アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

ASA の後ろの公共 IP アドレスを探すホスト間の LAN 通信

ダウンロード オプション

  • PDF     (455.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (318.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (239.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 8 月 19 日
Document ID:213531
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

目次

はじめに
前提条件
要件
使用するコンポーネント
問題: ASA の後ろの公共 IP アドレスを探すホスト間の LAN 通信
例 1: 宛先 ホスト テスト サーバは DMZ インターフェイスに接続されるが、ソースホスト PC-A は内部 ASA インターフェイスに接続されます。
Example 2.:。 送信元および宛先ホスト PC-A およびテスト サーバは同じに内部 ASA インターフェイス接続されます。
Example 3.:。 送信元および宛先ホスト PC-A およびテスト サーバは内部 ASA インターフェイスに、別のレイヤ3 デバイス(それはルータまたはマルチレイヤ スイッチである可能性があります)の後ろで接続されます。
解決策
例 1: 宛先 ホスト テスト サーバは DMZ インターフェイスに接続されるが、ソースホスト PC-A は内部 ASA インターフェイスに接続されます。
設定
トラブルシューティング
Example 2.:。 送信元および宛先ホスト PC-A およびテスト サーバは同じに内部 ASA インターフェイス接続されます。
設定 
トラブルシューティング
Example 3.:。 送信元および宛先ホスト PC-A およびテスト サーバは内部 ASA インターフェイスに、別のレイヤ3 デバイス(それはルータまたはマルチレイヤ スイッチである可能性があります)の後ろで接続されます。
設定 
トラブルシューティング
関連情報

    概要

    この資料はからのの後ろの公共 IP アドレスを適応型セキュリティ アプライアンス(ASA)ソフトウェア 探すホスト間のローカルエリア・ネットワーク(LAN)通信を可能にすることを必要とする異なるネットワーク 実装を記述したものです(ASA)。

    前提条件

    要件

    次の項目に関する知識が推奨されます。

    • Cisco 基本的な ASA NAT 設定、バージョン 8.3 および それ 以上。  

    • Cisco 基本的な ASA NAT 設定、バージョン 8.2 およびより古い。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

    • ASA5500 および ASA5500-X シリーズ。
    • Cisco ASA バージョン 8.3 および それ 以上。
    • Cisco ASA バージョン 8.2 およびより古い。

    本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

    問題: ASA の後ろの公共 IP アドレスを探すホスト間の LAN 通信

    次のセクションでは、ASA の後ろの公共 IP アドレスを探すホスト間の LAN 通信を可能にするためにこの通信要件を示す 3 つのトポロジー例を表示できます

    例 1: 宛先 ホスト テスト サーバは DMZ インターフェイスに接続されるが、ソースホスト PC-A は内部 ASA インターフェイスに接続されます。

    Example 2.:。 送信元および宛先ホスト PC-A およびテスト サーバは同じに内部 ASA インターフェイス接続されます。

    Example 3.:。 送信元および宛先ホスト PC-A およびテスト サーバは内部 ASA インターフェイスに、別のレイヤ3 デバイス(それはルータまたはマルチレイヤ スイッチである可能性があります)の後ろで接続されます。

    : 3 つのイメージのテスト サーバに ASA で設定される静的なネットワークアドレス変換(NAT)が、この静的NAT交換外部から対応した内部インターフェースへの適用しますテスト サーバがパブリックIPアドレス 64.100.0.5 の外部から到達可能であるようにありますそしてこれはテスト サーバ 内部私用 IP アドレスに変換されます。 

    解決策

    ソースホスト PC-A が宛先に到達するようにするために私用ものの代りにパブリックIPアドレスのサーバを、私達 NAT 設定を二度適用する必要がありますテストして下さい。 二度 NAT 設定はトラフィックが ASA を通るとき私達がパケットの送信元および宛先 IP アドレス両方を変換するのを助けます。

    ここに各トポロジーに必要な二度 NAT 設定の詳細:

    例 1: 宛先 ホスト テスト サーバは DMZ インターフェイスに接続されるが、ソースホスト PC-A は内部 ASA インターフェイスに接続されます。

    設定

    ASA バージョン 8.3 および それ 以降のための二度 NAT:

    object network obj-10.1.1.5
     host 10.1.1.5

    object network obj-172.16.1.5
     host 172.16.1.5

    object network obj-64.100.0.5
     host 64.100.0.5

    nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5

    NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

    WARNING: All traffic destined to the IP address of the outside interface is being redirected.
    WARNING: Users may not be able to access any service enabled on the outside interface.

    ASA バージョン 8.2 のための二度 NAT およびより古い:

    access-list IN-DMZ-INTERFACE extended permit ip host 10.1.1.5 host 64.100.0.5
    static (inside,dmz) interface access-list IN-DMZ-INTERFACE

    access-list DMZ-IN-INTERFACE extended permit ip host 172.16.1.5 host 172.16.1.1
    static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE

    トラブルシューティング

    パケット トレーサー出力バージョン 8.3 および それ 以降:

    ASA# packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80

    Phase: 1
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 2
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5
    Additional Information:
    NAT divert to egress interface dmz
    Untranslate 64.100.0.5/80 to 172.16.1.5/80

    Phase: 3
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5
    Additional Information:
    Static translate 10.1.1.5/123 to 172.16.1.1/123

    Phase: 4
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 5
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 6
    Type: NAT
    Subtype: rpf-check
    Result: ALLOW
    Config:
    nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5
    Additional Information:

    Phase: 7
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 167632, packet dispatched to next module

    Result: 
    input-interface: inside
    input-status: up
    input-line-status: up
    output-interface: dmz
    output-status: up
    output-line-status: up
    Action: allow

    パケット トレーサー出力バージョン 8.2 およびより古い:

    ASA#packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80 

    Phase: 1
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE 
     match ip dmz host 172.16.1.5 inside host 172.16.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:
    NAT divert to egress interface dmz
    Untranslate 64.100.0.5/0 to 172.16.1.5/0 using netmask 255.255.255.255

    Phase: 2
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 3
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config: 
    static (inside,dmz) interface access-list IN-DMZ-INTERFACE 
     match ip inside host 10.1.1.5 dmz host 64.100.0.5
     static translation to 172.16.1.1
     translate_hits = 1, untranslate_hits = 0
    Additional Information:
    Static translate 10.1.1.5/0 to 172.16.1.1/0 using netmask 255.255.255.255

    Phase: 4
    Type: NAT
    Subtype: host-limits
    Result: ALLOW
    Config:
    static (inside,dmz) interface access-list IN-DMZ-INTERFACE 
     match ip inside host 10.1.1.5 dmz host 64.100.0.5
     static translation to 172.16.1.1
     translate_hits = 1, untranslate_hits = 0
    Additional Information:

    Phase: 5
    Type: NAT
    Subtype: rpf-check
    Result: ALLOW
    Config:
    static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE 
     match ip dmz host 172.16.1.5 inside host 172.16.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:

    Phase: 6
    Type: NAT
    Subtype: host-limits
    Result: ALLOW
    Config:
    static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE 
     match ip dmz host 172.16.1.5 inside host 172.16.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:

    Phase: 7
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8 
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 503, packet dispatched to next module

    Result:
    input-interface: inside
    input-status: up
    input-line-status: up
    output-interface: dmz
    output-status: up
    output-line-status: up
    Action: allow

    パケット キャプチャ:

    ASA# sh cap
    capture capin type raw-data interface inside [Capturing - 1300 bytes] 
     match ip host 10.1.1.5 host 64.100.0.5 
    capture capout type raw-data interface dmz [Capturing - 1300 bytes] 
     match ip host 172.16.1.1 host 172.16.1.5 

    ASA# sh cap capin

    10 packets captured
     1: 12:36:28.245455 10.1.1.5 > 64.100.0.5: icmp: echo request 
     2: 12:36:28.269441 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     3: 12:36:28.303451 10.1.1.5 > 64.100.0.5: icmp: echo request 
     4: 12:36:28.333692 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     5: 12:36:28.372478 10.1.1.5 > 64.100.0.5: icmp: echo request 
     6: 12:36:28.395563 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     7: 12:36:28.422402 10.1.1.5 > 64.100.0.5: icmp: echo request 
     8: 12:36:28.449241 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     9: 12:36:28.481420 10.1.1.5 > 64.100.0.5: icmp: echo request 
     10: 12:36:28.507435 64.100.0.5 > 10.1.1.5: icmp: echo reply 
    10 packets shown

    ASA1# sh cap capout

    10 packets captured
     1: 12:36:28.245730 172.16.1.1 > 172.16.1.5: icmp: echo request 
     2: 12:36:28.269395 172.16.1.5 > 172.16.1.1: icmp: echo reply 
     3: 12:36:28.303725 172.16.1.1 > 172.16.1.5: icmp: echo request 
     4: 12:36:28.333646 172.16.1.5 > 172.16.1.1: icmp: echo reply 
     5: 12:36:28.372737 172.16.1.1 > 172.16.1.5: icmp: echo request 
     6: 12:36:28.395533 172.16.1.5 > 172.16.1.1: icmp: echo reply 
     7: 12:36:28.422661 172.16.1.1 > 172.16.1.5: icmp: echo request 
     8: 12:36:28.449195 172.16.1.5 > 172.16.1.1: icmp: echo reply 
     9: 12:36:28.481695 172.16.1.1 > 172.16.1.5: icmp: echo request 
     10: 12:36:28.507404 172.16.1.5 > 172.16.1.1: icmp: echo reply 
    10 packets shown

    Example 2.:。 送信元および宛先ホスト PC-A およびテスト サーバは同じに内部 ASA インターフェイス接続されます。

    設定 

    ASA バージョン 8.3 および それ 以降のための二度 NAT:

    object network obj-10.1.1.5
     host 10.1.1.5

    object network obj-10.1.1.6
     host 10.1.1.6

    object network obj-64.100.0.5
     host 64.100.0.5

    nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6

    NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

    WARNING: All traffic destined to the IP address of the outside interface is being redirected.
    WARNING: Users may not be able to access any service enabled on the outside interface.

    ASA バージョン 8.2 のための二度 NAT およびより古い:

    access-list IN-OUT-INTERFACE extended permit ip host 10.1.1.5 host 64.100.0.5
    static (inside,inside) interface access-list IN-OUT-INTERFACE

    access-list OUT-IN-INTERFACE extended permit ip host 10.1.1.6 host 10.1.1.1
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE

    : ASA が非対称 ルーティングによる興味があるトラフィックをブロックするこの例でしたようにソース IP アドレスを変換しない場合 10.1.1.5 からのインターフェイス IP アドレス 10.1.1.1 の中の ASA へのソース IP アドレスのための NAT 変換の主要な意図が、これ非常に必要となります非対称 ルーティングを避け、ASA が興味があるホスト間のトラフィックすべてを処理するようにホスト 10.1.1.6 から ASA に戻ることを来る応答を強制することです

    トラブルシューティング

    パケット トレーサー出力バージョン 8.3 および それ 以降:

    ASA# packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80

    Phase: 1
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6
    Additional Information:
    NAT divert to egress interface inside
    Untranslate 64.100.0.5/80 to 10.1.1.6/80

    Phase: 2
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6
    Additional Information:
    Static translate 10.1.1.5/123 to 10.1.1.1/123

    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule 
    Additional Information:

    Phase: 4
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 5
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 6
    Type: NAT
    Subtype: rpf-check
    Result: ALLOW
    Config:
    nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6
    Additional Information:
     
    Phase: 7
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 167839, packet dispatched to next module

    Result:
    input-interface: inside
    input-status: up
    input-line-status: up
    output-interface: inside
    output-status: up
    output-line-status: up
    Action: allow

    パケット トレーサー出力バージョン 8.2 およびより古い:

    ASA# packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80

    Phase: 1
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
     match ip inside host 10.1.1.6 inside host 10.1.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:
    NAT divert to egress interface inside
    Untranslate 64.100.0.5/0 to 10.1.1.6/0 using netmask 255.255.255.255

    Phase: 2
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:

    Phase: 3
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW 
    Config:
    Additional Information:

    Phase: 4
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    static (inside,inside) interface access-list IN-OUT-INTERFACE 
     match ip inside host 10.1.1.5 inside host 64.100.0.5
     static translation to 10.1.1.1
     translate_hits = 1, untranslate_hits = 0
    Additional Information:
    Static translate 10.1.1.5/0 to 10.1.1.1/0 using netmask 255.255.255.255

    Phase: 5
    Type: NAT
    Subtype: host-limits
    Result: ALLOW
    Config:
    static (inside,inside) interface access-list IN-OUT-INTERFACE 
     match ip inside host 10.1.1.5 inside host 64.100.0.5
     static translation to 10.1.1.1
     translate_hits = 1, untranslate_hits = 0
    Additional Information:

    Phase: 6
    Type: NAT
    Subtype: rpf-check
    Result: ALLOW
    Config:
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
     match ip inside host 10.1.1.6 inside host 10.1.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:

    Phase: 7
    Type: NAT
    Subtype: host-limits
    Result: ALLOW
    Config:
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
     match ip inside host 10.1.1.6 inside host 10.1.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:
     
    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 727, packet dispatched to next module

    Result:
    input-interface: inside
    input-status: up
    input-line-status: up
    output-interface: inside
    output-status: up
    output-line-status: up
    Action: allow

    パケット キャプチャ:

    ASA# sh cap
    capture capin type raw-data interface inside [Capturing - 1300 bytes] 
     match ip host 10.1.1.5 host 64.100.0.5 
    capture capout type raw-data interface inside [Capturing - 1300 bytes] 
     match ip host 10.1.1.1 host 10.1.1.6

    ASA# sh cap capin

    10 packets captured
     1: 12:50:39.304748 10.1.1.5 > 64.100.0.5: icmp: echo request 
     2: 12:50:39.335431 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     3: 12:50:39.368389 10.1.1.5 > 64.100.0.5: icmp: echo request 
     4: 12:50:39.389368 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     5: 12:50:39.398432 10.1.1.5 > 64.100.0.5: icmp: echo request 
     6: 12:50:39.418176 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     7: 12:50:39.419732 10.1.1.5 > 64.100.0.5: icmp: echo request 
     8: 12:50:39.425103 64.100.0.5 > 10.1.1.5: icmp: echo reply 
     9: 12:50:39.434395 10.1.1.5 > 64.100.0.5: icmp: echo request 
     10: 12:50:39.438423 64.100.0.5 > 10.1.1.5: icmp: echo reply 
    10 packets shown

    ASA2# sh cap capout

    10 packets captured
     1: 12:50:39.305282 10.1.1.1 > 10.1.1.6: icmp: echo request 
     2: 12:50:39.335386 10.1.1.6 > 10.1.1.1: icmp: echo reply 
     3: 12:50:39.368663 10.1.1.1 > 10.1.1.6: icmp: echo request 
     4: 12:50:39.389307 10.1.1.6 > 10.1.1.1: icmp: echo reply 
     5: 12:50:39.398706 10.1.1.1 > 10.1.1.6: icmp: echo request 
     6: 12:50:39.418130 10.1.1.6 > 10.1.1.1: icmp: echo reply 
     7: 12:50:39.419762 10.1.1.1 > 10.1.1.6: icmp: echo request 
     8: 12:50:39.425072 10.1.1.6 > 10.1.1.1: icmp: echo reply 
     9: 12:50:39.434669 10.1.1.1 > 10.1.1.6: icmp: echo request 
     10: 12:50:39.438392 10.1.1.6 > 10.1.1.1: icmp: echo reply 
    10 packets shown

    Example 3.:。 送信元および宛先ホスト PC-A およびテスト サーバは内部 ASA インターフェイスに、別のレイヤ3 デバイス(それはルータまたはマルチレイヤ スイッチである可能性があります)の後ろで接続されます。

    設定 

    ASA バージョン 8.3 および それ 以降のための二度 NAT:

    object network obj-10.2.2.5
     host 10.2.2.5

    object network obj-10.3.3.6
     host 10.3.3.6

    object network obj-64.100.0.5
     host 64.100.0.5

    nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6

    NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

    WARNING: All traffic destined to the IP address of the outside interface is being redirected.
    WARNING: Users may not be able to access any service enabled on the outside interface.

    ASA バージョン 8.2 のための二度 NAT およびより古い:

    access-list IN-OUT-INTERFACE extended permit ip host 10.2.2.5 host 64.100.0.5
    static (inside,inside) interface access-list IN-OUT-INTERFACE

    access-list OUT-IN-INTERFACE extended permit ip host 10.3.3.6 host 10.1.1.1
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE

    10.1.1.5 からのインターフェイス IP アドレスの中の ASA へのソース IP アドレスのための NAT 変換の主要な意図(この例でソース IP アドレスをように私達した変換しない場合ホスト 10.1.1.6 から ASA に戻すことを来る非対称 ルーティングを避け、ASA が興味があるホスト間のトラフィックすべてを処理するように強制することが応答をこれ非常に必要となります 10.1.1.1)あります、ASA は非対称 ルーティングによる興味があるトラフィックをブロックします。

    トラブルシューティング

    パケット トレーサー出力バージョン 8.3 および それ 以降:

    ASA# packet-tracer input inside tcp 10.2.2.5 123 64.100.0.5 80

    Phase: 1
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6
    Additional Information:
    NAT divert to egress interface inside
    Untranslate 64.100.0.5/80 to 10.3.3.6/80

    Phase: 2
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6
    Additional Information:
    Static translate 10.2.2.5/123 to 10.1.1.1/123

    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule 
    Additional Information:

    Phase: 4
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 5
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 6
    Type: NAT
    Subtype: rpf-check
    Result: ALLOW
    Config:
    nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6
    Additional Information:
     
    Phase: 7
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 167945, packet dispatched to next module

    Result:
    input-interface: inside
    input-status: up
    input-line-status: up
    output-interface: inside
    output-status: up
    output-line-status: up
    Action: allow

    パケット トレーサー出力バージョン 8.2 およびより古い:

    ASA# packet-tracer input inside tcp 10.2.2.5 123 64.100.0.5 80

    Phase: 1
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
     match ip inside host 10.3.3.6 inside host 10.1.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:
    NAT divert to egress interface inside
    Untranslate 64.100.0.5/0 to 10.3.3.6/0 using netmask 255.255.255.255

    Phase: 2
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:

    Phase: 3
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW 
    Config:
    Additional Information:

    Phase: 4
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    static (inside,inside) interface access-list IN-OUT-INTERFACE 
     match ip inside host 10.2.2.5 inside host 64.100.0.5
     static translation to 10.1.1.1
     translate_hits = 1, untranslate_hits = 0
    Additional Information:
    Static translate 10.2.2.5/0 to 10.1.1.1/0 using netmask 255.255.255.255

    Phase: 5
    Type: NAT
    Subtype: host-limits
    Result: ALLOW
    Config:
    static (inside,inside) interface access-list IN-OUT-INTERFACE 
     match ip inside host 10.2.2.5 inside host 64.100.0.5
     static translation to 10.1.1.1
     translate_hits = 1, untranslate_hits = 0
    Additional Information:

    Phase: 6
    Type: NAT
    Subtype: rpf-check
    Result: ALLOW
    Config:
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
     match ip inside host 10.3.3.6 inside host 10.1.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:

    Phase: 7
    Type: NAT
    Subtype: host-limits
    Result: ALLOW
    Config:
    static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
     match ip inside host 10.3.3.6 inside host 10.1.1.1
     static translation to 64.100.0.5
     translate_hits = 0, untranslate_hits = 1
    Additional Information:
     
    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 908, packet dispatched to next module

    Result:
    input-interface: inside
    input-status: up
    input-line-status: up
    output-interface: inside
    output-status: up
    output-line-status: up
    Action: allow

    パケット キャプチャ:

    ASA# sh cap
    capture capin type raw-data interface inside [Capturing - 1300 bytes] 
     match ip host 10.2.2.5 host 64.100.0.5 
    capture capout type raw-data interface inside [Capturing - 1300 bytes] 
     match ip host 10.1.1.1 host 10.3.3.6 

    ASA# sh cap capin

    10 packets captured
     1: 13:06:09.302047 10.2.2.5 > 64.100.0.5: icmp: echo request 
     2: 13:06:09.315276 64.100.0.5 > 10.2.2.5: icmp: echo reply 
     3: 13:06:09.342221 10.2.2.5 > 64.100.0.5: icmp: echo request 
     4: 13:06:09.381266 64.100.0.5 > 10.2.2.5: icmp: echo reply 
     5: 13:06:09.421227 10.2.2.5 > 64.100.0.5: icmp: echo request 
     6: 13:06:09.459204 64.100.0.5 > 10.2.2.5: icmp: echo reply 
     7: 13:06:09.494939 10.2.2.5 > 64.100.0.5: icmp: echo request 
     8: 13:06:09.534258 64.100.0.5 > 10.2.2.5: icmp: echo reply 
     9: 13:06:09.564210 10.2.2.5 > 64.100.0.5: icmp: echo request 
     10: 13:06:09.593261 64.100.0.5 > 10.2.2.5: icmp: echo reply 
    10 packets shown

    ASA# sh cap capout

    10 packets captured
     1: 13:06:09.302367 10.1.1.1 > 10.3.3.6: icmp: echo request 
     2: 13:06:09.315230 10.3.3.6 > 10.1.1.1: icmp: echo reply 
     3: 13:06:09.342526 10.1.1.1 > 10.3.3.6: icmp: echo request 
     4: 13:06:09.381221 10.3.3.6 > 10.1.1.1: icmp: echo reply 
     5: 13:06:09.421517 10.1.1.1 > 10.3.3.6: icmp: echo request 
     6: 13:06:09.459174 10.3.3.6 > 10.1.1.1: icmp: echo reply 
     7: 13:06:09.495244 10.1.1.1 > 10.3.3.6: icmp: echo request 
     8: 13:06:09.534213 10.3.3.6 > 10.1.1.1: icmp: echo reply 
     9: 13:06:09.564500 10.1.1.1 > 10.3.3.6: icmp: echo request 
     10: 13:06:09.593215 10.3.3.6 > 10.1.1.1: icmp: echo reply 
    10 packets shown

    関連情報

    TAC Authored

    シスコ エンジニア提供

    • Christian G Hernandez R
      Cisco TAC エンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    関連するシスコ コミュニティ ディスカッション

    このドキュメントは次の製品に対応しています

    シスコをフォロー
    Newsroomイベントブログコミュニティ
    シスコについて
    お問い合わせ
    採用情報