Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
Twice NAT の設定
Twice NAT の設定
発行日;2012/02/04 | 英語版ドキュメント(2012/01/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Twice NAT の設定

Twice NAT に関する情報

Twice NAT のライセンス要件

Twice NAT の前提条件

ガイドラインと制限事項

Twice NAT の設定

ダイナミック NAT の設定

ダイナミック PAT(隠蔽)の設定

スタティック NAT またはポート変換を設定したスタティック NAT の設定

アイデンティティ NAT の設定

Twice NAT のモニタリング

Twice NAT の設定例

宛先に応じて異なる変換(ダイナミック PAT)

宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)

Twice NAT の機能履歴

Twice NAT の設定

Twice NAT では、1 つの規則で送信元アドレスおよび宛先アドレスの両方を識別できます。この章では、Twice NAT の設定方法について説明します。この章は、次の項で構成されています。

「Twice NAT に関する情報」

「Twice NAT のライセンス要件」

「Twice NAT の前提条件」

「ガイドラインと制限事項」

「Twice NAT の設定」

「Twice NAT のモニタリング」

「Twice NAT の設定例」

「Twice NAT の機能履歴」


) NAT の機能の詳細については、「NAT に関する情報」を参照してください。


Twice NAT に関する情報

Twice NAT では、1 つの規則で送信元アドレスおよび宛先アドレスの両方を識別できます。送信元アドレスと宛先アドレスの両方を指定すると、たとえば送信元アドレスが宛先 X に向かう場合は A に変換され、宛先 Y に向かう場合は B に変換されるように指定できます。

宛先アドレスはオプションです。宛先アドレスを指定する場合、宛先アドレスを自身にマッピングするか(アイデンティティ NAT)、別のアドレスにマッピングできます。宛先マッピングは、常にスタティック マッピングです。

Twice NAT では、ポート変換が設定されたスタティック NAT のサービス オブジェクトを使用できます。ネットワーク オブジェクト NAT は、インライン定義だけを受け入れます。

Twice NAT とネットワーク オブジェクト NAT の違いの詳細については、「NAT の実装方法」を参照してください。

Twice NAT 規則は、NAT 規則テーブルのセクション 1 に追加されます。指定した場合には、セクション 3 に追加されます。NAT の順序の詳細については、「NAT 規則の順序」を参照してください。

Twice NAT のライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

Twice NAT の前提条件

実際のアドレスとマッピング アドレスの両方について、ネットワーク オブジェクトまたはネットワーク オブジェクト グループを設定します( object network コマンドまたは object-group network コマンド)。ネットワーク オブジェクト グループは、非連続的な IP アドレスの範囲または複数のホストやサブネットで構成されるマッピング アドレスを作成する場合に特に便利です。ネットワーク オブジェクトまたはグループを作成するには、「オブジェクトとグループの設定」を参照してください。

ポート変換を設定したスタティック NAT の場合、TCP または UDP サービス オブジェクトを設定します( object service コマンド)。サービス オブジェクトを作成するには、「サービス オブジェクトの設定」を参照してください。

オブジェクトおよびグループに関する特定のガイドラインについては、設定する NAT タイプの設定の項を参照してください。「ガイドラインと制限事項」の項も参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

トランスペアレント モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定する必要があります。 any は使用できません。

トランスペアレント モードでは、インターフェイス PAT を設定できません。トランスペアレント モードのインターフェイスには、IP アドレスが設定されていないためです。管理 IP アドレスもマッピング アドレスとして使用できません。

IPv6 のガイドライン

IPv6 はサポートされません。

追加のガイドライン

NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに新しい NAT 情報を使用する必要がある場合は、 clear xlate コマンドを使用して変換テーブルを消去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。


) ダイナミック NAT または PAT 規則を削除し、次に削除した規則に含まれるアドレスと重複するマッピング アドレスを含む新しい規則を追加すると、新しい規則は、削除された規則に関連付けられたすべての接続がタイムアウトするか、clear xlate コマンドを使用してクリアされるまで使用されません。この予防手段のおかげで、同じアドレスが複数のホストに割り当てられないようにできます。


NAT で使用されるオブジェクトおよびオブジェクト グループを未定義にすることはできません。IP アドレスを含める必要があります。

マッピング IP アドレス プールは、次のアドレスを含むことができません。

マッピング インターフェイスの IP アドレス。規則に any インターフェイスを指定すると、すべてのインターフェイスの IP アドレスが拒否されます。インターフェイス PAT(ルーテッド モードのみ)では、IP アドレスではなく、 interface キーワードを使用します。

(トランスペアレント モード)管理 IP アドレス。

(ダイナミック NAT)VPN がイネーブルの場合は、スタンバイ インターフェイスの IP アドレス。

既存の VPN プールのアドレス。

Twice NAT の設定

この項では、Twice NAT を設定して、ダイナミック NAT、ダイナミック PAT、スタティック NAT、ポート変換を設定したスタティック NAT、およびアイデンティティ NAT の規則を作成する方法について説明します。この項は、次の内容で構成されています。

「ダイナミック NAT の設定」

「ダイナミック PAT(隠蔽)の設定」

「スタティック NAT またはポート変換を設定したスタティック NAT の設定」

「アイデンティティ NAT の設定」

ダイナミック NAT の設定

この項では、Twice NAT を使用してダイナミック NAT 規則を設定する方法について説明します。ダイナミック NAT の詳細については、「ダイナミック NAT」を参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network MyInsNet

hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0

実際の送信元アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。詳細については、「オブジェクトの設定」を参照してください。

すべてのトラフィックを変換する場合、オブジェクトまたはグループを作成するのではなく、 any キーワードを指定できます。この手順をスキップしてください。

ステップ 2

ネットワーク オブジェクト:

object network obj_name

range ip_address_1 ip_address_2

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network NAT_POOL

hostname(config-network-object)# range 209.165.201.10 209.165.201.20

マッピングされた送信元アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

ダイナミック NAT では、通常、大きいアドレスのグループが小さいグループにマッピングされます。

必要に応じて、別のダイナミック NAT 規則とこのマッピング IP アドレスを共有できます。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 3

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1

hostname(config-network-object)# host 209.165.201.8

実際の宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動での規則の順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクトと Twice NAT の主な違い」を参照してください。

ステップ 4

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1_mapped

hostname(config-network-object)# host 10.1.1.67

マッピングされた宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

宛先変換は、常にスタティックです。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。この手順をスキップしてください。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、 interface キーワードを指定できます。この手順をスキップしてください。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 5

(オプション)

object service obj_name

service { tcp | udp } destination operator port
 
 

hostname(config)# object service REAL_SVC

hostname(config-service-object)# service tcp destination eq 80

 

hostname(config)# object service MAPPED_SVC

hostname(config-service-object)# service tcp destination eq 8080

次のポートのサービス オブジェクトを設定します。

宛先の実際の TCP または UDP ポート

宛先のマッピングされた TCP または UDP ポート

ダイナミック NAT では、ポート変換はサポートされません。しかし、 宛先 変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方が同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal」( neq )演算子は、サポートされていません。

ステップ 6

nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-auto [ line ]}] source dynamic { real_obj | any } { mapped_obj [ interface ]} [ destination static { mapped_obj | interface } real_obj ] [ service mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ inactive ] [ description desc ]

 

hostname(config)# nat (inside,outside) source dynamic MyInsNet NAT_POOL destination static Server1_mapped Server1 service MAPPED_SVC REAL_SVC

ダイナミック NAT を設定します。次のガイドラインを参照してください。

インターフェイス:実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。1 つまたは両方のインターフェイスに any キーワードを指定することもできます。

行:デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます(「NAT 規則の順序」を参照)。セクション 1 ではなく、セクション 3(ネットワーク オブジェクト NAT 規則の後ろ)に規則を追加する場合、 after-auto キーワードを使用します。規則は、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

送信元アドレス:

実際のアドレス:ネットワーク オブジェクト、グループ、または any キーワードを指定します(ステップ 1を参照)。実際のインターフェイスからマッピングされたインターフェイスへのすべてのトラフィックを変換する場合、 any キーワードを使用します。

マッピング アドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 2を参照)。このマッピング オブジェクトは、必要に応じて、別のダイナミック NAT 規則と共有できます。マッピング オブジェクトまたはグループの後ろに interface キーワードを指定すると(ルーテッド モードのみ)、マッピング インターフェイスの IP アドレスは、その他すべてのマッピング アドレスがすでに割り当てられている場合に限り使用されます。このオプションでは、 mapped_ifc に特定のインターフェイスを設定する必要があります。

宛先アドレス:

マッピング アドレス:ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します(ステップ 4を参照)。 interface を指定する場合は、必ず service キーワードも設定します。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

実際のアドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 3を参照)。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

宛先ポート:マッピングされたサービス オブジェクトおよび実際のサービス オブジェクトとともに、 service キーワードを設定します(ステップ 5を参照)。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

 

 

(続き)

(送信元専用規則の場合)DNS: dns キーワードによって DNS 応答が変換されます。DNS 検査がイネーブルになっていることを確認してください(デフォルトではイネーブルです)。 宛先 アドレスを設定する場合、 dns キーワードは設定できません。詳細については、「DNS および NAT」を参照してください。

非アクティブ:コマンドを削除する必要なくこの規則を非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

説明: description キーワードを使用して、最大 200 文字の説明を入力します。

ダイナミック PAT(隠蔽)の設定

この項では、Twice NAT を使用してダイナミック PAT(隠蔽)規則を設定する方法について説明します。ダイナミック PAT の詳細については、「ダイナミック PAT」を参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network MyInsNet

hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0

実際の送信元アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。詳細については、「オブジェクトの設定」を参照してください。

すべてのトラフィックを変換する場合、オブジェクトまたはグループを作成するのではなく、 any キーワードを指定できます。この手順をスキップしてください。

ステップ 2

object network obj_name

host ip_address

 

 

hostname(config)# object network PAT_IP

hostname(config-network-object)# host 209.165.201.10

マッピングされた送信元アドレスを設定します。

ネットワーク オブジェクトを設定できます。

ダイナミック PAT では、アドレスのグループを 1 つのアドレスにマッピングします。実際のアドレスを選択した 1 つのマッピング アドレスに変換するか、マッピング インターフェイス アドレスに変換できます。インターフェイス アドレスを使用する場合、マッピング アドレスのネットワーク オブジェクトを設定するのではなく、 interface キーワードを使用します。

(注) このマッピング オブジェクトは、必要に応じて、別のダイナミック PAT 規則と共有できます。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 3

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1

hostname(config-network-object)# host 209.165.201.8

実際の宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動での規則の順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクトと Twice NAT の主な違い」を参照してください。

ステップ 4

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1_mapped

hostname(config-network-object)# host 10.1.1.67

マッピングされた宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

宛先変換は、常にスタティックです。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。この手順をスキップしてください。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、 interface キーワードを指定できます。この手順をスキップしてください。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 5

(オプション)

object service obj_name

service { tcp | udp } destination operator port
 
 

hostname(config)# object service REAL_SVC

hostname(config-service-object)# service tcp destination eq 80

 

hostname(config)# object service MAPPED_SVC

hostname(config-service-object)# service tcp destination eq 8080

次のポートのサービス オブジェクトを設定します。

宛先の実際の TCP または UDP ポート

宛先のマッピングされた TCP または UDP ポート

ダイナミック PAT では、追加のポート変換はサポートされません。しかし、 宛先 変換は常にスタティックなので、宛先ポートに対してポート変換を実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方が同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal」( neq )演算子は、サポートされていません。

ステップ 6

nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-auto [ line ]}] source dynamic { real-obj | any } { mapped_obj | interface } [ destination static { mapped_obj | interface } real_obj ] [ service mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ inactive ] [ description desc ]

 

hostname(config)# nat (inside,outside) source dynamic MyInsNet interface destination static Server1 Server1 description Interface PAT for inside addresses when going to server 1

ダイナミック PAT(隠蔽)を設定します。次のガイドラインを参照してください。

インターフェイス:実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。1 つまたは両方のインターフェイスに any キーワードを指定することもできます。

行:デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます(「NAT 規則の順序」を参照)。セクション 1 ではなく、セクション 3(ネットワーク オブジェクト NAT 規則の後ろ)に規則を追加する場合、 after-auto キーワードを使用します。規則は、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

送信元アドレス:

実際のアドレス:ネットワーク オブジェクト、グループ、または any キーワードを指定します(ステップ 1を参照)。実際のインターフェイスとマッピング インターフェイスの間のすべてのトラフィックを変換する場合、 any キーワードを使用します。

マッピング アドレス:ホスト アドレスを含むネットワーク オブジェクトを指定します(ステップ 2を参照)。このマッピング オブジェクトは、必要に応じて、別のダイナミック PAT 規則と共有できます。マッピング インターフェイスの IP アドレスを使用するには、 interface キーワードを指定します(ルーテッド モードのみ)。このオプションでは、 mapped_ifc に特定のインターフェイスを設定する必要があります。

宛先アドレス:

マッピング アドレス:ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します(ステップ 4を参照)。 interface を指定する場合は、必ず service キーワードも設定します。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

実際のアドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 3を参照)。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

宛先ポート:実際のサービス オブジェクトおよびマッピング サービス オブジェクトとともに、 service キーワードを設定します(ステップ 5を参照)。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

 

 

(続き)

(送信元専用規則の場合)DNS: dns キーワードによって DNS 応答が変換されます。DNS 検査がイネーブルになっていることを確認してください(デフォルトではイネーブルです)。 宛先 アドレスを設定する場合、 dns キーワードは設定できません。詳細については、「DNS および NAT」を参照してください。

非アクティブ:コマンドを削除する必要なくこの規則を非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

説明: description キーワードを使用して、最大 200 文字の説明を入力します。

スタティック NAT またはポート変換を設定したスタティック NAT の設定

この項では、Twice NAT を使用してスタティック NAT 規則を設定する方法について説明します。スタティック NAT の詳細については、「スタティック NAT」を参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network MyInsNet

hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0

実際の送信元アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。詳細については、「オブジェクトの設定」を参照してください。

ステップ 2

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network MyInsNet_mapped

hostname(config-network-object)# subnet 192.168.1.0 255.255.255.0

マッピングされた送信元アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

スタティック NAT のマッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、 interface キーワードを指定できます。この手順をスキップしてください。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 3

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1

hostname(config-network-object)# host 209.165.201.8

実際の宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。詳細については、「オブジェクトの設定」を参照してください。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動での規則の順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクトと Twice NAT の主な違い」を参照してください。

ステップ 4

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1_mapped

hostname(config-network-object)# host 10.1.1.67

マッピングされた宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

宛先変換は、常にスタティックです。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。この手順をスキップしてください。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、 interface キーワードを指定できます。この手順をスキップしてください。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 5

(オプション)

object service obj_name

service { tcp | udp } [ source operator port ] [ destination operator port ]
 
 

hostname(config)# object service REAL_SRC_SVC

hostname(config-service-object)# service tcp source eq 80

 

hostname(config)# object service MAPPED_SRC_SVC

hostname(config-service-object)# service tcp source eq 8080

次のポートのサービス オブジェクトを設定します。

送信元 または 宛先の実際の TCP または UDP ポート

送信元 または 宛先のマッピングされた TCP または UDP ポート

サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。両方のサービス オブジェクトに、送信元ポートまたは宛先ポートの いずれか を指定する必要があります。アプリケーションで固定の送信元ポートが使用される場合(一部の DNS サーバなど)には、送信元ポートと宛先オートの両方だけを指定しますが、固定の送信元ポートはほとんどありません。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方が同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal」( neq )演算子は、サポートされていません。

ステップ 6

nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-object [ line ]}]
source static real_obj [ mapped_obj | interface ]
[ destination static { mapped_obj | interface } real_obj ]
[ service real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

 

hostname(config)# nat (inside,dmz) source static MyInsNet MyInsNet_mapped destination static Server1 Server1 service REAL_SRC_SVC MAPPED_SRC_SVC

スタティック NAT を設定します。次のガイドラインを参照してください。

インターフェイス:実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。1 つまたは両方のインターフェイスに any キーワードを指定することもできます。

行:デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます。セクションの詳細については、「NAT 規則の順序」を参照してください。セクション 1 ではなく、セクション 3(ネットワーク オブジェクト NAT 規則の後ろ)に規則を追加する場合、 after-auto キーワードを使用します。規則は、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

送信元アドレス:

実際のアドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 1を参照)。

マッピング アドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 2を参照)。ポート変換を設定したスタティック インターフェイス NAT に限り、 interface キーワードを指定できます(ルーテッド モートのみ)。 interface を指定する場合、 service キーワードも設定します(この場合、サービス オブジェクトは送信元ポートだけを含む必要があります)。このオプションでは、 mapped_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

宛先アドレス:

マッピング アドレス:ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します(ステップ 4を参照)。 interface を指定する場合、必ず service キーワードも設定します(この場合、サービス オブジェクトは宛先ポートだけを含む必要があります)。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。

実際のアドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 3を参照)。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

 

 

(続き)

宛先ポート:実際のサービス オブジェクトおよびマッピング サービス オブジェクトとともに、 service キーワードを設定します(ステップ 5を参照)。送信元ポートの変換では、コマンド内のサービス オブジェクトの順序は、 service real mapped です。宛先ポートの変換では、サービス オブジェクトの順序は、 service mapped real です。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、最初のサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。2 つめのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

(送信元専用規則の場合)DNS: dns キーワードによって DNS 応答が変換されます。DNS 検査がイネーブルになっていることを確認してください(デフォルトではイネーブルです)。 宛先 アドレスを設定する場合、 dns キーワードは設定できません。詳細については、「DNS および NAT」を参照してください。

非アクティブ:コマンドを削除する必要なくこの規則を非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

説明: description キーワードを使用して、最大 200 文字の説明を入力します。

 

アイデンティティ NAT の設定

この項では、Twice NAT を使用してアイデンティティ NAT 規則を設定する方法について説明します。スタティック NAT 規則を使用して、アドレスを自身にマッピングするアイデンティティ NAT を設定します。アイデンティティ NAT の詳細については、「アイデンティティ NAT」を参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network MyInsNet

hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0

実際の送信元アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。詳細については、「オブジェクトの設定」を参照してください。

これらは、アイデンティティ NAT を実行するアドレスです。すべてのアドレスに対してアイデンティティ NAT を実行する場合、実際の送信元アドレスを設定するのではなく、 any any キーワードを使用できます。この手順をスキップしてください。

ステップ 2

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1

hostname(config-network-object)# host 209.165.201.8

実際の宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

Twice NAT の主な機能は、宛先 IP アドレスを含めることですが、宛先アドレスはオプションです。宛先アドレスを指定した場合、このアドレスにスタティック変換を設定できるか、単にアイデンティティ NAT を使用できます。宛先アドレスを使用せずに Twice NAT を設定して、実際のアドレスに対するネットワーク オブジェクト グループの使用または手動での規則の順序付けを含む、Twice NAT の他の特質の一部を活用することができます。詳細については、「ネットワーク オブジェクトと Twice NAT の主な違い」を参照してください。

ステップ 3

(オプション)

ネットワーク オブジェクト:

object network obj_name

{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 }

 

ネットワーク オブジェクト グループ:

object-group network grp_name

{ network-object { object net_obj_name | subnet_address netmask | host ip_address } | group-object grp_obj_name }
 
 

hostname(config)# object network Server1_mapped

hostname(config-network-object)# host 10.1.1.67

マッピングされた宛先アドレスを設定します。

ネットワーク オブジェクトまたはネットワーク オブジェクト グループのいずれかを設定できます。

宛先変換は、常にスタティックです。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。この手順をスキップしてください。

宛先アドレスを変換する場合、スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。

ポート変換が設定されたスタティック インターフェイス NAT では、マッピング アドレスのネットワーク オブジェクト/グループではなく、 interface キーワードを指定できます。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。

ステップ 4

(オプション)

object service obj_name

service { tcp | udp } [ source operator port ] [ destination operator port ]
 
 

hostname(config)# object service REAL_SRC_SVC

hostname(config-service-object)# service tcp source eq 80

 

hostname(config)# object service MAPPED_SRC_SVC

hostname(config-service-object)# service tcp source eq 8080

次のポートのサービス オブジェクトを設定します。

送信元 または 宛先の実際の TCP または UDP ポート

送信元 または 宛先のマッピングされた TCP または UDP ポート

サービス オブジェクトは、送信元ポートと宛先ポートの両方を含むことができます。両方のサービス オブジェクトに、送信元ポートまたは宛先ポートの いずれか を指定する必要があります。アプリケーションで固定の送信元ポートが使用される場合(一部の DNS サーバなど)には、送信元ポートと宛先オートの両方だけを指定しますが、固定の送信元ポートはほとんどありません。NAT では、TCP または UDP だけがサポートされます。ポートを変換する場合、実際のサービス オブジェクトのプロトコルとマッピング サービス オブジェクトのプロトコルの両方が同じにします(両方とも TCP または両方とも UDP)。アイデンティティ NAT では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用できます。「not equal」( neq )演算子は、サポートされていません。

ステップ 5

nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-object [ line ]}]
source static { nw_obj nw_obj | any any }
[ destination static { mapped_obj | interface } real_obj ]
[ service real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj ] [ inactive ] [ description desc ]

 

hostname(config)# nat (inside,outside) source static MyInsNet MyInsNet destination static Server1 Server1

アイデンティティ NAT を設定します。次のガイドラインを参照してください。

インターフェイス:実際のインターフェイスおよびマッピング インターフェイスを指定しない場合、すべてのインターフェイスが使用されます。1 つまたは両方のインターフェイスに any キーワードを指定することもできます。

行:デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます。セクションの詳細については、「NAT 規則の順序」を参照してください。セクション 1 ではなく、セクション 3(ネットワーク オブジェクト NAT 規則の後ろ)に規則を追加する場合、 after-auto キーワードを使用します。規則は、 line 引数を使用して、適切なセクションの任意の場所に挿入できます。

宛先アドレス:実際のアドレスとマッピング アドレスの両方にネットワーク オブジェクト、グループ、または any キーワードを指定します(ステップ 1を参照)。

宛先アドレス:

マッピング アドレス:ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、 interface キーワードを指定します(ルーテッド モードのみ)(ステップ 3を参照)。 interface を指定する場合、必ず service キーワードも設定します(この場合、サービス オブジェクトは宛先ポートだけを含む必要があります)。このオプションでは、 real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック インターフェイス NAT」を参照してください。

実際のアドレス:異なるネットワーク オブジェクトまたはグループを指定します(ステップ 2を参照)。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

宛先ポート:実際のサービス オブジェクトおよびマッピング サービス オブジェクトとともに、 service キーワードを設定します(ステップ 4を参照)。送信元ポートの変換では、コマンド内のサービス オブジェクトの順序は、 service real mapped です。宛先ポートの変換では、サービス オブジェクトの順序は、 service mapped real です。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、最初のサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。2 つめのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

 

 

(続き)

非アクティブ:コマンドを削除する必要なくこの規則を非アクティブにするには、 inactive キーワードを使用します。再度アクティブ化するには、 inactive キーワードを除いてコマンド全体を再入力します。

説明: description キーワードを使用して、最大 200 文字の説明を入力します。

Twice NAT のモニタリング

Twice NAT をモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show nat

各 NAT 規則のヒットを含む NAT の統計情報を表示します。

show nat pool

割り当てられたアドレスとホスト、および割り当て回数を含む、NAT プールの統計情報を表示します。

show xlate

現在の NAT セッション情報を表示します。

Twice NAT の設定例

この項では、次の設定例を示します。

「宛先に応じて異なる変換(ダイナミック PAT)」

「宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)」

宛先に応じて異なる変換(ダイナミック PAT)

図 27-1 に、2 台の異なるサーバにアクセスしている 10.1.2.0/24 ネットワークのホストを示します。ホストがサーバ 209.165.201.11 にアクセスすると、実際のアドレスは 209.165.202.129: ポート に変換されます。ホストがサーバ 209.165.200.225 にアクセスすると、実際のアドレスは 209.165.202.130: ポート に変換されます。

図 27-1 異なる宛先アドレスを使用する Twice NAT

 


ステップ 1 内部ネットワークのネットワーク オブジェクトを追加します。

hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
 

ステップ 2 DMZ ネットワーク 1 のネットワーク オブジェクトを追加します。

hostname(config)# object network DMZnetwork1
hostname(config-network-object)# subnet 209.165.201.0 255.255.255.224
 

ステップ 3 PAT アドレスのネットワーク オブジェクトを追加します。

hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
 

ステップ 4 最初の Twice NAT 規則を設定します。

hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination static DMZnetwork1 DMZnetwork1

 

宛先アドレスは変換しないため、実際の宛先アドレスとマッピング宛先アドレスの両方に同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。

デフォルトでは、NAT 規則は NAT テーブルのセクション 1 の末尾に追加されます。NAT 規則のセクションおよび行番号の指定の詳細については、「ダイナミック PAT(隠蔽)の設定」を参照してください。

ステップ 5 DMZ ネットワーク 2 のネットワーク オブジェクトを追加します。

hostname(config)# object network DMZnetwork2
hostname(config-network-object)# subnet 209.165.200.224 255.255.255.224
 

ステップ 6 PAT アドレスのネットワーク オブジェクトを追加します。

hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
 

ステップ 7 2 つめの Twice NAT 規則を設定します。

hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress2 destination static DMZnetwork2 DMZnetwork2

 


 

宛先アドレスおよびポートに応じて異なる変換(ダイナミック PAT)

図 27-2 に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワークのホストは Web サービスと Telnet サービスの両方を提供する 1 つのホストにアクセスします。ホストが Web サービスを求めてサーバにアクセスすると、実際のアドレスは 209.165.202.129: ポート に変換されます。ホストが Telnet サービスを求めて同じサーバにアクセスすると、実際のアドレスは 209.165.202.130: ポート に変換されます。

図 27-2 異なる宛先ポートを使用する Twice NAT

 


ステップ 1 内部ネットワークのネットワーク オブジェクトを追加します。

hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
 

ステップ 2 Telnet/Web サーバのネットワーク オブジェクトを追加します。

hostname(config)# object network TelnetWebServer
hostname(config-network-object)# host 209.165.201.11
 

ステップ 3 Telnet を使用するときは、PAT アドレスのネットワーク オブジェクトを追加します。

hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
 

ステップ 4 Telnet のサービス オブジェクトを追加します。

hostname(config)# object service TelnetObj
hostname(config-network-object)# service tcp destination eq telnet
 

ステップ 5 最初の Twice NAT 規則を設定します。

hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress1 destination static TelnetWebServer TelnetWebServer service TelnetObj TelnetObj

 

宛先アドレスまたはポートを変換しないため、実際の宛先アドレスとマッピング宛先アドレスに同じアドレスを指定し、実際のサービスとマッピング サービスに同じポートを指定することによって、アイデンティティ NAT を設定する必要があります。

デフォルトでは、NAT 規則は NAT テーブルのセクション 1 の末尾に追加されます。NAT 規則のセクションおよび行番号の指定の詳細については、「ダイナミック PAT(隠蔽)の設定」を参照してください。

ステップ 6 HTTP を使用するときは、PAT アドレスのネットワーク オブジェクトを追加します。

hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
 

ステップ 7 HTTP のサービス オブジェクトを追加します。

hostname(config)# object service HTTPObj
hostname(config-network-object)# service tcp destination eq http
 

ステップ 8 2 つめの Twice NAT 規則を設定します。

hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress2 destination static TelnetWebServer TelnetWebServer service HTTPObj HTTPObj

 


 

Twice NAT の機能履歴

表 27-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 27-1 Twice NAT の機能履歴

機能名
プラットフォーム リリース
機能情報

Twice NAT

8.3(1)

Twice NAT では、1 つの規則で送信元アドレスおよび宛先アドレスの両方を識別できます。

nat show nat show xlate show nat pool コマンドが変更または導入されました。