスの global コマンドでも定義されているマッピング アドレスを使用しないでください。

nat コマンドに DNS サーバ内にエントリを持つホストのアドレスが含まれており、その DNS サーバがクライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバでホストのアドレスが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが必要です。このオプションにより、クライアントに対する DNS 応答内でアドレスが書き換えられます。変換済みのホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にある必要があります。一般に、他のインターフェイスからのアクセスを許可する必要のあるホストはスタティック変換を使用するため、このオプションは多くの場合、 static コマンドで使用されます (詳細については、「DNS および NAT」を参照してください)。

static コマンドを削除した場合、変換を使用している既存の接続は影響を受けません。これらの接続を削除するには、 clear local-host コマンドを入力します。

clear xlate コマンドで変換テーブルからスタティック変換を消去することはできません。 static コマンドを削除する必要があります。 clear xlate コマンドでは、 nat コマンドおよび global コマンドで作成したダイナミック変換だけを削除できます。

デフォルト設定

表 29-1 に、スタティック NAT のコマンド オプションとデフォルト設定を示します。

表 29-1 ポリシー NAT のコマンド オプションとデフォルト設定

 

コマンド
目的

norandomseq , tcp tcp_max_conns , udp udp_max_conns , and emb_limit

これらのキーワードは、接続制限値を設定します。ただし、接続制限値の設定には、より汎用的な方法を使用することをお勧めします。詳細については、「接続の制限値とタイムアウトの設定」を参照してください。

tcp_max_conns emb_limit 、および udp_max_conns の デフォルト値は 0(無制限)で、使用可能な最大値となります。

表 29-2 標準 NAT のコマンド オプションとデフォルト設定

 

nat_id

1 ~ 2147483647 の整数。NAT ID は、 global コマンドの NAT ID と一致する必要があります。NAT ID の使用方法の詳細については、「ダイナミック NAT および PAT の実装に関する情報」を参照してください。 0 は、アイデンティティ NAT 用に予約されています。アイデンティティ NAT の詳細については、「アイデンティティ NAT の設定」を参照してください。

その他のコマンド オプションの詳細については、 表 29-1 の「ポリシー NAT のコマンド オプションとデフォルト設定」を参照してください。

スタティック NAT の設定

この項では、スタティック変換を設定する方法について説明します。次の項目を取り上げます。

「ポリシー スタティック NAT の設定」

「標準スタティック NAT の設定」

ポリシー スタティック NAT の設定

「ポリシー NAT」を設定するときは、拡張アクセスリストを使用して、実際のアドレスと宛先/送信元アドレスを指定します。ポリシー スタティック NAT を設定するには、次のコマンドを入力します。

 

コマンド
目的

static ( real_interface,mapped_interface ) { mapped_ip | interface } access-list acl_name [ dns ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]

 

例:

hostname(config)# static (inside,outside) 209.165.202.129 access-list NET1

 

実際の IP アドレスをマッピング IP アドレスにマッピングすることで、永続的な 1 対 1 のアドレス変換規則を設定します。

拡張アクセスリストを使用して、実際のアドレスと宛先/送信元アドレスを指定します。 access-list extended コマンドを使用して、拡張アクセスリストを作成します。アクセスリストの最初のアドレスは実際のアドレスです。2 番目のアドレスは、送信元アドレスまたは宛先アドレスで、トラフィックの発信源によって異なります (詳細については、「拡張アクセスリストの追加」を参照してください)。このアクセスリストには、 許可 ACE だけを含めます。 eq 演算子を使用して、アクセスリストに実際のポートおよび宛先ポートをオプションで指定できます。ポリシー NAT は、 inactive time-range の各キーワードを考慮しますが、すべての inactive ACE と time-range ACE が含まれた ACL はサポートしていません。

real_ifc 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

mapped_ifc 引数には、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

mapped_ip 引数には、実際のアドレスから変換するアドレスを指定します。

interface キーワードは、インターフェイスの IP アドレスをマッピング アドレスとして使用します。このキーワードは、インターフェイスのアドレスを使用するときに、そのアドレスが DHCP を使用してダイナミックに割り当てられている場合に使用します。

dns オプションは、このスタティックに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。

norandomseq は、TCP ISN ランダム化の保護をディセーブルにします。

tcp tcp_max_cons オプションには、ローカル ホストで許可された同時 TCP 接続の最大数を指定します ( local-host コマンドを参照)。デフォルトは 0(無制限)です ( timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

emb_limit は、ホストごとの初期接続の最大数です。

udp tcp_max_conns オプションには、ローカル ホストで許可された同時 UDP 接続の最大数を指定します ( local-host コマンドを参照してください)。デフォルト値は 0 です。これは、接続が無制限であることを示します ( timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

このインターフェイスのセキュリティ レベルが、一致する global 文で指定したインターフェイスのセキュリティ レベルより低い場合、 outside を入力して NAT インスタンスを外部 NAT として指定する必要があります。

実際のアドレス 10.1.1.1 が 209.165.200.224 ネットワークにトラフィックを送信するときに、10.1.1.1 をマッピング アドレス 192.168.1.1 に変換する場合、 access-list コマンドと static コマンドは次のようになります。

hostname(config)# access-list TEST extended ip host 10.1.1.1 209.165.200.224 255.255.255.224
hostname(config)# static (inside,outside) 192.168.1.1 access-list TEST
 

この場合、2 番目のアドレスは宛先アドレスです。ただし、マッピング アドレスに接続を開始するために、ホストで同じコンフィギュレーションが使用されます。たとえば、209.165.200.224/27 ネットワークのホストが 192.168.1.1 に接続を開始するときは、アクセスリストの 2 番目のアドレスが送信元アドレスになります。

このアクセスリストには、 許可 ACE だけを含めます。 eq 演算子を使用して、アクセスリストに実際のポートおよび宛先ポートをオプションで指定できます。ポリシー NAT は、 inactive および time-range キーワードを考慮しません。すべての ACE が、ポリシー NAT コンフィギュレーションに対してアクティブであると見なされます。詳細については、「ポリシー NAT」を参照してください。

変換にネットワークを指定すると(10.1.1.0 255.255.255.0 など)、適応型セキュリティ アプライアンスは、.0 および .255 のアドレスを変換します。これらのアドレスへのアクセスを禁止するには、アクセスを拒否するようにアクセスリストを設定します。

その他のオプションについては、「ダイナミック NAT および PAT の設定」を参照してください。

標準スタティック NAT の設定

標準スタティック NAT を設定するには、次のコマンドを入力します。

 

コマンド
目的

static ( real_interface,mapped_interface ) { mapped_ip | interface } real_ip [ netmask mask ][ dns ] [ norandomseq ] [[ tcp ] tcp_max_conns [ emb_limit ]] [ udp udp_max_conns ]

 

:

hostname(config)# static (inside,outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.255

 

実際の IP アドレスをマッピング IP アドレスにマッピングすることで、永続的な 1 対 1 のアドレス変換規則を設定します。

real_ifc 引数には、実際の IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

mapped_ifc 引数には、マッピング IP アドレス ネットワークに接続するインターフェイスの名前を指定します。

mapped_ip 引数には、実際のアドレスから変換するアドレスを指定します。

interface キーワードは、インターフェイスの IP アドレスをマッピング アドレスとして使用します。このキーワードは、インターフェイスのアドレスを使用するときに、そのアドレスが DHCP を使用してダイナミックに割り当てられている場合に使用します。

real_ip には、変換する実際のアドレスを指定します。

netmask mask には、実際のアドレスとマッピング アドレスのサブネット マスクを指定します。単一ホストでは、255.255.255.255 を使用します。マスクを入力しない場合、1 つの例外を除き、IP アドレス クラスのデフォルトのマスクが使用されます。マスキング後のホストビットがゼロ以外の場合、255.255.255.255 のホスト マスクが使用されます。real_ip の代わりに access-list キーワードを使用すると、アクセスリストで使用されるサブネット マスクも mapped_ip で使用されます。

dns オプションは、このスタティックに一致する DNS 応答の A レコードまたはアドレス レコードをリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。

norandomseq は、TCP ISN ランダム化の保護をディセーブルにします。

tcp tcp_max_cons オプションには、ローカル ホストで許可された同時 TCP 接続の最大数を指定します ( local-host コマンドを参照)。デフォルトは 0(無制限)です ( timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

emb_limit は、ホストごとの初期接続の最大数です。

udp tcp_max_conns オプションには、ローカル ホストで許可された同時 UDP 接続の最大数を指定します ( local-host コマンドを参照してください)。デフォルト値は 0 です。これは、接続が無制限であることを示します ( timeout conn コマンドで指定されたアイドル タイムアウトのあと、アイドル接続が閉じます)。

スタティック NAT の監視

スタティック NAT を監視するには、次のいずれかのタスクを実行します。

 

コマンド
目的
show running-config static

コンフィギュレーションですべての static コマンドを表示します。

スタティック NAT の設定例

この項では、スタティック NAT の設定例を示します。次の項目を取り上げます。

「一般的なスタティック NAT の例」

「アドレスが重複するネットワークの例」

一般的なスタティック NAT の例

たとえば、次のポリシー スタティック NAT の例では、宛先アドレスに応じて 2 つのマッピング アドレスに変換される 1 つの実際のアドレスを示しています(これに関する図については、図 26-3 の「異なる宛先アドレスを使用するポリシー NAT」 を参照してください)。

hostname(config)# access-list NET1 permit ip host 10.1.2.27 209.165.201.0 255.255.255.224
hostname(config)# access-list NET2 permit ip host 10.1.2.27 209.165.200.224 255.255.255.224
hostname(config)# static (inside,outside) 209.165.202.129 access-list NET1
hostname(config)# static (inside,outside) 209.165.202.130 access-list NET2
 

次のコマンドは、内部 IP アドレス(10.1.1.3)を外部 IP アドレス(209.165.201.12)にマッピングします。

hostname(config)# static (inside,outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.255
 

次のコマンドは、外部アドレス(209.165.201.15)を内部アドレス(10.1.1.6)にマッピングします。

hostname(config)# static (outside,inside) 10.1.1.6 209.165.201.15 netmask 255.255.255.255
 

次のコマンドは、サブネット全体をスタティックにマッピングします。

hostname(config)# static (inside,dmz) 10.1.1.0 10.1.2.0 netmask 255.255.255.0
 

アドレスが重複するネットワークの

図 29-2 の適応型セキュリティ アプライアンスには、アドレス範囲が重複する 2 つのプライベート ネットワークが接続されています。

図 29-2 アドレスが重複するネットワークでの外部 NAT の使用

 

2 つのネットワークで、重複するアドレス空間(192.168.100.0/24)が使用されていますが、各ネットワークのホストは(アクセスリストの許可に従って)通信する必要があります。NAT がない場合、アドレスが重複する DMZ ネットワークのホストに内部ネットワークのホストがアクセスしようとしても、パケットは適応型セキュリティ アプライアンスを通過できません。セキュリティ アプライアンスはこのパケットを、内部ネットワークの宛先アドレスが含まれているものと見なします。さらに、内部ネットワークの別のホストでこの宛先アドレスが使用されている場合、そのホストがパケットを受信します。

この問題を解決するには、NAT を使用して、重複しないアドレスを指定します。両方の方向でアクセスを許可する場合は、両方のネットワークに対してスタティック NAT を使用します。内部インターフェイスだけに DMZ のホストへのアクセスを許可する場合は、内部アドレスに対してダイナミック NAT を使用し、アクセス先の DMZ アドレスに対してスタティック NAT を使用します。次の例は、スタティック NAT の場合を示しています。

これら 2 つのインターフェイスに対してスタティック NAT を設定するには、次の手順を実行します。DMZ の 10.1.1.0/24 ネットワークは変換されません。


ステップ 1 次のコマンドを入力して、DMZ にアクセスする内部の 192.168.100.0/24 を 10.1.2.0 /24 に変換します。

hostname(config)# static (inside,dmz) 10.1.2.0 192.168.100.0 netmask 255.255.255.0
 

ステップ 2 次のコマンドを入力して、内部にアクセスする DMZ の 192.168.100.0/24 ネットワークを 10.1.3.0/24 に変換します。

hostname(config)# static (dmz,inside) 10.1.3.0 192.168.100.0 netmask 255.255.255.0
 

ステップ 3 DMZ ネットワークへのトラフィックが適応型セキュリティ アプライアンスによって正しくルーティングされるように、次のスタティック ルートを設定します。

hostname(config)# route dmz 192.168.100.128 255.255.255.128 10.1.1.2 1
hostname(config)# route dmz 192.168.100.0 255.255.255.128 10.1.1.2 1
 

適応型セキュリティ アプライアンスには、内部ネットワーク用に接続されたルートがすでに存在します。これらのスタティック ルートを使用することで、適応型セキュリティ アプライアンスは 192.168.100.0/24 ネットワークへのトラフィックを DMZ インターフェイスからゲートウェイ ルータ 10.1.1.2 に発信できます (接続されたルートとまったく同じネットワークを持つスタティック ルートを作成することはできないため、ネットワークを 2 つに分割する必要があります)。または、デフォルト ルートなど、より広範囲のルートを DMZ トラフィック用に使用することもできます。


 

DMZ ネットワークのホスト 192.168.100.2 が内部ネットワークのホスト 192.168.100.2 への接続を開始しようとすると、次のイベントが発生します。

1. DMZ ホスト 192.168.100.2 が IP アドレス 10.1.2.2 にパケットを送信します。

2. 適応型セキュリティ アプライアンスがこのパケットを受信すると、適応型セキュリティ アプライアンスは送信元アドレスを 192.168.100.2 から 10.1.3.2 に変換します。

3. 次に、適応型セキュリティ アプライアンスは宛先アドレスを 10.1.2.2 から 192.168.100.2 に変換し、パケットを転送します。

その他の参考資料

スタティック NAT の実装に関するその他の情報については、次の項を参照してください。

「関連資料」

関連資料

 

関連項目
参照先

static コマンド

Cisco Security Appliance Command Reference

スタティック NAT の機能履歴

表 29-3 に、この機能のリリース履歴の一覧を示します。

 

表 29-3 スタティック NAT の機能履歴

機能名
リリース
機能情報

標準スタティック NAT とポリシー スタティック NAT

 

7.0

スタティック NAT では、実際のアドレスからマッピング アドレスへの固定変換が作成されます。

static コマンドが導入されました。

標準スタティック NAT とポリシー スタティック NAT

7.3.1

NAT が透過ファイアウォール モードでサポートを開始しました。