Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
NAT に関する情報
NAT に関する情報
発行日;2012/02/04 | 英語版ドキュメント(2012/01/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

NAT に関する情報

NAT を使用する理由

NAT の用語

NAT のタイプ

スタティック NAT

スタティック NAT に関する情報

ポート変換を設定したスタティック NAT に関する情報

1 対多のスタティック NAT に関する情報

他のマッピング シナリオ(非推奨)に関する情報

ダイナミック NAT

ダイナミック NAT に関する情報

ダイナミック NAT の欠点と利点

ダイナミック PAT

ダイナミック PAT に関する情報

ダイナミック PAT の欠点と利点

アイデンティティ NAT

ルーテッド モードとトランスペアレント モードの NAT

ルーテッド モードの NAT

トランスペアレント モードの NAT

NAT の実装方法

ネットワーク オブジェクトと Twice NAT の主な違い

ネットワーク オブジェクト NAT に関する情報

Twice NAT に関する情報

NAT 規則の順序

NAT インターフェイス

マッピング アドレスのガイドライン

DNS および NAT

関連情報

NAT に関する情報

この章では、Network Address Translation(NAT; ネットワーク アドレス変換)が適応型セキュリティ アプライアンスでどのように機能するかについて説明します。この章は、次の項で構成されています

「NAT を使用する理由」

「NAT の用語」

「NAT のタイプ」

「ルーテッド モードとトランスペアレント モードの NAT」

「NAT の実装方法」

「NAT 規則の順序」

「マッピング アドレスのガイドライン」

「DNS および NAT」

「関連情報」


) NAT の設定を開始するには、「ネットワーク オブジェクト NAT の設定」または「Twice NAT の設定」を参照してください。


NAT を使用する理由

IP ネットワーク内の各コンピュータおよびデバイスには、ホストを識別する固有の IP アドレスが割り当てられています。パブリック IPv4 アドレスが不足しているため、これらの IP アドレスの大部分はプライベートであり、プライベートの企業ネットワークの外部にルーティングできません。RFC 1918 では、内部で使用できるプライベート IP アドレスが次のように定義されています( 表 25-1 )。

 

表 25-1 プライベート IP アドレス

ネットワーク クラス
アドレス ブロック
開始アドレス
終了アドレス
隣接ホスト

クラス A アドレス

10.0.0.0/8

10.0.0.0

10.255.255.255

16,000,000

クラス B アドレス

172.16.0.0/12

172.16.0.0

172.31.255.255

1,000,000

クラス C アドレス

192.168.0.0/16

192.168.0.0

192.168.255.255

65,000

NAT の主な機能の 1 つは、プライベート IP ネットワークがインターネットに接続できるようにすることです。NAT は、プライベート IP アドレスをパブリック IP に置き換え、内部プライベート ネットワーク内のプライベート アドレスをパブリック インターネットで使用可能な正式の、ルーティング可能なアドレスに変換します。このようにして、NAT はパブリック アドレスを節約します。これは、ネットワーク全体に対して 1 つのパブリック アドレスだけを外部にアドバタイズするように NAT を設定できるからです。

NAT の他の機能には、次のおりです。

セキュリティ:内部アドレスを隠蔽し、直接攻撃を防止します。

IP ルーティング ソリューション:NAT を使用する際は、重複 IP アドレスが問題になりません。

柔軟性:外部で使用可能なパブリック アドレスに影響を与えずに、内部 IP アドレッシング スキームを変更できます。たとえば、インターネットにアクセス可能なサーバの場合、インターネット用に固定 IP アドレスを維持できますが、内部的にはサーバのアドレスを変更できます。

NAT の用語

このマニュアルでは、次の用語を使用しています。

実際のアドレス/ホスト/ネットワーク/インターフェイス:実際のアドレスとは、ホストで定義されている、変換前のアドレスです。内部ネットワークが外部にアクセスするときに内部ネットワークを変換するという典型的な NAT のシナリオでは、内部ネットワークが「実際の」ネットワークになります。内部ネットワークだけではなく、適応型セキュリティ アプライアンスに接続されている任意のネットワークを変換できます。したがって、外部アドレスを変換するように NAT を設定した場合、「実際の」は、外部ネットワークが内部ネットワークにアクセスしたときの外部ネットワークを指します。

マッピング アドレス/ホスト/ネットワーク/インターフェイス:マッピング アドレスとは、実際のアドレスが変換されるアドレスです。内部ネットワークが外部にアクセスするときに内部ネットワークを変換するという典型的な NAT のシナリオでは、外部ネットワークが「マッピング」ネットワークになります。

双方向の開始:スタティック NAT では、 双方向に 開始できます。つまり、ホストへの接続とホストからの接続の両方を開始できます。

送信元および宛先の NAT:任意のパケットについて、送信元 IP アドレスと宛先 IP アドレスの両方を NAT 規則と比較し、1 つまたは両方を変換する、または変換しないことができます。

NAT のタイプ

NAT は、次の方法を使用して実装できます。

スタティック NAT:実際の IP アドレスとマッピング IP アドレスとの間での一貫したマッピング。双方向にトラフィックを開始できます。

ダイナミック NAT:実際の IP アドレスのグループが、(通常は、より小さい)マッピング IP アドレスのグループに先着順でマッピングされます。実際のホストだけがトラフィックを開始できます。

ダイナミック Port Address Translation(PAT; ポート アドレス変換):実際の IP アドレスのグループが、1 つの IP アドレスにマッピングされます。この IP アドレスのポートが使用されます。

アイデンティティ NAT:スタティック NAT では、実際のアドレスを自身に変換できます。基本的に NAT を回避します。大規模なアドレスのグループを変換するものの、小さいアドレスのサブセットは免除する場合は、NAT をこの方法で設定できます。

この項は、次の内容で構成されています。

「スタティック NAT」

「ダイナミック NAT」

「ダイナミック PAT」

「アイデンティティ NAT」

スタティック NAT に関する情報

スタティック NAT では、実際のアドレスからマッピング アドレスへの固定変換が作成されます。マッピング アドレスは連続する各接続で同じなので、スタティック NAT では、双方向の接続(ホストへの接続とホストから接続の両方)を開始できます(接続を許可するアクセス規則が存在する場合)。一方、ダイナミック NAT および PAT では、各ホストが以降の各変換に対して異なるアドレスまたはポートを使用するので、双方向の開始はサポートされません。

図 25-1 に、一般的なスタティック NAT のシナリオを示します。この変換は常にアクティブなので、実際のホストとリモート ホストの両方が接続を開始できます。

図 25-1 スタティック NAT

 

ポート変換を設定したスタティック NAT に関する情報

ポート変換を設定したスタティック NAT では、実際のプロトコルとマッピング プロトコル(TCP または UDP)およびポートを指定できます。

この項は、次の内容で構成されています。

「ポート アドレス変換を設定したスタティック NAT に関する情報」

「アイデンティティ ポート変換を設定したスタティック NAT」

「標準以外のポートのポート変換を設定したスタティック NAT」

「ポート変換を設定したスタティック インターフェイス NAT」

ポート アドレス変換を設定したスタティック NAT に関する情報

スタティック NAT を使用してポートを指定する場合、ポートを同じ値にマッピングするか、別の値にマッピングするかを選択できます。同じ値を使用すると、ipA/port1 を ipX/port1 に変換し、ipA/port2 を ipY/port2 に変換できます。

図 25-2 に、ポート変換を設定したスタティック NAT の一般的なシナリオを示します。自身にマッピングされているポートと別の値にマッピングされているポートの両方を示します。この変換は常にアクティブなので、変換されたホストとリモート ホストの両方が接続を開始できます。

図 25-2 ポート変換を設定したスタティック NAT の一般的なシナリオ

 


) セカンダリ チャネルのアプリケーション検査が必要なアプリケーション(FTP、VoIP など)を使用する場合は、適応型セキュリティ アプライアンスが自動的にセカンダリ ポートを変換します。


アイデンティティ ポート変換を設定したスタティック NAT

次のポート変換を設定したスタティック NAT の例では、リモート ユーザが FTP、HTTP、および SMTP にアクセスするための単一のアドレスを提供します。実際にはこれらのサーバは、実際のネットワーク上の異なるデバイスですが、各サーバに対して、異なるポートでも同じマッピング IP アドレスを使用するというポート変換規則を設定したスタティック NAT を指定できます(図 25-3 を参照。この例の設定方法については、「FTP、HTTP、および SMTP の単一アドレス(ポート変換を設定したスタティック NAT)」を参照してください)。

図 25-3 ポート変換を設定したスタティック NAT

 

標準以外のポートのポート変換を設定したスタティック NAT

ポート変換を設定したスタティック NAT を使用すると、予約済みポートから標準以外のポートへの変換や、その逆の変換も実行できます。たとえば、内部 Web サーバがポート 8080 を使用する場合、ポート 80 に接続することを外部ユーザに許可し、その後、変換を元のポート 8080 に戻すことができます。同様に、セキュリティをさらに高めるには、Web ユーザに標準以外のポート 6785 に接続するように指示し、その後、変換をポート 80 に戻すことができます。

ポート変換を設定したスタティック インターフェイス NAT

スタティック NAT は、実際のアドレスをインターフェイス アドレスとポートの組み合わせにマッピングするように設定できます。たとえば、適応型セキュリティ アプライアンスの外部ポートへの Telnet アクセスを内部 IP アドレス(たとえば、ルータ インターフェイス)にリダイレクトする場合、ポート 23 の内部 IP アドレスをポート 23 のインターフェイス アドレスにマッピングできます(通常、Telnet では最低セキュリティのインターフェイスは許可されません。インターフェイス ポート変換が設定されたスタティック NAT は、許可されない Telnet セッションを拒否するのではなく、リダイレクトします)。

1 対多のスタティック NAT に関する情報

通常、スタティック NAT は 1 対 1 のマッピングで設定します。しかし場合によっては、1 つの実際のアドレスを複数のマッピング アドレスに設定することがあります(1 対多)。1 対多のスタティック NAT を設定する場合、実際のホストがトラフィックを開始すると、常に最初のマッピング アドレスが使用されます。しかし、ホストに向けて開始されたトラフィックの場合、任意のマッピング アドレスへのトラフィックを開始でき、1 つの実際のアドレスには変換されません。

図 25-4 に、一般的な 1 対多のスタティック NAT シナリオを示します。最初の変換は常にアクティブなので、変換済みのホストとリモート ホストの両方が接続を開始できます。しかし、以降のマッピングは、実際のホストに対して単方向です。

図 25-4 1 対多のスタティック NAT

 

たとえば、10.1.2.27 にロード バランサが存在する場合、要求された URL に応じて、適切な Web サーバにトラフィックをリダイレクトします(図 25-5 を参照。この例の設定方法については、「複数のマッピング アドレス(スタティック NAT、1 対多)を持つ内部ロード バランサ」を参照してください)。

図 25-5 1 対多のスタティック NAT

 

他のマッピング シナリオ(非推奨)に関する情報

適応型セキュリティ アプライアンスには、1 対 1、1 対多だけではなく、少対多、多対少、多対 1 など任意の種類のスタティック マッピング シナリオを使用できるという柔軟性があります。しかし、これらの他のマッピング オプションは、予期しない結果が発生する可能性があります。1 対 1 マッピングまたは 1 対多マッピングだけを使用することをお勧めします。

機能的には、少対多は、1 対多と同じです。しかし、コンフィギュレーションが複雑化するため、必要とする実際の各アドレスに対して 1 対多のコンフィギュレーションを作成することをお勧めします。たとえば、少対多のシナリオでは、少数の実際のアドレスが多数のマッピング アドレスに順番にマッピングされます(A は 1、B は 2、C は 3)。すべての実際のアドレスがマッピングされたら、次にマッピングされるアドレスは、最初の実際のアドレスにマッピングされ、すべてのマッピング アドレスがマッピングされるまで続行されます(A は 4、B は 5、C は 6)。この結果、実際の各アドレスに対して複数のマッピング アドレスが存在することになります。1 対多のコンフィギュレーションのように、最初のマッピングだけが双方向であり、以降のマッピングでは、実際のホスト のトラフィックを開始できますが、実際のホスト から のすべてのトラフィックは、送信元の最初のマッピング アドレスだけを使用できます。

図 25-6 に、一般的な少対多のスタティック NAT シナリオを示します。実際の各アドレスの最初の変換は常にアクティブなので、変換済みのホストとリモート ホストの両方が接続を開始できます。しかし、以降のマッピングは、実際のホストに対して単方向です。

図 25-6 少対多のスタティック NAT

 

多対少または多対 1 コンフィギュレーションでは、マッピング アドレスよりも多くの実際のアドレスが存在します。実際のアドレスが不足するよりも前に、マッピング アドレスが不足します。最初のマッピングだけが、双方向の開始となります。残りの実際のアドレスはトラフィックを開始できますが、これらへのトラフィックを開始できません。接続のリターン トラフィックは、接続の固有の 5 つの要素(送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコル)によって適切な実際のアドレスに転送されます。

図 25-7 に、一般的な多対少のスタティック NAT のシナリオを示します。各マッピング アドレスの最初の変換は常にアクティブなので、変換済みのホストとリモート ホストの両方が接続を開始できます。しかし、以降のマッピングは、実際のホストから単方向です。

図 25-7 多対少のスタティック NAT

 

このようにスタティック規則を使用するのではなく、双方向の開始を必要とするトラフィックに 1 対 1 の規則を作成し、残りのアドレスにダイナミック規則を作成することをお勧めします。

ダイナミック NAT

この項では、ダイナミック NAT について説明します。説明する項目は次のとおりです。

「ダイナミック NAT に関する情報」

「ダイナミック NAT の欠点と利点」

ダイナミック NAT に関する情報

ダイナミック NAT では、実際のアドレスのグループは、宛先ネットワーク上でルーティング可能なマッピング アドレスのプールに変換されます。マッピングされたプールにあるアドレスは、通常、実際のグループより少なくなります。変換対象のホストが宛先ネットワークにアクセスすると、適応型セキュリティ アプライアンスは、マッピングされたプールから IP アドレスをそのホストに割り当てます。変換は、実際のホストが接続を開始したときにだけ作成されます。変換は接続が継続している間だけ有効であり、変換がタイムアウトすると、そのユーザは同じ IP アドレスを保持しません。したがって、アクセス規則でその接続が許可されている場合でも、宛先ネットワークのユーザは、ダイナミック NAT を使用するホストへの確実な接続を開始できません。

図 25-8 に、一般的なダイナミック NAT のシナリオを示します。実際のホストだけが NAT セッションを作成でき、応答トラフィックが許可されます。

図 25-8 ダイナミック NAT

 

図 25-9 に、マッピング アドレスへの接続開始を試みているリモート ホストを示します。このアドレスは、現時点では変換テーブルにないため、適応型セキュリティ アプライアンスはパケットをドロップしています。

図 25-9 マッピング アドレスへの接続開始を試みているリモート ホスト

 


) 変換が継続している間、アクセス規則で許可されていれば、リモート ホストは変換済みホストへの接続を開始できます。アドレスは予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセス規則のセキュリティに依存できます。


ダイナミック NAT の欠点と利点

ダイナミック NAT には、次の欠点があります。

マッピングされたプールにあるアドレスが実際のグループより少ない場合、予想以上にトラフィックが多いと、アドレスが不足する可能性があります。

これが頻繁に起こる場合は、PAT を使用します。PAT では、1 つのアドレスの複数のポートを使用して 64,000 件を超える変換が提供されます。

マッピングされたプール内のルーティング可能なアドレスを多数使用する必要があります。インターネットなど、宛先ネットワークが登録アドレスを要求する場合は、使用可能なアドレスが不足する可能性があります。

ダイナミック NAT の利点は、一部のプロトコルが PAT を使用できないということです。たとえば、PAT は次の場合は機能しません。

GRE バージョン 0 などのように、オーバーロードするためのポートがない IP プロトコルでは機能しません。

一部のマルチメディア アプリケーションなどのように、1 つのポート上にデータ ストリームを持ち、別のポート上に制御パスを持ち、公開規格ではないアプリケーションでも機能しません。

NAT および PAT のサポートの詳細については、「アプリケーション プロトコル検査を使用するタイミング」を参照してください。

ダイナミック PAT

この項では、ダイナミック PAT について説明します。次の項目を取り上げます。

「ダイナミック PAT に関する情報」

「ダイナミック PAT の欠点と利点」

ダイナミック PAT に関する情報

ダイナミック PAT では、実際のアドレスおよび送信元ポートが 1 つのマッピング アドレスおよび 1024 より上の固有のポートに変換されることによって、複数の実際のアドレスが 1 つのマッピング IP アドレスに変換されます。送信元ポートが接続ごとに異なるため、各接続には別の変換セッションが必要です。たとえば、10.1.1.1:1025 には、10.1.1.1:1026 とは別の変換が必要です。

図 25-10 に、一般的なダイナミック PAT のシナリオを示します。実際のホストだけが NAT セッションを作成でき、応答トラフィックが許可されます。マッピング アドレスはどの変換でも同じですが、ポートがダイナミックに割り当てられます。

図 25-10 ダイナミック PAT

 

接続の有効期限が切れると、ポート変換も 30 秒間の非アクティブ状態の後に有効期限切れになります。このタイムアウトは変更できません。宛先ネットワークのユーザは、PAT を使用するホストへの接続を確実には開始できません(アクセス規則でその接続が許可されている場合も同じです)。


) 変換が継続している間、アクセス規則で許可されていれば、リモート ホストは変換済みホストへの接続を開始できます。実際のポート アドレスおよびマッピング ポート アドレスはどちらも予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、アクセス規則のセキュリティに依存できます。


ダイナミック PAT の欠点と利点

ダイナミック PAT では、1 つのマッピング アドレスを使用できるため、ルーティング可能なアドレスが節約されます。さらに、適応型セキュリティ アプライアンス インターフェイスの IP アドレスを PAT アドレスとして使用できます。

ダイナミック PAT は、制御パスとは異なるデータ ストリームを持つ一部のマルチメディア アプリケーションでは機能しません。NAT および PAT のサポートの詳細については、「アプリケーション プロトコル検査を使用するタイミング」を参照してください。

アイデンティティ NAT

IP アドレスを自身に変換する必要のある NAT コンフィギュレーションを設定できます。たとえば、NAT を各ネットワークに適するものの、1 つのネットワークを NAT から除外するという広範な規則を作成する場合、スタティック NAT 規則を作成して、アドレスを自身に変換することができます。アイデンティティ NAT は、NAT からクライアント トラフィックを除外する必要のある、リモート アクセス VPN で必要です。

図 25-11 に、一般的なアイデンティティ NAT のシナリオを示します。

図 25-11 アイデンティティ NAT

 

ルーテッド モードとトランスペアレント モードの NAT

NAT は、ルーテッド モードおよび透過ファイアウォール モードの両方に設定できます。この項では、各ファイアウォール モードの一般的な使用方法について説明します。説明する項目は次のとおりです。

「ルーテッド モードの NAT」

「トランスペアレント モードの NAT」

ルーテッド モードの NAT

図 25-12 は、内部にプライベート ネットワークを持つ、ルーテッド モードの一般的な NAT の例を示しています。

図 25-12 NAT の例:ルーテッド モード

 

1. 内部ホスト 10.1.2.27 が Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.2.27 はマッピング アドレス 209.165.201.10 に変更されます。

2. サーバが応答すると、応答がマッピング アドレス 209.165.201.10 に送信されます。そのパケットをセキュリティ アプライアンスが受信します。

3. セキュリティ アプライアンスはその後、パケットをホストに送信する前に、マッピング アドレス 209.165.201.10 を変換し、実際のアドレス 10.1.2.27 に戻します。

トランスペアレント モードの NAT

NAT をトランスペアレント モードで使用すると、ネットワークで NAT を実行するためのアップストリーム ルータまたはダウンストリーム ルータが必要なくなります。

トランスペアレント モードの NAT には、次の要件および制限があります。

マッピング アドレスが透過ファイアウォールと同じネットワーク上にない場合、アップストリーム ルータで、(適応型セキュリティ アプライアンスから)ダウンストリーム ルータを指しているマッピング アドレスにスタティック ルートを追加する必要があります。

実際の宛先アドレスが適応型セキュリティ アプライアンスに直接接続されていない場合、適応型セキュリティ アプライアンスで、ダウンストリーム ルータを指している実際の宛先にもスタティック ルートを追加する必要があります。NAT を使用しない場合、アップストリーム ルータからダウンストリーム ルータへのトラフィックは MAC アドレス テーブルを使用するため、適応型セキュリティ アプライアンスでルートを何も必要としません。ただし、NAT を使用する場合、適応型セキュリティ アプライアンスは MAC アドレス ルックアップの代わりにルート ルックアップを使用するため、ダウンストリーム ルータへのスタティック ルートが必要になります。

透過ファイアウォールにはインターフェイス IP アドレスがないため、インターフェイス PAT を使用できません。

ARP 検査はサポートされていません。また、何らかの理由で、一方の適応型セキュリティ アプライアンスのホストがもう一方の適応型セキュリティ アプライアンスのホストに ARP 要求を送信し、開始ホストの実際のアドレスが同じサブネットの別のアドレスにマッピングされる場合、実際のアドレスは ARP 要求で可視のままになります。

図 25-13 に、インターフェイス内部と外部に同じネットワークを持つ、トランスペアレント モードの一般的な NAT のシナリオを示します。このシナリオの透過ファイアウォールは NAT サービスを実行しているため、アップストリーム ルータは NAT を実行する必要がありません。

図 25-13 NAT の例:トランスペアレント モード

 

1. 内部ホスト 10.1.1.75 が Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.1.75 はマッピング アドレス 209.165.201.15 に変更されます。

2. サーバが応答すると、マッピング アドレス 209.165.201.15 に応答を送信し、適応型セキュリティ アプライアンスがそのパケットを受信します。これは、アップストリーム ルータには、適応型セキュリティ アプライアンスを経由するスタティック ルートのこのマッピング ネットワークが含まれるためです。

3. その後、適応型セキュリティ アプライアンスはマッピング アドレス 209.165.201.15 を変換して実際のアドレス 10.1.1.1.75 に戻します。実際のアドレスは直接接続されているため、適応型セキュリティ アプライアンスはそのアドレスを直接ホストに送信します。

4. ホスト 192.168.1.2 でも同じプロセスが発生します。ただし、適応型セキュリティ アプライアンスがルート テーブルでルートをルックアップし、スタティック ルートに基づいて 10.1.1.3 でダウンストリーム ルータにパケットを送信する点は異なります。

NAT の実装方法

適応型セキュリティ アプライアンスは、 ネットワーク オブジェクト NAT および Twice NAT という 2 種類の方法でアドレス変換を実装できます。この項は、次の内容で構成されています。

「ネットワーク オブジェクトと Twice NAT の主な違い」

「ネットワーク オブジェクト NAT に関する情報」

「Twice NAT に関する情報」

ネットワーク オブジェクトと Twice NAT の主な違い

これら 2 つの NAT タイプの主な違いは、次のとおりです。

実際のアドレスの定義方法

ネットワーク オブジェクト NAT:NAT をネットワーク オブジェクトのパラメータとして定義します。ネットワーク オブジェクトの定義自体が実際のアドレスになります。この方法では、ネットワーク オブジェクトに NAT を容易に追加できます。オブジェクトは、アクセス規則、または Twice NAT 規則などコンフィギュレーションの他の部分でも使用できます。

Twice NAT:実際のアドレスとマッピング アドレスの両方のネットワーク オブジェクトまたはネットワーク オブジェクト グループを識別します。この場合、NAT はネットワーク オブジェクトのパラメータではありません。ネットワーク オブジェクトまたはグループが、NAT コンフィギュレーションのパラメータです。実際のアドレスのネットワーク オブジェクト グループ を使用できることは、Twice NAT がよりスケーラブルであることを意味します。

送信元および宛先 NAT の実装方法

ネットワーク オブジェクト NAT:各規則は、パケットの送信元または宛先のいずれかに適用できます。つまり、送信元 IP アドレスに 1 つ、宛先 IP アドレスに 1 つと、2 つの規則が使用されることがあります。これらの 2 つの規則を相互に結び付けて、送信先と宛先の組み合わせに特定の変換を適用することはできません。

Twice NAT:1 つの規則が送信元と宛先の両方を変換します。一致するパケットは、1 つの規則だけに一致します。これ以外の規則はチェックされません。Twice NAT にオプションの宛先アドレスを設定しない場合でも、一致するパケットは、1 つの Twice NAT 規則だけに一致します。送信元および宛先は相互に結び付けられるので、送信元と宛先の組み合わせに応じて、異なる変換を適用できます。たとえば、sourceA/destinationA には、sourceA/destinationB とは異なる変換を設定できます。

NAT 規則の順序

ネットワーク オブジェクト NAT:NAT テーブルで自動的に順序付けされます。

Twice NAT:NAT テーブルで手動で順序付けします(ネットワーク オブジェクト NAT 規則の前または後)。

詳細については、「NAT 規則の順序」を参照してください。

Twice NAT の追加機能を必要としない場合は、ネットワーク オブジェクト NAT を使用することをお勧めします。ネットワーク オブジェクト NAT は設定が容易で、Voice over IP(VoIP)などの用途では、信頼性が高い場合があります(Twice NAT は 2 つのオブジェクト間だけに適用可能であるため、VoIP では、いずれのオブジェクトにも属さない間接アドレスの変換が失敗することがあります)。

ネットワーク オブジェクト NAT に関する情報

ネットワーク オブジェクトのパラメータとして設定されているすべての NAT 規則は、ネットワーク オブジェクト NAT 規則と見なされます。ネットワーク オブジェクト NAT は、1 つの IP アドレス、アドレスの範囲、またはサブネットであるネットワーク オブジェクトの NAT を設定するための迅速かつ容易な方法です。

ネットワーク オブジェクトを設定すると、このオブジェクトのマッピング アドレスをインライン アドレスとして、または別のネットワーク オブジェクトやネットワーク オブジェクト グループのいずれかとして識別できるようになります。

パケットが適応型セキュリティ アプライアンスに入ると、送信元 IP アドレスと宛先 IP アドレスの両方がネットワーク オブジェクト NAT 規則と照合されます。個別の照合が行われる場合、パケット内の送信元 IP アドレスと宛先 IP アドレスは、個別の規則によって変換できます。これらの規則は、相互に結び付けられていません。トラフィックに応じて、異なる組み合わせの規則を使用できます。

規則がペアになることはないので、sourceA/destinationA で sourceA/destinationB とは別の変換が行われるように指定することはできません。この種の機能には、Twice NAT を使用します(Twice NAT を使用すると、1 つの規則で送信元アドレスおよび宛先アドレスを識別できます)。

ネットワーク オブジェクト NAT の設定を開始するには、「ネットワーク オブジェクト NAT の設定」を参照してください。

Twice NAT に関する情報

Twice NAT では、1 つの規則で送信元アドレスおよび宛先アドレスの両方を識別できます。送信元アドレスと宛先アドレスの両方を指定すると、sourceA/destinationA で sourceA/destinationB とは別の変換が行われるように指定できます。

宛先アドレスはオプションです。宛先アドレスを指定する場合、宛先アドレスを自身にマッピングするか(アイデンティティ NAT)、別のアドレスにマッピングできます。宛先マッピングは、常にスタティック マッピングです。

Twice NAT では、ポート変換が設定されたスタティック NAT のサービス オブジェクトを使用できます。ネットワーク オブジェクト NAT は、インライン定義だけを受け入れます。

Twice NAT の設定を開始するには、「Twice NAT の設定」を参照してください。

図 25-14 に、2 台の異なるサーバにアクセスしている 10.1.2.0/24 ネットワークのホストを示します。ホストがサーバ 209.165.201.11 にアクセスすると、実際のアドレスは 209.165.202.129 に変換されます。ホストがサーバ 209.165.200.225 にアクセスすると、実際のアドレスは 209.165.202.130 に変換されます(この例の設定方法については、「FTP、HTTP、および SMTP の単一アドレス(ポート変換を設定したスタティック NAT)」を参照してください)。

図 25-14 異なる宛先アドレスを使用する Twice NAT

 

図 25-15 に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワークのホストは Web サービスと Telnet サービスの両方を提供する 1 つのホストにアクセスします。ホストが Web サービスを求めてサーバにアクセスすると、実際のアドレスは 209.165.202.129 に変換されます。ホストが Telnet サービスを求めて同じサーバにアクセスすると、実際のアドレスは 209.165.202.130 に変換されます。

図 25-15 異なる宛先ポートを使用する Twice NAT

 

図 25-16 に、変換済みのホストに接続するリモート ホストを示します。変換済みのホストには、209.165.201.0/27 ネットワークが起点または終点となるトラフィックに限り実際のアドレスを変換する Twice NAT 変換があります。209.165.200.224/27 ネットワーク用の変換は存在しません。したがって、変換済みのホストはそのネットワークに接続できず、そのネットワークのホストも変換済みのホストに接続できません。

図 25-16 宛先アドレス変換が設定されたスタティック Twice NAT

 

NAT 規則の順序

ネットワーク オブジェクト NAT 規則および Twice NAT 規則は、3 セクションに分割される 1 つのテーブルに保存されます。セクション 1 の規則が最初に適用され、次にセクション 2、最後にセクション 3 が適用されます。 表 25-2 に、各セクション内の規則の順序を示します。

 

表 25-2 NAT 規則テーブル

テーブルのセクション
規則タイプ
セクション内の規則の順序

セクション 1

Twice NAT

コンフィギュレーションに登場する順に、最初の一致ベースで適用されます。デフォルトでは、Twice NAT 規則はセクション 1 に追加されます。

(注) VPN を設定する場合、クライアントは、このセクションの末尾に非表示の NAT 規則をダイナミックに追加します。非表示の規則ではなく、VPN トラフィックに一致する Twice NAT 規則は、このセクションで設定しないでください。NAT エラーのために VPN が機能しない場合は、このセクションではなく、セクション 3 に NAT 規則を追加することを検討してください。

セクション 2

ネットワーク オブジェクト NAT

セクション 2 の規則は、適応型セキュリティ アプライアンスで自動的に決定されるように、次の順に適用されます。

1. スタティック規則

2. ダイナミック規則

各規則タイプでは、次の順序ガイドラインが使用されます。

a. 実際の IP アドレスの数量:小から大の順。たとえば、アドレスが 1 個のオブジェクトは、アドレスが 10 個のオブジェクトよりも先に評価されます。

b. 数量が同じ場合には、アドレス番号(低から高の順)が使用されます。たとえば、10.1.1.0 は、11.1.1.0 よりも先に評価されます。

c. 同じ IP アドレスが使用される場合、ネットワーク オブジェクトの名前がアルファベット順で使用されます。たとえば、abracadabra は catwoman よりも先に評価されます。

セクション 3

Twice NAT

セクション 3 の規則は、コンフィギュレーションに登場する順に、最初の一致ベースで適用されます。Twice NAT 規則を追加するときには、この規則をセクション 3 に追加するかどうかを指定できます。

たとえばセクション 2 の規則では、ネットワーク オブジェクト内に定義されている次の IP アドレスがあるとします。

192.168.1.0/24(スタティック)

192.168.1.0/24(ダイナミック)

10.1.1.0/24(スタティック)

192.168.1.1/32(ダイナミック)

172.16.1.0/24(ダイナミック)(オブジェクト def)

172.16.1.0/24(ダイナミック)(オブジェクト abc)

この結果、使用される順序は次のとおりです。

192.168.1.1/32(ダイナミック)

10.1.1.0/24(スタティック)

192.168.1.0/24(スタティック)

172.16.1.0/24(ダイナミック)(オブジェクト abc)

172.16.1.0/24(ダイナミック)(オブジェクト def)

192.168.1.0/24(ダイナミック)

NAT インターフェイス

NAT 規則を設定して任意のインターフェイスに適用できます。または、特定の実際のインターフェイスおよびマッピング インターフェイスを識別できます。実際のアドレスには任意のインターフェイスを指定できます。マッピング インターフェイスには特定のインターフェイスを指定できます。または、その逆も可能です。

たとえば、複数のインターフェイスで同じプライベート アドレスを使用し、外部へのアクセス時にはすべてのインターフェイスを同じグローバル プールに変換する場合、実際のアドレスに任意のインターフェイスを指定し、マッピング アドレスには外部インターフェイスを指定します(図 25-17)。

図 25-17 任意のインターフェイスの指定

 

マッピング アドレスのガイドライン

実際のアドレスをマッピング アドレスに変換するときは、次のマッピング アドレスを使用できます。

マッピング インターフェイスと同じネットワーク上のアドレス

マッピング インターフェイス(トラフィックが適応型セキュリティ アプライアンスから出るときに通過するインターフェイス)と同じネットワーク上のアドレスを使用した場合、適応型セキュリティ アプライアンスはプロキシ ARP を使用してすべてのマッピング アドレス要求に応答することにより、実際のアドレスに向かうトラフィックを代行受信します。この方法では、適応型セキュリティ アプライアンスがその他のネットワークのゲートウェイである必要がないため、ルーティングが簡略化されます。ただし、この方法では、変換に使用できるアドレス数に限度があります。

PAT では、マッピング インターフェイスの IP アドレスも使用できます。


) マッピング インターフェイスを任意のインターフェイスに設定するものの、同じネットワーク上のマッピング アドレスをインターフェイスの 1 つとして指定する場合、異なるインターフェイスでこのマッピング アドレスに対する ARP 要求を着信すると、インターフェイスの MAC アドレスを指定する他のインターフェイス上でこのネットワークに対する ARP エントリを手動で設定する必要があります(arp コマンドを参照)。通常、マッピング インターフェイスに任意のインターフェイスを指定すると、マッピング アドレスの固有のネットワークを使用します。


固有のネットワーク上のアドレス

マッピング インターフェイスで使用可能なアドレスより多くのアドレスが必要な場合は、別のサブネット上のアドレスを指定できます。適応型セキュリティ アプライアンスはプロキシ ARP を使用してすべてのマッピング アドレス要求に応答することにより、実際のアドレスを宛先とするトラフィックを代行受信します。

マッピング IP アドレスに関する追加のガイドラインについては、「ネットワーク オブジェクト NAT の設定」および「Twice NAT の設定」を参照してください。

DNS および NAT

応答内のアドレスを NAT コンフィギュレーションと一致するアドレスに置き換えて、DNS 応答を修正するように適応型セキュリティ アプライアンスを設定することが必要になる場合があります。DNS 修正は、各変換を設定するときに設定できます。

この機能は、NAT 規則に一致する DNS 応答で A レコード(アドレス レコード)をリライトします。マッピング インターフェイスから他のインターフェイスに移動する DNS 応答では、A レコードはマップされた値から実際の値へリライトされます。逆に、任意のインターフェイスからマッピング インターフェイスに移動する DNS 応答では、A レコードは実際の値からマップされた値へリライトされます。


) Twice NAT 規則を設定する場合、送信元アドレスおよび宛先アドレスを指定すると、DNS 修正を設定できません。これらの種類の規則では、A と B に向かった場合に 1 つのアドレスに対して異なる変換が行われる可能性があります。したがって、適応型セキュリティ アプライアンスは、DNS 応答内の IP アドレスを適切な Twice NAT 規則に一致させることができません。DNS 応答には、DNS 要求を求めたパケット内の送信元アドレスと宛先アドレスの組み合わせに関する情報が含まれません。


たとえば、DNS サーバが外部インターフェイスからアクセス可能であるとします。ftp.cisco.com というサーバが内部インターフェイス上にあります。ftp.cisco.com の実際のアドレス(10.1.3.14)を、外部ネットワーク上で可視のマッピング アドレス(209.165.201.10)にスタティックに変換するように、適応型セキュリティ アプライアンスを設定します(図 25-18 を参照)。この場合、このスタティック規則で DNS 応答修正をイネーブルにする必要があります。これにより、実際のアドレスを使用して ftp.cisco.com にアクセスすることを許可されている内部ユーザは、マッピング アドレスではなく実際のアドレスを DNS サーバから受信できるようになります。

内部ホストが ftp.cisco.com のアドレスを求める DNS 要求を送信すると、DNS サーバは応答でマッピング アドレス(209.165.201.10)を示します。適応型セキュリティ アプライアンスは、内部サーバのスタティック規則を参照し、DNS 応答内のアドレスを 10.1.3.14 に変換します。DNS 応答修正をイネーブルにしない場合、内部ホストは ftp.cisco.com に直接アクセスする代わりに、209.165.201.10 にトラフィックを送信することを試みます。

図 25-18 DNS 応答修正

 


) 他のネットワーク(DMZ など)のユーザも外部 DNS サーバから ftp.cisco.com の IP アドレスを要求している場合、そのユーザがスタティック規則で参照される内部インターフェイスに存在しない場合でも、そのユーザに対して DNS 応答の IP アドレスも修正されます。


図 25-19 に、外部の Web サーバと DNS サーバを示します。適応型セキュリティ アプライアンスには、外部サーバ用のスタティック変換があります。この場合、ftp.cisco.com のアドレスを DNS サーバに要求すると、DNS サーバは応答で実際のアドレス 209.165.20.10 を示します。ftp.cisco.com のマッピング アドレス(10.1.2.56)が内部ユーザによって使用されるようにするには、スタティック変換に対して DNS 応答修正を設定する必要があります。

図 25-19 外部 NAT を使用する DNS 応答修正

 

 

関連情報

ネットワーク オブジェクト NAT を設定するには、「ネットワーク オブジェクト NAT の設定」に進みます。

Twice NAT を設定するには、「Twice NAT の設定」に進みます。