CHAPTER
29
スタティック NAT の設定
この章では、スタティック ネットワーク変換を設定する方法について説明します。次の項目を取り上
げます。
• 「スタティック NAT に関する情報」(P.29-1)
• 「スタティック NAT のライセンス要件」(P.29-2)
• 「ガイドラインと制限事項」(P.29-2)
• 「デフォルト設定」(P.29-3)
• 「スタティック NAT の設定」(P.29-3)
• 「スタティック NAT の監視」(P.29-7)
• 「スタティック NAT の設定例」(P.29-7)
• 「その他の参考資料」(P.29-9)
• 「スタティック NAT の機能履歴」(P.29-9)
スタティック NAT に関する情報
スタティック NAT では、実際のアドレスからマッピング アドレスへの固定変換が作成されます。ダイ
ナミック NAT および PAT では、各ホストは後続する変換ごとに異なるアドレスまたはポートを使用し
ます。スタティック NAT では、マッピング アドレスは連続する各接続で同じであり、永続的な変換規
則が存在するため、宛先ネットワークのホストは変換済みのホストへのトラフィックを開始できます
(そのトラフィックを許可するアクセスリストがある場合)。
ダイナミック NAT とスタティック NAT のアドレス範囲との主な違いは、スタティック NAT ではリ
モート ホストが変換済みのホストへの接続を開始でき(それを許可するアクセスリストがある場合)、
ダイナミック NAT では開始できないという点です。スタティック NAT では、実際のアドレスと同数
のマッピング アドレスも必要です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
29-1
第 29 章
スタティック NAT の設定
スタティック NAT のライセンス要件
図 29-1 に、一般的なスタティック NAT のシナリオを示します。この変換は常にアクティブであるの
で、変換済みのホストとリモート ホストの両方が接続を開始でき、マッピング アドレスは static コマ
ンドによってスタティックに割り当てられます。
図 29-1
スタティック NAT
10.1.1.1
209.165.201.1
10.1.1.2
209.165.201.2
ౝㇱ
ᄖㇱ
130035
ࠠࡘ࠹ࠖ
ࠕࡊࠗࠕࡦࠬ
スタティック NAT のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキスト モードのガイドライン」(P.29-2)
• 「ファイアウォール モードのガイドライン」(P.29-2)
• 「その他のガイドラインと制限事項」(P.29-2)
コンテキスト モードのガイドライン
• シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
• ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。
その他のガイドラインと制限事項
次の機能はスタティック NAT でサポートされていません。
• スタティック PAT を使用しないと、同一の実際のアドレスまたはマッピング アドレスを、同一の
2 つのインターフェイス間の複数の static コマンドで使用することはできません (詳細について
は、第 30 章「スタティック PAT の設定」を参照してください)。
• static コマンドで、同じマッピング インターフェイスの global コマンドでも定義されているマッ
ピング アドレスを使用しないでください。
nat コマンドに DNS サーバ内にエントリを持つホストのアドレスが含まれており、その DNS サーバが
クライアントと異なるインターフェイス上にある場合、クライアントと DNS サーバでホストのアドレ
スが異なっている必要があります。一方にはマッピング アドレスが、もう一方には実際のアドレスが
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
29-2
OL-18970-01-J
第 29 章
スタティック NAT の設定
デフォルト設定
必要です。このオプションにより、クライアントに対する DNS 応答内でアドレスが書き換えられま
す。変換済みのホストは、クライアントまたは DNS サーバのいずれかと同じインターフェイス上にあ
る必要があります。一般に、他のインターフェイスからのアクセスを許可する必要のあるホストはスタ
ティック変換を使用するため、このオプションは多くの場合、static コマンドで使用されます (詳細に
ついては、「DNS および NAT」(P.26-11)を参照してください)。
•
• static コマンドを削除した場合、変換を使用している既存の接続は影響を受けません。これらの接
続を削除するには、clear local-host コマンドを入力します。
• clear xlate コマンドで変換テーブルからスタティック変換を消去することはできません。static コ
マンドを削除する必要があります。clear xlate コマンドでは、nat コマンドおよび global コマンド
で作成したダイナミック変換だけを削除できます。
デフォルト設定
表 29-1 に、スタティック NAT のコマンド オプションとデフォルト設定を示します。
表 29-1
ポリシー NAT のコマンド オプションとデフォルト設定
コマンド
目的
norandomseq, tcp tcp_max_conns, udp
udp_max_conns, and emb_limit
これらのキーワードは、接続制限値を設定します。ただし、接続制限値の設
定には、より汎用的な方法を使用することをお勧めします。詳細について
は、第 53 章「接続の制限値とタイムアウトの設定」を参照してください。
tcp_max_conns、emb_limit、および udp_max_conns のデフォルト値は 0
(無制限)で、使用可能な最大値となります。
表 29-2
標準 NAT のコマンド オプションとデフォルト設定
nat_id
1 ~ 2147483647 の整数。NAT ID は、global コマンドの
NAT ID と一致する必要があります。NAT ID の使用方法の
詳細については、「ダイナミック NAT および PAT の実装に
関する情報」(P.28-5)を参照してください。0 は、アイデ
ンティティ NAT 用に予約されています。アイデンティティ
NAT の詳細については、「アイデンティティ NAT の設定」
(P.31-1)を参照してください。
その他のコマンド オプションの詳細については、表 29-1 の
「ポリシー NAT のコマンド オプションとデフォルト設定」
を参照してください。
スタティック NAT の設定
この項では、スタティック変換を設定する方法について説明します。次の項目を取り上げます。
• 「ポリシー スタティック NAT の設定」(P.29-4)
• 「標準スタティック NAT の設定」(P.29-6)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
29-3
第 29 章
スタティック NAT の設定
スタティック NAT の設定
ポリシー スタティック NAT の設定
「ポリシー NAT」を設定するときは、拡張アクセスリストを使用して、実際のアドレスと宛先 / 送信元
アドレスを指定します。ポリシー スタティック NAT を設定するには、次のコマンドを入力します。
コマンド
目的
static (real_interface,mapped_interface)
{mapped_ip | interface} access-list
acl_name [dns] [norandomseq] [[tcp]
tcp_max_conns [emb_limit]] [udp
udp_max_conns]
実際の IP アドレスをマッピング IP アドレスにマッピングすることで、永
続的な 1 対 1 のアドレス変換規則を設定します。
例:
hostname(config)# static (inside,outside)
209.165.202.129 access-list NET1
拡張アクセスリストを使用して、実際のアドレスと宛先 / 送信元アドレスを
指定します。access-list extended コマンドを使用して、拡張アクセスリス
トを作成します。アクセスリストの最初のアドレスは実際のアドレスです。
2 番目のアドレスは、送信元アドレスまたは宛先アドレスで、トラフィッ
クの発信源によって異なります (詳細については、第 11 章「拡張アクセス
リストの追加」を参照してください)。このアクセスリストには、許可
ACE だけを含めます。eq 演算子を使用して、アクセスリストに実際のポー
トおよび宛先ポートをオプションで指定できます。ポリシー NAT は、
inactive と time-range の各キーワードを考慮しますが、すべての inactive
ACE と time-range ACE が含まれた ACL はサポートしていません。
real_ifc 引数には、実際の IP アドレス ネットワークに接続するインター
フェイスの名前を指定します。
mapped_ifc 引数には、マッピング IP アドレス ネットワークに接続するイ
ンターフェイスの名前を指定します。
mapped_ip 引数には、実際のアドレスから変換するアドレスを指定します。
interface キーワードは、インターフェイスの IP アドレスをマッピング ア
ドレスとして使用します。このキーワードは、インターフェイスのアドレ
スを使用するときに、そのアドレスが DHCP を使用してダイナミックに
割り当てられている場合に使用します。
dns オプションは、このスタティックに一致する DNS 応答の A レコード
またはアドレス レコードをリライトします。マッピング インターフェイ
スから他のインターフェイスに移動する DNS 応答では、A レコードは
マップされた値から実際の値へリライトされます。逆に、任意のインター
フェイスからマッピング インターフェイスに移動する DNS 応答では、A
レコードは実際の値からマップされた値へリライトされます。
norandomseq は、TCP ISN ランダム化の保護をディセーブルにします。
tcp tcp_max_cons オプションには、ローカル ホストで許可された同時
TCP 接続の最大数を指定します (local-host コマンドを参照)。デフォル
トは 0(無制限)です (timeout conn コマンドで指定されたアイドル タ
イムアウトのあと、アイドル接続が閉じます)。
emb_limit は、ホストごとの初期接続の最大数です。
udp tcp_max_conns オプションには、ローカル ホストで許可された同時
UDP 接続の最大数を指定します (local-host コマンドを参照してくださ
い)。デフォルト値は 0 です。これは、接続が無制限であることを示しま
す (timeout conn コマンドで指定されたアイドル タイムアウトのあと、
アイドル接続が閉じます)。
このインターフェイスのセキュリティ レベルが、一致する global 文で指
定したインターフェイスのセキュリティ レベルより低い場合、outside を
入力して NAT インスタンスを外部 NAT として指定する必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
29-4
OL-18970-01-J
第 29 章
スタティック NAT の設定
スタティック NAT の設定
例
実際のアドレス 10.1.1.1 が 209.165.200.224 ネットワークにトラフィックを送信するときに、10.1.1.1
をマッピング アドレス 192.168.1.1 に変換する場合、access-list コマンドと static コマンドは次のよう
になります。
hostname(config)# access-list TEST extended ip host 10.1.1.1 209.165.200.224
255.255.255.224
hostname(config)# static (inside,outside) 192.168.1.1 access-list TEST
この場合、2 番目のアドレスは宛先アドレスです。ただし、マッピング アドレスに接続を開始するため
に、ホストで同じコンフィギュレーションが使用されます。たとえば、209.165.200.224/27 ネット
ワークのホストが 192.168.1.1 に接続を開始するときは、アクセスリストの 2 番目のアドレスが送信元
アドレスになります。
このアクセスリストには、許可 ACE だけを含めます。eq 演算子を使用して、アクセスリストに実際の
ポートおよび宛先ポートをオプションで指定できます。ポリシー NAT は、inactive および time-range
キーワードを考慮しません。すべての ACE が、ポリシー NAT コンフィギュレーションに対してアク
ティブであると見なされます。詳細については、「ポリシー NAT」(P.26-5)を参照してください。
変換にネットワークを指定すると(10.1.1.0 255.255.255.0 など)、適応型セキュリティ アプライアン
スは、.0 および .255 のアドレスを変換します。これらのアドレスへのアクセスを禁止するには、アク
セスを拒否するようにアクセスリストを設定します。
その他のオプションについては、第 28 章「ダイナミック NAT および PAT の設定」を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
29-5
第 29 章
スタティック NAT の設定
スタティック NAT の設定
標準スタティック NAT の設定
標準スタティック NAT を設定するには、次のコマンドを入力します。
コマンド
目的
static (real_interface,mapped_interface)
{mapped_ip | interface} real_ip [netmask
mask][dns] [norandomseq] [[tcp]
tcp_max_conns [emb_limit]] [udp
udp_max_conns]
実際の IP アドレスをマッピング IP アドレスにマッピングすることで、永
続的な 1 対 1 のアドレス変換規則を設定します。
例:
hostname(config)# static (inside,outside)
209.165.201.12 10.1.1.3 netmask
255.255.255.255
mapped_ifc 引数には、マッピング IP アドレス ネットワークに接続するイ
real_ifc 引数には、実際の IP アドレス ネットワークに接続するインター
フェイスの名前を指定します。
ンターフェイスの名前を指定します。
mapped_ip 引数には、実際のアドレスから変換するアドレスを指定します。
interface キーワードは、インターフェイスの IP アドレスをマッピング ア
ドレスとして使用します。このキーワードは、インターフェイスのアドレ
スを使用するときに、そのアドレスが DHCP を使用してダイナミックに
割り当てられている場合に使用します。
real_ip には、変換する実際のアドレスを指定します。
netmask mask には、実際のアドレスとマッピング アドレスのサブネット
マスクを指定します。単一ホストでは、255.255.255.255 を使用します。
マスクを入力しない場合、1 つの例外を除き、IP アドレス クラスのデ
フォルトのマスクが使用されます。マスキング後のホストビットがゼロ以
外の場合、255.255.255.255 のホスト マスクが使用されます。real_ip の
代わりに access-list キーワードを使用すると、アクセスリストで使用さ
れるサブネット マスクも mapped_ip で使用されます。
dns オプションは、このスタティックに一致する DNS 応答の A レコード
またはアドレス レコードをリライトします。マッピング インターフェイ
スから他のインターフェイスに移動する DNS 応答では、A レコードは
マップされた値から実際の値へリライトされます。逆に、任意のインター
フェイスからマッピング インターフェイスに移動する DNS 応答では、A
レコードは実際の値からマップされた値へリライトされます。
norandomseq は、TCP ISN ランダム化の保護をディセーブルにします。
tcp tcp_max_cons オプションには、ローカル ホストで許可された同時
TCP 接続の最大数を指定します (local-host コマンドを参照)。デフォル
トは 0(無制限)です (timeout conn コマンドで指定されたアイドル タ
イムアウトのあと、アイドル接続が閉じます)。
emb_limit は、ホストごとの初期接続の最大数です。
udp tcp_max_conns オプションには、ローカル ホストで許可された同時
UDP 接続の最大数を指定します (local-host コマンドを参照してくださ
い)。デフォルト値は 0 です。これは、接続が無制限であることを示しま
す (timeout conn コマンドで指定されたアイドル タイムアウトのあと、
アイドル接続が閉じます)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
29-6
OL-18970-01-J
第 29 章
スタティック NAT の設定
スタティック NAT の監視
スタティック NAT の監視
スタティック NAT を監視するには、次のいずれかのタスクを実行します。
コマンド
目的
show running-config static
コンフィギュレーションですべての static コマン
ドを表示します。
スタティック NAT の設定例
この項では、スタティック NAT の設定例を示します。次の項目を取り上げます。
• 「一般的なスタティック NAT の例」(P.29-7)
• 「アドレスが重複するネットワークの例」(P.29-8)
一般的なスタティック NAT の例
たとえば、次のポリシー スタティック NAT の例では、宛先アドレスに応じて 2 つのマッピング アドレ
スに変換される 1 つの実際のアドレスを示しています(これに関する図については、「図 26-3」
(P.26-6)の「異なる宛先アドレスを使用するポリシー NAT」を参照してください)。
hostname(config)#
hostname(config)#
255.255.255.224
hostname(config)#
hostname(config)#
access-list NET1 permit ip host 10.1.2.27 209.165.201.0 255.255.255.224
access-list NET2 permit ip host 10.1.2.27 209.165.200.224
static (inside,outside) 209.165.202.129 access-list NET1
static (inside,outside) 209.165.202.130 access-list NET2
次のコマンドは、内部 IP アドレス(10.1.1.3)を外部 IP アドレス(209.165.201.12)にマッピングし
ます。
hostname(config)# static (inside,outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.255
次のコマンドは、外部アドレス(209.165.201.15)を内部アドレス(10.1.1.6)にマッピングします。
hostname(config)# static (outside,inside) 10.1.1.6 209.165.201.15 netmask 255.255.255.255
次のコマンドは、サブネット全体をスタティックにマッピングします。
hostname(config)# static (inside,dmz) 10.1.1.0 10.1.2.0 netmask 255.255.255.0
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
29-7
第 29 章
スタティック NAT の設定
スタティック NAT の設定例
アドレスが重複するネットワークの例
図 29-2 の適応型セキュリティ アプライアンスには、アドレス範囲が重複する 2 つのプライベート ネッ
トワークが接続されています。
図 29-2
アドレスが重複するネットワークでの外部 NAT の使用
192.168.100.2
192.168.100.2
ᄖㇱ
ౝㇱ
192.168.100.0/24
192.168.100.3
dmz
192.168.100.0/24
10.1.1.1
192.168.100.3
130029
192.168.100.1
10.1.1.2
2 つのネットワークで、重複するアドレス空間(192.168.100.0/24)が使用されていますが、各ネット
ワークのホストは(アクセスリストの許可に従って)通信する必要があります。NAT がない場合、ア
ドレスが重複する DMZ ネットワークのホストに内部ネットワークのホストがアクセスしようとして
も、パケットは適応型セキュリティ アプライアンスを通過できません。セキュリティ アプライアンス
はこのパケットを、内部ネットワークの宛先アドレスが含まれているものと見なします。さらに、内部
ネットワークの別のホストでこの宛先アドレスが使用されている場合、そのホストがパケットを受信し
ます。
この問題を解決するには、NAT を使用して、重複しないアドレスを指定します。両方の方向でアクセ
スを許可する場合は、両方のネットワークに対してスタティック NAT を使用します。内部インター
フェイスだけに DMZ のホストへのアクセスを許可する場合は、内部アドレスに対してダイナミック
NAT を使用し、アクセス先の DMZ アドレスに対してスタティック NAT を使用します。次の例は、ス
タティック NAT の場合を示しています。
これら 2 つのインターフェイスに対してスタティック NAT を設定するには、次の手順を実行します。
DMZ の 10.1.1.0/24 ネットワークは変換されません。
ステップ 1
次のコマンドを入力して、DMZ にアクセスする内部の 192.168.100.0/24 を 10.1.2.0 /24 に変換します。
hostname(config)# static (inside,dmz) 10.1.2.0 192.168.100.0 netmask 255.255.255.0
ステップ 2
次のコマンドを入力して、内部にアクセスする DMZ の 192.168.100.0/24 ネットワークを 10.1.3.0/24
に変換します。
hostname(config)# static (dmz,inside) 10.1.3.0 192.168.100.0 netmask 255.255.255.0
ステップ 3
DMZ ネットワークへのトラフィックが適応型セキュリティ アプライアンスによって正しくルーティン
グされるように、次のスタティック ルートを設定します。
hostname(config)# route dmz 192.168.100.128 255.255.255.128 10.1.1.2 1
hostname(config)# route dmz 192.168.100.0 255.255.255.128 10.1.1.2 1
適応型セキュリティ アプライアンスには、内部ネットワーク用に接続されたルートがすでに存在しま
す。これらのスタティック ルートを使用することで、適応型セキュリティ アプライアンスは
192.168.100.0/24 ネットワークへのトラフィックを DMZ インターフェイスからゲートウェイ ルータ
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
29-8
OL-18970-01-J
第 29 章
スタティック NAT の設定
その他の参考資料
10.1.1.2 に発信できます (接続されたルートとまったく同じネットワークを持つスタティック ルート
を作成することはできないため、ネットワークを 2 つに分割する必要があります)。または、デフォル
ト ルートなど、より広範囲のルートを DMZ トラフィック用に使用することもできます。
DMZ ネットワークのホスト 192.168.100.2 が内部ネットワークのホスト 192.168.100.2 への接続を開
始しようとすると、次のイベントが発生します。
1. DMZ ホスト 192.168.100.2 が IP アドレス 10.1.2.2 にパケットを送信します。
2. 適応型セキュリティ アプライアンスがこのパケットを受信すると、適応型セキュリティ アプライ
アンスは送信元アドレスを 192.168.100.2 から 10.1.3.2 に変換します。
3. 次に、適応型セキュリティ アプライアンスは宛先アドレスを 10.1.2.2 から 192.168.100.2 に変換
し、パケットを転送します。
その他の参考資料
スタティック NAT の実装に関するその他の情報については、次の項を参照してください。
• 「関連資料」(P.29-9)
関連資料
関連項目
参照先
static コマンド
『Cisco Security Appliance Command Reference』
スタティック NAT の機能履歴
表 29-3 に、この機能のリリース履歴の一覧を示します。
表 29-3
スタティック NAT の機能履歴
機能名
リリース
機能情報
標準スタティック NAT とポリシー スタティッ
ク NAT
7.0
スタティック NAT では、実際のアドレスからマッピング
アドレスへの固定変換が作成されます。
static コマンドが導入されました。
標準スタティック NAT とポリシー スタティッ
ク NAT
7.3.1
NAT が透過ファイアウォール モードでサポートを開始し
ました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
29-9
第 29 章
スタティック NAT の設定
スタティック NAT の機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
29-10
OL-18970-01-J
© Copyright 2025 Paperzz