1. No category

この章

CHAPTER
26
NAT に関する情報
この章では、Network Address Translation(NAT; ネットワーク アドレス変換)が適応型セキュリティ
アプライアンスでどのように機能するかについて説明します。この章は、次の項で構成されています。
• 「NAT の概要」(P.26-1)
• 「NAT のタイプ」(P.26-2)
• 「ルーテッド モードの NAT」(P.26-2)
• 「トランスペアレント モードの NAT」(P.26-3)
• 「ポリシー NAT」(P.26-5)
• 「NAT および同じセキュリティ レベルのインターフェイス」(P.26-9)
• 「実際のアドレスとの照合に使用される NAT コマンドの順序」(P.26-10)
• 「マッピング アドレスのガイドライン」(P.26-10)
• 「DNS および NAT」(P.26-11)
• 「関連情報」(P.26-13)
NAT の概要
アドレス変換では、パケット内の実際のアドレスが、宛先ネットワークでルーティング可能なマッピン
グ アドレスに置き換えられます。NAT は 2 つのステップで構成されます。実際のアドレスをマッピン
グ アドレスに変換するプロセスと、リターン トラフィック用に変換を元に戻すプロセスです。
適応型セキュリティ アプライアンスは、NAT 規則とトラフィックが一致したときにアドレスを変換し
ます。一致する NAT 規則がない場合、そのパケットの処理は続行されます。例外は、NAT 制御をイ
ネーブルにした場合です。NAT 制御では、セキュリティの高いインターフェイス(内部)からセキュ
リティの低いインターフェイス(外部)に移動するパケットが NAT 規則と一致することが要求されま
す。一致しない場合、パケットの処理は停止されます。セキュリティ レベルの詳細については、「セ
キュリティ レベル」(P.6-5)を参照してください。NAT 制御の詳細については、第 27 章「NAT 制御
の設定」を参照してください。
(注)
このマニュアルでは、すべてのタイプの変換を一般に NAT と呼びます。NAT の説明では、内部および
外部という用語は任意の 2 つのインターフェイス間のセキュリティ関係を表しています。セキュリティ
レベルの高い方が内部、セキュリティ レベルの低い方が外部です。たとえば、インターフェイス 1 が
60 でインターフェイス 2 が 50 の場合、インターフェイス 1 が「内部」、インターフェイス 2 が「外部」
です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-1
第 26 章
NAT に関する情報
NAT のタイプ
NAT の利点のいくつかを次に示します。
• 内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インター
ネットにルーティングできません。詳細については、「プライベート ネットワーク」(P.C-2)を参
照してください。
• NAT は実際のアドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレス
を取得できません。
• 重複アドレスなど、IP ルーティングの問題を解決できます。
NAT をサポートしないプロトコルについては、表 40-1(P.40-4)を参照してください。
NAT のタイプ
アドレス変換は、ダイナミック NAT、Port Address Translation(PAT; ポート アドレス変換)、スタ
ティック NAT、スタティック PAT、またはこれらのタイプの組み合せとして実装できます。NAT をバ
イパスする規則を設定することもできます。たとえば、NAT を実行しない場合に、NAT 制御をイネー
ブルにします。次の変換タイプが使用可能です。
• ダイナミック NAT:ダイナミック NAT では、実際のアドレスのグループは、宛先ネットワーク上
でルーティング可能なマッピング アドレスのプールに変換されます。ダイナミック NAT の詳細に
ついては、第 28 章「ダイナミック NAT および PAT の設定」を参照してください。
• PAT:PAT では、複数の実際のアドレスが 1 つのマッピング IP アドレスに変換されます。PAT の
詳細については、第 28 章「ダイナミック NAT および PAT の設定」を参照してください。
• スタティック NAT:スタティック NAT では、実際のアドレスからマッピング アドレスへの固定変
換が作成されます。ダイナミック NAT および PAT では、各ホストは後続する変換ごとに異なるア
ドレスまたはポートを使用します。スタティック NAT の詳細については、第 29 章「スタティッ
ク NAT の設定」を参照してください。
• スタティック PAT:スタティック PAT は、プロトコルおよび実際のアドレスとマッピング アドレ
スのポートを指定できる点を除くと、スタティック NAT と同じです。スタティック PAT の詳細に
ついては、第 30 章「スタティック PAT の設定」を参照してください。
NAT 制御をイネーブルにすると、外部ホストにアクセスする際に、内部ホストは NAT 規則と一致する
必要があります。一部のホストに対して NAT が実行されないようにするには、それらのホストに対す
る NAT をバイパスするか、または、NAT 制御をディセーブルにする方法もあります。NAT のバイパ
スの詳細については、第 31 章「NAT のバイパス」を参照してください。
ルーテッド モードの NAT
図 26-1 は、内部にプライベート ネットワークを持つ、ルーテッド モードの一般的な NAT の例を示し
ています。内部ホスト 10.1.2.27 が Web サーバにパケットを送信すると、パケットの実際の送信元アド
レス 10.1.2.27 はマッピング アドレス 209.165.201.10 に変更されます。サーバが応答すると、応答が
マッピング アドレス 209.165.201.10 に送信されます。そのパケットをセキュリティ アプライアンスが
受信します。セキュリティ アプライアンスはその後、パケットをホストに送信する前に、マッピング
アドレス 209.165.201.10 を変換し、実際のアドレス 10.1.2.27 に戻します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-2
OL-18970-01-J
第 26 章
NAT に関する情報
トランスペアレント モードの NAT
図 26-1
NAT の例:ルーテッド モード
Web ࠨ࡯ࡃ
www.cisco.com
ᄖㇱ
209.165.201.2
⊒ା
ࡄࠤ࠶࠻
10.1.2.27
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
ᄌ឵
209.165.201.10
ᔕ╵
ࡄࠤ࠶࠻
ᄌ឵ࠍరߦᚯߔ
209.165.201.10
10.1.2.27
10.1.2.1
10.1.2.27
130023
ౝㇱ
この例について、次のコマンドを参照してください。
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.15
トランスペアレント モードの NAT
NAT をトランスペアレント モードで使用すると、ネットワークで NAT を実行するためのアップスト
リーム ルータまたはダウンストリーム ルータが必要なくなります。たとえば、透過ファイアウォール
の適応型セキュリティ アプライアンスは、2 つの VRF の間で効果的なため、VRF とグローバル テー
ブルの間に BGP ネイバー関係を確立することができます。ただし、VRF ごとの NAT はサポートされ
ていないことがあります。この場合、必ず NAT をトランスペアレント モードで使用する必要がありま
す。
トランスペアレント モードの NAT には、次の要件および制限があります。
• マッピング アドレスが透過ファイアウォールと同じネットワーク上にない場合、アップストリー
ム ルータで、(適応型セキュリティ アプライアンスから)ダウンストリーム ルータを指している
マッピング アドレスにスタティック ルートを追加する必要があります。
• 実際の宛先アドレスが適応型セキュリティ アプライアンスに直接接続されていない場合、適応型
セキュリティ アプライアンスで、ダウンストリーム ルータを指している実際の宛先にもスタ
ティック ルートを追加する必要があります。NAT を使用しない場合、アップストリーム ルータか
らダウンストリーム ルータへのトラフィックは MAC アドレス テーブルを使用するため、適応型
セキュリティ アプライアンスでルートを何も必要としません。ただし、NAT を使用する場合、適
応型セキュリティ アプライアンスは MAC アドレス ルックアップの代わりにルート ルックアップ
を使用するため、ダウンストリーム ルータへのスタティック ルートが必要になります。
• alias コマンドはサポートされていません。
• 透過ファイアウォールにはインターフェイス IP アドレスがないため、インターフェイス PAT を使
用できません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-3
第 26 章
NAT に関する情報
トランスペアレント モードの NAT
• ARP 検査はサポートされていません。また、何らかの理由で、一方のファイアウォールのホスト
がもう一方のファイアウォールのホストに ARP 要求を送信し、開始ホストの実際のアドレスが同
じサブネットの別のアドレスにマッピングされる場合、実際のアドレスは ARP 要求で可視のまま
になります。
図 26-2 に、インターフェイス内部と外部に同じネットワークを持つ、トランスペアレント モードの一
般的な NAT のシナリオを示します。このシナリオの透過ファイアウォールは NAT サービスを実行し
ているため、アップストリーム ルータは NAT を実行する必要がありません。内部ホスト 10.1.1.27 が
Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.1.27 はマッピング アドレ
ス 209.165.201.10 に変更されます。サーバが応答すると、マッピング アドレス 209.165.201.10 に応答
を送信し、適応型セキュリティ アプライアンスがそのパケットを受信します。これは、アップスト
リーム ルータには、適応型セキュリティ アプライアンスを経由するスタティック ルートのこのマッピ
ング ネットワークが含まれるためです。その後、適応型セキュリティ アプライアンスはマッピング ア
ドレス 209.165.201.10 を変換して実際のアドレス 10.1.1.1.27 に戻します。実際のアドレスは直接接続
されているため、適応型セキュリティ アプライアンスはそのアドレスを直接ホストに送信します。ホ
スト 192.168.1.2 でも同じプロセスが発生します。ただし、適応型セキュリティ アプライアンスがルー
ト テーブルでルートをルックアップし、スタティック ルートに基づいて 10.1.1.3 でダウンストリーム
ルータにパケットを送信する点は異なります。
図 26-2
NAT の例:トランスペアレント モード
www.example.com
ࠗࡦ࠲࡯ࡀ࠶࠻
209.165.201.0/27 ߆ࠄ
࠳࠙ࡦࠬ࠻࡝࡯ࡓ ࡞࡯࠲߳ߩ࡞࡯࠲ߩࠬ࠲࠹ࠖ࠶ࠢ ࡞࡯࠻
ㅍାరࠕ࠼࡟ࠬᄌ឵
10.1.1.75
209.165.201.15
192.168.1.1/24 ߆ࠄ࠳࠙ࡦࠬ࠻࡝࡯ࡓ ࡞࡯࠲߳ߩ
࠮ࠠࡘ࡝࠹ࠖ ࠕࡊ࡜ࠗࠕࡦࠬߢߩࠬ࠲࠹ࠖ࠶ࠢ ࡞࡯࠻
10.1.1.2
▤ℂ IP
10.1.1.1
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
10.1.1.75
10.1.1.3
ㅍାరࠕ࠼࡟ࠬᄌ឵
192.168.1.2
209.165.201.10
250261
192.168.1.1
ࡀ࠶࠻ࡢ࡯ࠢ 2
192.168.1.2
この例について、次のコマンドを参照してください。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
route inside 192.168.1.0 255.255.255.0 10.1.1.3 1
nat (inside) 1 10.1.1.0 255.255.255.0
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 209.165.201.1-209.165.201.15
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-4
OL-18970-01-J
第 26 章
NAT に関する情報
ポリシー NAT
ポリシー NAT
ポリシー NAT では、拡張アクセスリストで送信元アドレスおよび宛先アドレスを指定することによ
り、アドレス変換対象の実際のアドレスを指定できます。オプションで、送信元ポートおよび宛先ポー
トを指定することもできます。標準 NAT で考慮されるのは送信元アドレスだけで、宛先アドレスは考
慮されません。たとえば、ポリシー NAT を使用して、サーバ A にアクセスするときは実際のアドレス
をマッピング アドレス A に変換し、サーバ B にアクセスするときは実際のアドレスをマッピング アド
レス B に変換できます。
(注)
ポリシー NAT では時間ベースの ACL をサポートしていません。
セカンダリ チャネルのアプリケーション検査を必要とするアプリケーション(FTP、VoIP など)に対
して、ポリシー NAT 文に指定されたポリシーには、セカンダリ ポートを含む必要があります。ポート
を予測できない場合、ポリシーはセカンダリ チャネルの IP アドレスだけを指定する必要があります。
このコンフィギュレーションを使用して、セキュリティ アプライアンスはセカンダリ ポートを変換し
ます。
(注)
NAT 免除を除くすべてのタイプの NAT は、ポリシー NAT をサポートします。NAT 免除では、アクセ
スリストを使用して実際のアドレスを指定しますが、ポートが考慮されない点でポリシー NAT とは異
なります。その他の相違点については、「NAT 制御がイネーブルな状態での NAT のバイパス」
(P.27-3)を参照してください。ポリシー NAT をサポートするスタティック アイデンティティ NAT を
使用することでも、NAT 免除と同じ結果が得られます。
図 26-3 に、2 台の異なるサーバにアクセスしている 10.1.2.0/24 ネットワークのホストを示します。ホ
ストがサーバ 209.165.201.11 にアクセスすると、実際のアドレスは 209.165.202.129 に変換されます。
ホストがサーバ 209.165.200.225 にアクセスすると、実際のアドレスは 209.165.202.130 に変換されま
す。その結果、ホストはサーバと同じネットワークにあるように見え、ルーティングに役立ちます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-5
第 26 章
NAT に関する情報
ポリシー NAT
図 26-3
異なる宛先アドレスを使用するポリシー NAT
ࠨ࡯ࡃ 1
209.165.201.11
ࠨ࡯ࡃ 2
209.165.200.225
209.165.201.0/27
209.165.200.224/27
DMZ
10.1.2.27
ᄌ឵
209.165.202.129
10.1.2.27
ᄌ឵
209.165.202.130
ౝㇱ
ࡄࠤ࠶࠻
ተవ ࠕ࠼࡟ࠬ㧦
209.165.201.11
10.1.2.27
ࡄࠤ࠶࠻
ተవ ࠕ࠼࡟ࠬ㧦
209.165.200.225
130039
10.1.2.0/24
この例について、次のコマンドを参照してください。
hostname(config)#
255.255.255.224
hostname(config)#
255.255.255.224
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0
access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224
nat (inside) 1 access-list NET1
global (outside) 1 209.165.202.129
nat (inside) 2 access-list NET2
global (outside) 2 209.165.202.130
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-6
OL-18970-01-J
第 26 章
NAT に関する情報
ポリシー NAT
図 26-4 に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワークのホストは
Web サービスと Telnet サービスの両方を提供する 1 つのホストにアクセスします。ホストが Web サー
ビスを求めてサーバにアクセスすると、実際のアドレスは 209.165.202.129 に変換されます。ホストが
Telnet サービスを求めて同じサーバにアクセスすると、実際のアドレスは 209.165.202.130 に変換され
ます。
図 26-4
異なる宛先ポートを使用するポリシー NAT
Web ߅ࠃ߮ Telnet ࠨ࡯ࡃ㧦
209.165.201.11
ࠗࡦ࠲࡯ࡀ࠶࠻
10.1.2.27:80
ᄌ឵
209.165.202.129
10.1.2.27:23
ᄌ឵
209.165.202.130
ౝㇱ
Web ࡄࠤ࠶࠻
ተవ ࠕ࠼࡟ࠬ
209.165.201.11:80
10.1.2.27
Telnet ࡄࠤ࠶࠻
ተవ ࠕ࠼࡟ࠬ
209.165.201.11:23
130040
10.1.2.0/24
この例について、次のコマンドを参照してください。
hostname(config)# access-list WEB permit tcp 10.1.2.0 255.255.255.0 209.165.201.11
255.255.255.255 eq 80
hostname(config)# access-list TELNET permit tcp 10.1.2.0 255.255.255.0 209.165.201.11
255.255.255.255 eq 23
hostname(config)# nat (inside) 1 access-list WEB
hostname(config)# global (outside) 1 209.165.202.129
hostname(config)# nat (inside) 2 access-list TELNET
hostname(config)# global (outside) 2 209.165.202.130
ポリシー スタティック NAT(および同じくアクセスリストを使用してトラフィックを指定する NAT
免除)では、変換済みのホストおよびリモート ホストの両方がトラフィックを発信できます。変換済
みのネットワークで発信されたトラフィックについては、NAT アクセスリストで実際のアドレスと宛
先アドレスが指定されますが、リモート ネットワークで発信されたトラフィックについては、この変
換を使用してホストに接続することを許可されたリモート ホストの実際のアドレスと送信元アドレス
がアクセスリストで指定されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-7
第 26 章
NAT に関する情報
ポリシー NAT
図 26-5 に、変換済みのホストに接続するリモート ホストを示します。変換済みのホストには、
209.165.201.0/27 ネットワークが起点または終点となるトラフィックに限り実際のアドレスを変換する
ポリシー スタティック NAT 変換があります。209.165.200.224/27 ネットワーク用の変換は存在しませ
ん。したがって、変換済みのホストはそのネットワークに接続できず、そのネットワークのホストも変
換済みのホストに接続できません。
図 26-5
宛先アドレス変換があるポリシー スタティック NAT
209.165.201.11
209.165.200.225
209.165.201.0/27
209.165.200.224/27
DMZ
ᄌ឵ߥߒ
ᄌ឵ࠍరߦᚯߔ
10.1.2.27
209.165.202.128
ౝㇱ
10.1.2.27
130037
10.1.2.0/27
この例について、次のコマンドを参照してください。
hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.224 209.165.201.0
255.255.255.224
hostname(config)# static (inside,outside) 209.165.202.128 access-list NET1
(注)
(注)
ポリシー スタティック NAT では、変換を元に戻すときに、static コマンドの ACL は使用されません。
パケットの宛先アドレスがスタティック規則のマッピング アドレスと一致する場合は、スタティック
規則を使用してアドレスの変換を元に戻します。
ポリシー NAT は SQL*Net をサポートしませんが、標準 NAT はサポートしています。他のプロトコル
に対する NAT サポートについては、「アプリケーション プロトコル検査を使用するタイミング」
(P.40-2)を参照してください。
ポリシー スタティック NAT を使用して、異なる実際のアドレスを同じマッピング アドレスに変換する
ことはできません。たとえば、図 26-6 は、209.165.200.225 に変換することを目的とする 10.1.1.1 と
10.1.1.2 という 2 つの内部ホストが示しています。外部ホスト 209.165.201.1 を 209.165.200.225 に接続
すると、接続は 10.1.1.1 に向かいます。外部ホスト 209.165.201.2 を同じマッピング アドレス
209.165.200.225 に接続すると、接続は 10.1.1.2 に向かいます。ただし、使用可能なアクセスリストの
送信元アドレスは 1 つだけです。最初の ACE が 10.1.1.1 であるため、209.165.201.1 と 209.165.201.2
から送信されて 209.165.200.255 に向かうすべての着信接続は、宛先アドレスを 10.1.1.1 に変換します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-8
OL-18970-01-J
第 26 章
NAT に関する情報
NAT および同じセキュリティ レベルのインターフェイス
図 26-6
実際の接続は同じマッピング アドレスを共有できない
209.165.201.2
209.165.201.1
ᄖㇱ
ᄌ឵ࠍరߦᚯߔ
209.165.200.225
10.1.1.1
ᄌ឵ࠍరߦᚯߐߥ޿
209.165.200.225
10.1.1.2
10.1.1.1
10.1.1.2
242981
Inside
この例について、次のコマンドを参照してください (この例の 2 番目の ACE で、209.165.201.2 の
209.165.200.225 への接続が許可されても、209.165.200.225 は 10.1.1.1 にだけ変換されます)。
hostname(config)# static (in,out) 209.165.200.225 access-list policy-nat
hostname(config)# access-list policy-nat permit ip host 10.1.1.1 host 209.165.201.1
hostname(config)# access-list policy-nat permit ip host 10.1.1.2 host 209.165.201.2
NAT および同じセキュリティ レベルのインターフェイス
同じセキュリティ レベルのインターフェイス間では、NAT 制御をイネーブルにしている場合であって
も、NAT は必要とされません。必要であれば、オプションで NAT を設定できます。ただし、NAT 制
御がイネーブルの場合にダイナミック NAT を設定すると、NAT が必要になります。詳細については、
第 27 章「NAT 制御の設定」を参照してください。また、同じセキュリティ レベルのインターフェイ
スのダイナミック NAT または PAT に対して IP アドレスのグループを指定した場合は、それらのアド
レスがセキュリティ レベルの低い(または同じ)インターフェイスにアクセスするときに、そのアド
レス グループに対して NAT を実行する必要があります(NAT 制御がイネーブルになっていない場合
も同じです)。スタティック NAT に対して指定されているトラフィックは影響を受けません。
同じセキュリティ レベルの通信をイネーブルにするには、「同じセキュリティ レベルの通信の許可」
(P.6-32)を参照してください。
(注)
同じセキュリティ レベルのインターフェイスに NAT を設定すると、適応型セキュリティ アプライアン
スは VoIP 検査エンジンをサポートしなくなります。このような検査エンジンには、Skinny、SIP、
H.323 などがあります。サポートされる検査エンジンについては、「アプリケーション プロトコル検査
を使用するタイミング」(P.40-2)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-9
第 26 章
NAT に関する情報
実際のアドレスとの照合に使用される NAT コマンドの順序
実際のアドレスとの照合に使用される NAT コマンドの順序
適応型セキュリティ アプライアンスは、実際のアドレスと NAT コマンドを次の順序で照合します。
1. NAT 免除(nat 0 access-list):順序に従って、最初の一致が見つかるまで続行されます。アイデン
ティティ NAT はこのカテゴリではなく、標準スタティック NAT または標準 NAT のカテゴリに属
します。NAT 免除文でのアドレスの重複はお勧めしません。予期しない結果が発生する可能性が
あります。
2. スタティック NAT およびスタティック PAT(標準およびポリシー)(static):順序に従って、最
初の一致が見つかるまで続行されます。スタティック アイデンティティ NAT は、このカテゴリに
属します。
3. ポリシー ダイナミック NAT(nat access-list):順序に従って、最初の一致が見つかるまで続行さ
れます。アドレスの重複は許容されます。
4. 標準ダイナミック NAT(nat):最も適合するものを検出します。標準アイデンティティ NAT は、
このカテゴリに属します。NAT コマンドの順序は無関係です。実際のアドレスと最も適合する
NAT 文が使用されます。たとえば、インターフェイスですべてのアドレス(0.0.0.0)を変換する
汎用文を作成できます。ネットワークのサブネット(10.1.1.1)を別のアドレスに変換する場合は、
10.1.1.1 だけを変換する文を作成できます。10.1.1.1 が接続を開始すると、10.1.1.1 用の特定の文
が使用されます。これは、その文が実際のアドレスに最も適合するからです。重複する文を使用す
ることはお勧めしません。重複する文により、より多くのメモリが使用され、適応型セキュリティ
アプライアンスのパフォーマンスが低下する可能性があります。
マッピング アドレスのガイドライン
実際のアドレスをマッピング アドレスに変換するときは、次のマッピング アドレスを使用できます。
• マッピング インターフェイスと同じネットワーク上のアドレス
マッピング インターフェイス(トラフィックが適応型セキュリティ アプライアンスから出るとき
に通過するインターフェイス)と同じネットワーク上のアドレスを使用した場合、適応型セキュリ
ティ アプライアンスはプロキシ ARP を使用してすべてのマッピング アドレス要求に応答すること
により、実際のアドレスに向かうトラフィックを代行受信します。この方法では、適応型セキュリ
ティ アプライアンスがその他のネットワークのゲートウェイである必要がないため、ルーティン
グが簡略化されます。ただし、この方法では、変換に使用できるアドレス数に限度があります。
PAT では、マッピング インターフェイスの IP アドレスも使用できます。
• 固有のネットワーク上のアドレス
マッピング インターフェイスで使用可能なアドレスより多くのアドレスが必要な場合は、別のサ
ブネット上のアドレスを指定できます。適応型セキュリティ アプライアンスはプロキシ ARP を使
用してすべてのマッピング アドレス要求に応答することにより、実際のアドレスを宛先とするト
ラフィックを代行受信します。OSPF を使用している場合に、マッピング インターフェイス上の
ルートをアドバタイズすると、適応型セキュリティ アプライアンスはマッピング アドレスをアド
バタイズします。マッピング インターフェイスがパッシブの場合(ルートをアドバタイズしない
場合)、またはスタティック ルーティングを使用している場合、マッピング アドレスを宛先として
トラフィックを送信するアップストリーム ルータ上のスタティック ルートを適応型セキュリティ
アプライアンスに追加する必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-10
OL-18970-01-J
第 26 章
NAT に関する情報
DNS および NAT
DNS および NAT
応答内のアドレスを NAT コンフィギュレーションと一致するアドレスに置き換えて、DNS 応答を修正
するように適応型セキュリティ アプライアンスを設定することが必要になる場合があります。DNS 修
正は、各変換を設定するときに設定できます。
たとえば、DNS サーバが外部インターフェイスからアクセス可能であるとします。ftp.cisco.com とい
うサーバが内部インターフェイス上にあります。ftp.cisco.com の実際のアドレス(10.1.3.14)を、外
部ネットワーク上で可視のマッピング アドレス(209.165.201.10)にスタティックに変換するように、
適応型セキュリティ アプライアンスを設定します (図 26-7 を参照)。この場合、このスタティック文
で DNS 応答修正をイネーブルにする必要があります。これにより、実際のアドレスを使用して
ftp.cisco.com にアクセスすることを許可されている内部ユーザは、マッピング アドレスではなく実際
のアドレスを DNS サーバから受信できるようになります。
内部ホストが ftp.cisco.com のアドレスを求める DNS 要求を送信すると、DNS サーバは応答でマッピ
ング アドレス(209.165.201.10)を示します。適応型セキュリティ アプライアンスは、内部サーバの
スタティック文を参照し、DNS 応答内のアドレスを 10.1.3.14 に変換します。DNS 応答修正をイネー
ブルにしない場合、内部ホストは ftp.cisco.com に直接アクセスする代わりに、209.165.201.10 にトラ
フィックを送信することを試みます。
図 26-7
DNS 応答修正
DNS ࠨ࡯ࡃ
1
DNS ⷐ᳞
ftp.cisco.com ߢߔ߆?
2
ᄖㇱ
DNS ᔕ╵
209.165.201.10
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
3
DNS ᔕ╵ୃᱜ
209.165.201.10
10.1.3.14
ౝㇱ
4
DNS ᔕ╵
10.1.3.14
࡙࡯ࠩ
ftp.cisco.com
10.1.3.14
ᄖㇱߢߩᰴߩࠕ࠼࡟ࠬ߳ߩ
ࠬ࠲࠹ࠖ࠶ࠢ ࠻࡜ࡦࠬ࡟࡯࡚ࠪࡦ㧦
130021
209.165.201.10
5
FTP ⷐ᳞
10.1.3.14
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-11
第 26 章
NAT に関する情報
DNS および NAT
この例について、次のコマンドを参照してください。
hostname(config)# static (inside,outside) 209.165.201.10 10.1.3.14 netmask 255.255.255.255
dns
(注)
他のネットワーク(DMZ など)のユーザも外部 DNS サーバから ftp.cisco.com の IP アドレスを要求
している場合、そのユーザが static コマンドで参照される内部インターフェイスに存在しない場合で
も、そのユーザに対して DNS 応答の IP アドレスも修正されます。
図 26-8 に、外部の Web サーバと DNS サーバを示します。適応型セキュリティ アプライアンスには、
外部サーバ用のスタティック変換があります。この場合、ftp.cisco.com のアドレスを DNS サーバに要
求すると、DNS サーバは応答で実際のアドレス 209.165.20.10 を示します。ftp.cisco.com のマッピン
グ アドレス(10.1.2.56)が内部ユーザによって使用されるようにするには、スタティック変換に対し
て DNS 応答修正を設定する必要があります。
図 26-8
外部 NAT を使用する DNS 応答修正
ftp.cisco.com
209.165.201.10
ౝㇱߢߩᰴߩࠕ࠼࡟ࠬ߳ߩࠬ࠲࠹ࠖ࠶ࠢ ࠻࡜ࡦࠬ࡟࡯࡚ࠪࡦ㧦
10.1.2.56
DNS ࠨ࡯ࡃ
7
FTP ⷐ᳞
209.165.201.10
1
DNS ⷐ᳞
ftp.cisco.com ߢߔ߆?
2
DNS ᔕ╵
209.165.201.10
3
ᄖㇱ
6
ተవࠕ࠼࡟ࠬ ᄌ឵
10.1.2.56
209.165.201.10
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
5
DNS ᔕ╵ୃᱜ
209.165.201.10
10.1.2.56
ౝㇱ
4
FTP ⷐ᳞
10.1.2.56
࡙࡯ࠩ
10.1.2.27
130022
DNS ᔕ╵
10.1.2.56
この例について、次のコマンドを参照してください。
hostname(config)# static (outside,inside) 10.1.2.56 209.165.201.10 netmask 255.255.255.255
dns
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-12
OL-18970-01-J
第 26 章
NAT に関する情報
関連情報
関連情報
• 第 27 章「NAT 制御の設定」
• 第 28 章「ダイナミック NAT および PAT の設定」
• 第 29 章「スタティック NAT の設定」
• 第 30 章「スタティック PAT の設定」
• 第 31 章「NAT のバイパス」
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
26-13
第 26 章
NAT に関する情報
関連情報
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
26-14
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2025 Paperzz