1. No category

この章

CHAPTER
28
ダイナミック NAT および PAT の設定
この項では、ダイナミック ネットワーク アドレス変換について説明します。ダイナミック NAT とダイ
ナミック PAT のコンフィギュレーションはほぼ同じです。NAT の場合はマッピング アドレスの範囲を
指定し、PAT の場合は 1 つのアドレスを指定する点だけが異なります。
次の項目について説明します。
• 「ダイナミック NAT および PAT に関する情報」(P.28-1)
• 「ダイナミック NAT および PAT のライセンス要件」(P.28-10)
• 「ガイドラインと制限事項」(P.28-11)
• 「デフォルト設定」(P.28-11)
• 「ダイナミック NAT または PAT の設定」(P.28-13)
• 「ダイナミック NAT および PAT の監視」(P.28-18)
• 「ダイナミック NAT および PAT の設定例」(P.28-18)
• 「ダイナミック NAT および PAT の機能履歴」(P.28-19)
ダイナミック NAT および PAT に関する情報
この項は、次の内容で構成されています。
• 「ダイナミック NAT に関する情報」(P.28-1)
• 「PAT に関する情報」(P.28-4)
• 「ダイナミック NAT および PAT の実装に関する情報」(P.28-5)
ダイナミック NAT に関する情報
ダイナミック NAT では、実際のアドレスのグループは、宛先ネットワーク上でルーティング可能な
マッピング アドレスのプールに変換されます。マッピングされたプールにあるアドレスは、実際のグ
ループより少ないことがあります。変換対象のホストが宛先ネットワークにアクセスすると、適応型セ
キュリティ アプライアンスは、マッピングされたプールから IP アドレスをそのホストに割り当てま
す。変換は、実際のホストが接続を開始したときにだけ追加されます。変換は接続が継続している間だ
け有効であり、変換がタイムアウトすると、そのユーザは同じ IP アドレスを保持しません。例につい
ては、『Cisco ASA 5500 Series Command Reference』の timeout xlate コマンドを参照してください。
したがって、アクセスリストでその接続が許可されている場合でも、宛先ネットワークのユーザは、ダ
イナミック NAT を使用しているホストへの確実な接続を開始できません。また、適応型セキュリティ
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-1
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
アプライアンスは、実際のホスト アドレスに直接接続しようとする試みを拒否します。ホストへの確
実なアクセスを取得する方法の詳細については、第 29 章「スタティック NAT の設定」または第 30 章
「スタティック PAT の設定」を参照してください。
(注)
適応型セキュリティ アプライアンスがセッションを拒否した場合でも、接続に変換が追加されること
があります。この状況は通常、変換がタイムアウトになる着信アクセスリスト、管理専用インターフェ
イス、またはバックアップ インターフェイスで発生します。例については、『Cisco ASA 5500 Series
Command Reference』の show xlate コマンドを参照してください。
図 28-1 に、実際のアドレスへの接続を試みているリモート ホストを示します。適応型セキュリティ ア
プライアンスはマッピング アドレスへのリターン接続だけを許可するため、この接続は拒否されてい
ます。
図 28-1
実際のアドレスへの接続を試みているリモート ホスト
Web ࠨ࡯ࡃ
www.example.com
ᄖㇱ
209.165.201.2
10.1.2.27
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
ᄌ឵
209.165.201.10
10.1.2.27
10.1.2.1
132216
ౝㇱ
10.1.2.27
図 28-2 に、マッピング アドレスへの接続開始を試みているリモート ホストを示します。このアドレス
は、現時点では変換テーブルにないため、適応型セキュリティ アプライアンスはパケットをドロップ
しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-2
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
図 28-2
マッピング アドレスへの接続開始を試みているリモート ホスト
Web ࠨ࡯ࡃ
www.example.com
ᄖㇱ
209.165.201.2
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
209.165.201.10
10.1.2.1
132217
ౝㇱ
10.1.2.27
(注)
変換が継続している間、アクセスリストで許可されていれば、リモートホストは変換済みホストへの接
続を開始できます。アドレスは予測不可能であるため、ホストへの接続は確立されません。ただし、こ
の場合は、アクセスリストのセキュリティに依存できます。
ダイナミック NAT には、次の欠点があります。
• マッピングされたプールにあるアドレスが実際のグループより少ない場合、予想以上にトラフィッ
クが多いと、アドレスが不足する可能性があります。
これが頻繁に起こる場合は、PAT を使用します。PAT では、1 つのアドレスの複数のポートを使用
して 64,000 件を超える変換が提供されます。
• マッピングされたプール内のルーティング可能なアドレスを多数使用する必要があります。イン
ターネットなど、宛先ネットワークが登録アドレスを要求する場合は、使用可能なアドレスが不足
する可能性があります。
ダイナミック NAT の利点は、一部のプロトコルが PAT を使用できないということです。たとえば、
PAT は次の場合は機能しません。
• GRE バージョン 0 などのように、オーバーロードするためのポートがない IP プロトコルでは機能
しません。
• 一部のマルチメディア アプリケーションなどのように、1 つのポート上にデータ ストリームを持
ち、別のポート上に制御パスを持ち、公開規格ではないアプリケーションでも機能しません。
NAT および PAT のサポートの詳細については、「アプリケーション プロトコル検査を使用するタイミ
ング」(P.40-2)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-3
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
PAT に関する情報
PAT では、複数の実際のアドレスが 1 つのマッピング IP アドレスに変換されます。具体的には、セ
キュリティ アプライアンスが複数の実際のアドレスおよび送信元ポート(実際のソケット)を 1 つの
マッピング アドレスおよび 1024 より上の固有のポート(マッピング ソケット)に変換します。送信
元ポートが接続ごとに異なるため、各接続には別の変換が必要です。たとえば、10.1.1.1:1025 には、
10.1.1.1:1026 とは別の変換が必要です。
接続の有効期限が切れると、ポート変換も 30 秒間の非アクティブ状態の後に有効期限切れになります。
このタイムアウトは変更できません。宛先ネットワークのユーザは、PAT を使用するホストへの接続
を確実には開始できません(アクセスリストでその接続が許可されている場合も同じです)。ユーザが
ホストの実際のポート番号またはマッピング ポート番号を予測できないだけでなく、変換済みのホス
トが発信側ではない場合、適応型セキュリティ アプライアンスは変換をまったく作成しません。ホス
トへの確実なアクセスについては、第 29 章「スタティック NAT の設定」または第 30 章「スタティッ
ク PAT の設定」を参照してください。
PAT では、1 つのマッピング アドレスを使用できるため、ルーティング可能なアドレスが節約されま
す。さらに、適応型セキュリティ アプライアンス インターフェイスの IP アドレスを PAT アドレスと
して使用できます。PAT は、制御パスとは異なるデータ ストリームを持つ一部のマルチメディア アプ
リケーションでは機能しません。NAT および PAT のサポートの詳細については、「アプリケーション
プロトコル検査を使用するタイミング」(P.40-2)を参照してください。
(注)
変換が継続している間、アクセスリストで許可されていれば、リモートホストは変換済みホストへの接
続を開始できます。実際のポート アドレスおよびマッピング ポート アドレスはどちらも予測不可能で
あるため、ホストへの接続は確立されません。ただし、この場合は、アクセスリストのセキュリティに
依存できます。ただし、ポリシー PAT では時間ベースの ACL をサポートしていません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-4
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
ダイナミック NAT および PAT の実装に関する情報
ダイナミック NAT および PAT を実装するには、まず特定のインターフェイス上の変換対象の実際のア
ドレスを指定する nat コマンドを設定します。次に、別の global コマンドを設定して、別のインター
フェイスを出るときのマッピング アドレスを指定します(PAT の場合、これは 1 つのアドレスです)。
各 nat コマンドは、各コマンドに割り当てた番号である NAT ID を比較することにより、global コマ
ンドと照合されます (図 28-3 を参照)。
図 28-3
nat と global の ID 照合
Web ࠨ࡯ࡃ㧦
www.cisco.com
ᄖㇱ
ǰȭȸȐȫ 1Ჴ209.165.201.3209.165.201.10
10.1.2.27
ᄌ឵
209.165.201.3
NAT 1Ჴ10.1.2.0/24
10.1.2.27
130027
ౝㇱ
この例について、次のコマンドを参照してください。
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
1 つ以上のインターフェイスで同じ NAT ID を使用して、複数の nat コマンドを入力できます。これら
のインターフェイスは、すべて特定のインターフェイスを出るときに同じ global コマンドを使用しま
す。たとえば、どちらも NAT ID 1 である内部インターフェイスおよび DMZ インターフェイスに nat
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-5
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
コマンドを設定できます。次に、同じく ID 1 の外部インターフェイスに global コマンドを設定しま
す。内部インターフェイスおよび DMZ インターフェイスからのトラフィックは、外部インターフェイ
スを出るときに、マッピングされたプールまたは PAT アドレスを共有します (図 28-4 を参照)。
図 28-4
複数のインターフェイスに対する nat コマンド
Web ࠨ࡯ࡃ㧦
www.cisco.com
ᄖㇱ
10.1.1.15
ᄌ឵
209.165.201.4
ǰȭȸȐȫ 1Ჴ209.165.201.3209.165.201.10
NAT 1Ჴ10.1.1.0/24
10.1.2.27
DMZ
ᄌ឵
209.165.201.3
10.1.1.15
NAT 1Ჴ10.1.2.0/24
NAT 1Ჴ192.168.1.0/24
ౝㇱ
192.168.1.5
ᄌ឵
209.165.201.5
10.1.2.27
250263
ࡀ࠶࠻ࡢ࡯ࠢ
2
192.168.1.5
この例について、次のコマンドを参照してください。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
nat (inside) 1 10.1.2.0 255.255.255.0
nat (inside) 1 192.168.1.0 255.255.255.0
nat (dmz) 1 10.1.1.0 255.255.255.0
global (outside) 1 209.165.201.3-209.165.201.10
また、同じ NAT ID を使用する各インターフェイスに対して global コマンドを入力することもできま
す。ID 1 の外部インターフェイスおよび DMZ インターフェイスに対して global コマンドを入力する
と、内部 nat コマンドは、トラフィックが外部インターフェイスに向かうときも DMZ インターフェイ
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-6
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
スに向かうときも、変換済みのトラフィックを指定します。同様に、ID 1 の DMZ インターフェイスに
対して nat コマンドも入力すると、外部インターフェイスに対する global コマンドが DMZ トラ
フィックにも使用されます (図 28-5 を参照)。
図 28-5
複数のインターフェイスに対する global コマンドと nat コマンド
Web ࠨ࡯ࡃ㧦
www.cisco.com
ᄖㇱ
10.1.1.15
ᄌ឵
209.165.201.4
ǰȭȸȐȫ 1Ჴ209.165.201.3209.165.201.10
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
10.1.2.27
NAT 1Ჴ10.1.1.0/24
ǰȭȸȐȫ 1Ჴ10.1.1.23
ᄌ឵
209.165.201.3
DMZ
10.1.1.15
NAT 1Ჴ10.1.2.0/24
10.1.2.27
ᄌ឵
10.1.1.23:2024
10.1.2.27
130024
ౝㇱ
この例について、次のコマンドを参照してください。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
nat (inside) 1 10.1.2.0 255.255.255.0
nat (dmz) 1 10.1.1.0 255.255.255.0
global (outside) 1 209.165.201.3-209.165.201.10
global (dmz) 1 10.1.1.23
異なる NAT ID を使用すると、実際のアドレスの集合を指定して、それぞれが異なるマッピング アド
レスを持つようにできます。たとえば、内部インターフェイス上で、異なる 2 つの NAT ID に対して 2
つの nat コマンドを設定できます。外部インターフェイス上で、これら 2 つの ID に対して 2 つの
global コマンドを設定できます。その場合、内部ネットワーク A からのトラフィックが外部インター
フェイスを出ると、IP アドレスはプール A のアドレスに変換されます。内部ネットワーク B からのト
ラフィックは、プール B のアドレスに変換されます (図 28-6 を参照)。ポリシー NAT を使用した場合
は、宛先のアドレスとポートが各アクセスリスト内で固有であれば、複数の nat コマンドに対して同じ
実際のアドレスを指定できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-7
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
図 28-6
異なる NAT ID
Web ࠨ࡯ࡃ㧦
www.cisco.com
ᄖㇱ
ǰȭȸȐȫ 1Ჴ209.165.201.3209.165.201.10
ǰȭȸȐȫ 2:209.165.201.11
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
10.1.2.27
192.168.1.14
ᄌ឵
209.165.201.11:4567
NAT 1Ჴ10.1.2.0/24
ᄌ឵
209.165.201.3
NAT 2:192.168.1.0/24
10.1.2.27
130025
ౝㇱ
192.168.1.14
この例について、次のコマンドを参照してください。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
nat (inside) 1 10.1.2.0 255.255.255.0
nat (inside) 2 192.168.1.0 255.255.255.0
global (outside) 1 209.165.201.3-209.165.201.10
global (outside) 2 209.165.201.11
同じ NAT ID を使用して、1 つのインターフェイスに対して複数の global コマンドを入力できます。適
応型セキュリティ アプライアンスは最初にダイナミック NAT global コマンドをコンフィギュレーショ
ン内の順序で使用し、次に PAT global コマンドを順序どおりに使用します。特定のアプリケーション
に対してダイナミック NAT を使用する必要があると同時に、ダイナミック NAT アドレスが不足した
ときに備えてバックアップ PAT 文を用意しておく必要がある場合、ダイナミック NAT global コマンド
と PAT global コマンドの両方を入力できます。同様に、1 つの PAT がマッピングされた文がサポート
する約 64,000 回の PAT セッションより多くのセッションが必要な場合、2 つの PAT 文を入力できます
(図 28-7 を参照)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-8
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT に関する情報
図 28-7
NAT と PAT の併用
Web ࠨ࡯ࡃ㧦
www.cisco.com
10.1.2.27
ᄌ឵
209.165.201.3
ᄖㇱ
ǰȭȸȐȫ 1Ჴ209.165.201.3209.165.201.4
ǰȭȸȐȫ 1Ჴ209.165.201.5
10.1.2.29
10.1.2.28
ᄌ឵
209.165.201.5:6096
ᄌ឵
209.165.201.4
NAT 1Ჴ10.1.2.0/24
ౝㇱ
10.1.2.29
130026
10.1.2.27
10.1.2.28
この例について、次のコマンドを参照してください。
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (outside) 1 209.165.201.5
外部 NAT については(外部から内部)、nat コマンドで outside キーワードを使用する必要がありま
す。外部インターフェイスにアクセスするときにも同じトラフィックを変換する場合(たとえば、
DMZ 上のトラフィックを、内部インターフェイスと外部インターフェイスにアクセスするときに変換
する場合)は、outside オプションなしで別の nat コマンドを設定する必要があります。この場合、両
方の文で同じアドレスを指定し、同じ NAT ID を使用できます (図 28-8 を参照)。外部 NAT(DMZ
インターフェイスから内部インターフェイスへ)では、内部ホストは static コマンドを使用して外部ア
クセスを許可します。したがって、送信元アドレスと宛先アドレスの両方が変換されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-9
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT のライセンス要件
図 28-8
外部 NAT と内部 NAT の併用
ᄖㇱ
10.1.1.15
ᄌ឵
209.165.201.4
ǰȭȸȐȫ 1Ჴ209.165.201.3209.165.201.10
‫ٳ‬ᢿ NAT 1Ჴ10.1.1.0/24
NAT 1Ჴ10.1.1.0/24
DMZ
10.1.1.15
ǰȭȸȐȫ 1Ჴ10.1.2.3010.1.2.40
DMZ ƴǹǿȆǣȃǯᲴ10.1.2.27
10.1.1.5
ᄌ឵
10.1.1.15
10.1.2.30
ౝㇱ
10.1.2.27
130038
ᄌ឵ࠍరߦᚯߔ
10.1.1.5
10.1.2.27
この例について、次のコマンドを参照してください。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
nat (dmz) 1 10.1.1.0 255.255.255.0 outside
nat (dmz) 1 10.1.1.0 255.255.255.0
static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255
global (outside) 1 209.165.201.3-209.165.201.4
global (inside) 1 10.1.2.30-1-10.1.2.40
nat コマンドで IP アドレスのグループを指定した場合は、そのアドレス グループがセキュリティ レベ
ルの低いまたは同じインターフェイスにアクセスするときに、NAT を実行する必要があります。各イ
ンターフェイスに対して同じ NAT ID を使用して global コマンドを適用するか、static コマンドを使用
する必要があります。このグループがセキュリティ レベルの高いインターフェイスにアクセスすると
きは、NAT は必要とされません。外部から内部への NAT を実行するには、outside キーワードを使用
する別の nat コマンドを作成する必要があるためです。外部 NAT を適用しない場合、このアドレス グ
ループがセキュリティ レベルの高いインターフェイスにアクセスするときは、上記の NAT 要件がその
アドレス グループに対して有効になります。static コマンドで指定されているトラフィックは影響を受
けません。
ダイナミック NAT および PAT のライセンス要件
次の表に、これらの機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-10
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ガイドラインと制限事項
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
• シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。
ファイアウォール モードのガイドライン
• ルーテッド ファイアウォール モードと透過ファイアウォール モードでだけサポートされています。
その他のガイドラインと制限事項
ダイナミック NAT および PAT では、次の機能はサポートされていません。
• NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに
新しい NAT 情報を使用する必要がある場合は、clear xlate コマンドを使用して変換テーブルを消
去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断さ
れます。
• 他の nat コマンドで重複アドレスを指定できます。たとえば、1 つのコマンドで 10.1.1.0 を指定し
ても、別のコマンドで 10.1.1.1 を指定できます。トラフィックは、最初の一致が見つかるまで順序
どおりにポリシー NAT コマンドと照合されます。または、標準 NAT の場合は、最も適合するもの
が使用されます。
• NAT 免除を除くすべてのタイプの NAT は、ポリシー NAT をサポートします。NAT 免除では、ア
クセスリストを使用して実際のアドレスを指定しますが、ポートが考慮されない点でポリシー
NAT とは異なります。ポリシー NAT をサポートするスタティック アイデンティティ NAT を使用
することでも、NAT 免除と同じ結果が得られます。
• ダイナミック PAT の使用時、アクセスリストで許可されていれば、リモートホストは変換が継続
している間に変換済みホストへの接続を開始できます。実際のアドレスおよびマッピング アドレ
スはどちらも予測不可能であるため、ホストへの接続は確立されません。ただし、この場合は、ア
クセスリストのセキュリティに依存できます。
• マッピングされたプールにあるアドレスが実際のグループより少ない場合、予想以上にトラフィッ
クが多いと、アドレスが不足する可能性があります。これが頻繁に起こる場合は、PAT を使用しま
す。PAT では、1 つのアドレスの複数のポートを使用して 64,000 件を超える変換が提供されます。
• マッピングされたプール内のルーティング可能なアドレスを多数使用する必要があります。イン
ターネットなど、宛先ネットワークが登録アドレスを要求する場合は、使用可能なアドレスが不足
する可能性があります。
デフォルト設定
表 28-1 に、ポリシー NAT と標準 NAT のコマンド オプションとデフォルト設定を示します。表 28-2
に、標準 NAT の追加コマンド オプションを示します。
コマンド オプションの詳細については、『Cisco Security Appliance Command Reference』の nat コマ
ンドを参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-11
第 28 章
ダイナミック NAT および PAT の設定
デフォルト設定
表 28-1
ポリシー NAT と標準 NAT のコマンド オプションとデフォルト設定
コマンド
目的
access-list acl_name
拡張アクセスリストを使用して、実際のアドレスと宛先アドレスを指定し
ます。access-list extended コマンドを使用して、拡張アクセスリストを
作成します (第 11 章「拡張アクセスリストの追加」を参照)。このアク
セスリストには、許可 ACE だけを含めます。eq 演算子を使用して、アク
セスリストに実際のポートおよび宛先ポートをオプションで指定できま
す。ポリシー NAT は、inactive と time-range の各キーワードを考慮し
ますが、すべての inactive ACE と time-range ACE が含まれた ACL は
サポートしていません。
nat_id
1 ~ 65535 の整数。NAT ID は、global コマンドの NAT ID と一致する必要
「ダイナミック NAT お
があります。NAT ID の使用方法の詳細については、
よび PAT の実装に関する情報」(P.28-5)を参照してください。0 は、
NAT 免除用に予約されています (NAT 免除の詳細については、「スタ
。
ティック アイデンティティ NAT の設定」(P.31-5)を参照してください)
dns
nat コマンドに DNS サーバ内にエントリを持つホストのアドレスが含ま
れており、その DNS サーバがクライアントと異なるインターフェイス上
にある場合、クライアントと DNS サーバでホストのアドレスが異なって
いる必要があります。一方にはマッピング アドレスが、もう一方には実
際のアドレスが必要です。このオプションにより、クライアントに対する
DNS 応答内でアドレスが書き換えられます。変換済みのホストは、クラ
イアントまたは DNS サーバのいずれかと同じインターフェイス上にある
必要があります。一般に、他のインターフェイスからのアクセスを許可す
る必要のあるホストはスタティック変換を使用するため、このオプション
「DNS
は多くの場合、static コマンドで使用されます (詳細については、
および NAT」(P.26-11)を参照してください)。
outside
このインターフェイスのセキュリティ レベルが、一致する global 文で指
定したインターフェイスのセキュリティ レベルより低い場合、outside を
入力して NAT インスタンスを外部 NAT として指定する必要があります。
norandomseq, tcp tcp_max_conns, udp
udp_max_conns, and emb_limit
これらのキーワードは、接続制限値を設定します。ただし、接続制限値の設
定には、より汎用的な方法を使用することをお勧めします。詳細について
は、第 53 章「接続の制限値とタイムアウトの設定」を参照してください。
tcp_max_conns、emb_limit、および udp_max_conns のデフォルト値は 0
(無制限)で、使用可能な最大値となります。
表 28-2
nat_id
標準 NAT のコマンド オプションとデフォルト設定
1 ~ 2147483647 の整数。NAT ID は、global コマンドの
NAT ID と一致する必要があります。NAT ID の使用方法の
詳細については、「ダイナミック NAT および PAT の実装に
関する情報」(P.28-5)を参照してください。0 は、アイデ
ンティティ NAT 用に予約されています。アイデンティティ
NAT の詳細については、「アイデンティティ NAT の設定」
(P.31-1)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-12
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT または PAT の設定
ダイナミック NAT または PAT の設定
この項では、ダイナミック NAT またはダイナミック PAT を設定する方法について説明します。次の項
目を取り上げます。
• 「ダイナミック NAT および PAT の設定のタスク フロー」(P.28-13)
• 「ポリシー ダイナミック NAT の設定」(P.28-15)
• 「標準ダイナミック NAT の設定」(P.28-17)
ダイナミック NAT および PAT の設定のタスク フロー
次のガイドラインを使用して、ダイナミック NAT または PAT のいずれかを設定します。
• まず、指定されたインターフェイス上の変換対象の実際のアドレスを特定する nat コマンドを設定
します。
• 次に、別の global コマンドを設定して、別のインターフェイスを出るときのマッピング アドレス
を指定します (PAT の場合、これは 1 つのアドレスです)。各 nat コマンドは、各コマンドに割り
当てた番号である NAT ID を比較することにより、global コマンドと照合されます。
(注)
ダイナミック NAT とダイナミック PAT のコンフィギュレーションはほぼ同じです。NAT の場合は
マッピング アドレスの範囲を指定し、PAT の場合は 1 つのアドレスを指定する点だけが異なります。
図 28-9 に、一般的なダイナミック NAT のシナリオを示します。変換済みのホストだけが NAT セッ
ションを作成でき、応答トラフィックが許可されます。マッピング アドレスは、global コマンドで定
義されたプールからダイナミックに割り当てられます。
図 28-9
ダイナミック NAT
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
209.165.201.1
10.1.1.2
209.165.201.2
ౝㇱ
ᄖㇱ
130032
10.1.1.1
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-13
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT または PAT の設定
図 28-10 に、一般的なダイナミック PAT のシナリオを示します。変換済みのホストだけが NAT セッ
ションを作成でき、応答トラフィックが許可されます。global コマンドで定義されたマッピング アド
レスはどの変換でも同じですが、ポートがダイナミックに割り当てられます。
図 28-10
ダイナミック PAT
10.1.1.1:1025
209.165.201.1:2020
10.1.1.1:1026
209.165.201.1:2021
10.1.1.2:1025
209.165.201.1:2022
ౝㇱ
ᄖㇱ
130034
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
ダイナミック NAT の詳細については、
「ダイナミック NAT に関する情報」
(P.28-1)を参照してくださ
い。PAT の詳細については、「PAT に関する情報」(P.28-4)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-14
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT または PAT の設定
ポリシー ダイナミック NAT の設定
ダイナミック NAT および PAT を設定し、別のインターフェイス上のマッピング アドレスに変換され
る特定のインターフェイス上の実際のアドレスを指定するには、次の手順を実行します。
ステップ 1
コマンド
目的
nat (real_interface) nat_id access-list
acl_name [dns] [outside][[tcp]
tcp_max_conns [emb_limit]] [udp
udp_max_conns][norandomseq]
ダイナミック ポリシー NAT または PAT を設定し、マッピング ア
ドレスのプールの 1 つに変換する指定されたインターフェイス上
の実際のアドレスを特定します。
例例 :
hostname(config)# nat (inside) 1
access-list NET1 tcp 0 2000 udp 10000
real_interface には、実際の IP アドレス ネットワークに接続する
インターフェイスの名前を指定します。
nat_id は nat コマンドの NAT ID と一致する必要があります。一
致した nat コマンドにより、このインターフェイスを出るときに
変換するアドレスが指定されます。1 つのアドレス(PAT の場合)
またはアドレスの範囲(NAT の場合)を指定できます。必要であ
れば、サブネットの境界を横断する範囲を指定できます。たとえ
ば、192.168.1.1-192.168.2.254 という「スーパーネット」を指
定できます。
ポリシー NAT では、nat_id 引数は、1 ~ 65535 の整数になります。
access-list キーワードは、拡張アクセスリストを使用して、ロー
カル アドレスと宛先 / 送信元アドレスを特定します。
acl_name 引数には、アクセスリストの名前を指定します。
dns オプションは、このスタティックに一致する DNS 応答の A レ
コードまたはアドレス レコードをリライトします。マッピング イ
ンターフェイスから他のインターフェイスに移動する DNS 応答で
は、A レコードはマップされた値から実際の値へリライトされま
す。逆に、任意のインターフェイスからマッピング インターフェ
イスに移動する DNS 応答では、A レコードは実際の値からマップ
された値へリライトされます。
このインターフェイスのセキュリティ レベルが、一致する global
文で指定したインターフェイスのセキュリティ レベルより低い場
合、オプションの outside キーワードを入力します。この機能は、
NAT または双方向 NAT の外側で呼び出されます。
tcp オプションは、プロトコルを TCP で指定します。
tcp_max_cons 引数には、ローカル ホストで許可された同時 TCP
接続の最大数を指定します(local-host コマンドを参照)。デフォ
ルト値は 0 です。これは、接続が無制限であることを示します
(timeout conn コマンドで指定されたアイドル タイムアウトのあ
と、アイドル接続が閉じます)。
emb_limit オプションには、ホストごとの初期接続の最大数を指定
します。デフォルト値は 0 です。これは、初期接続が無制限であ
ることを示します。
udp udp_max_conns オプションには、ローカル ホストで許可され
た同時 UDP 接続の最大数を指定します。デフォルト値は 0 です。
これは、接続が無制限であることを示します。
norandomseq オプションは、TCP ISN ランダム化の保護をディ
セーブルにします。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-15
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT または PAT の設定
コマンド
ステップ 2 global (mapped_interface) nat_id
{mapped_ip[-mapped_ip] | interface}
例:
hostname(config)# global (outside) 1
209.165.202.129
目的
特定のインターフェイスを出るときに実際のアドレスから変換す
るマッピング アドレスを指定します (PAT の場合、これは 1 つの
アドレスです)。
real_interface オプションには、マッピング IP アドレス ネット
ワークに接続するインターフェイスの名前を指定します。
nat_id 引数は、global コマンドの NAT ID と一致する必要があり
ます。NAT ID の使用については、「ダイナミック NAT および
PAT の実装に関する情報」(P.28-5)を参照してください。
mapped_ip mapped_ip には、マッピング インターフェイスを出る
ときに実際のアドレスから変換するマッピング アドレスを指定し
ます。1 つのアドレスを指定する場合は、PAT を設定します。ア
ドレスの範囲を指定する場合は、ダイナミック NAT を設定しま
す。外部ネットワークがインターネットに接続している場合、各
グローバル IP アドレスを Network Information Center(NIC)に
登録する必要があります。
interface キーワードは、インターフェイスの IP アドレスをマッ
ピング アドレスとして使用します。このキーワードは、インター
フェイスのアドレスを使用するときに、そのアドレスが DHCP を
使用してダイナミックに割り当てられている場合に使用します。
その他のコマンド オプションの詳細については、表 28-1 の「ポリ
シー NAT と標準 NAT のコマンド オプションとデフォルト設定」
を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-16
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT または PAT の設定
標準ダイナミック NAT の設定
標準 NAT を設定し、別のインターフェイス上のマッピング アドレスに変換される特定のインターフェ
イス上の実際のアドレスを指定するには、次の手順を実行します。
コマンド
目的
ステップ 1 nat (real_interface) nat_id real_ip [mask
[dns] [outside]] [[tcp] tcp_max_conns
[emb_limit]] [udp udp_max_conns]]
[norandomseq]
例:
hostname(config)# nat (inside) 1 10.1.2.0
255.255.255.0
ダイナミック NAT または PAT を設定し、マッピング アドレスの
プールの 1 つに変換する指定されたインターフェイス上の実際の
アドレスを特定します。
nat_id は nat コマンドの NAT ID と一致する必要があります。一
致した nat コマンドにより、このインターフェイスを出るときに
変換するアドレスが指定されます。1 つのアドレス(PAT の場合)
またはアドレスの範囲(NAT の場合)を指定できます。必要であ
れば、サブネットの境界を横断する範囲を指定できます。たとえ
ば、192.168.1.1-192.168.2.254 という「スーパーネット」を指
定できます。標準 NAT では、nat_id 引数は、1 ~ 2147483647 の
整数になります。
real_ip 引数には、変換する実際のアドレスを指定します。すべて
のアドレスの指定に 0.0.0.0(または省略形の 0)を使用できます。
mask 引数には、実際のアドレスのサブネット マスクを指定しま
す。マスクを入力しない場合、IP アドレス クラスのデフォルトの
マスクが使用されます。
dns キーワードは、このコマンドに一致する DNS 応答の A レ
コードまたはアドレス レコードをリライトします。マッピング イ
ンターフェイスから他のインターフェイスに移動する DNS 応答
では、A レコードはマップされた値から実際の値へリライトされ
ます。逆に、任意のインターフェイスからマッピング インター
フェイスに移動する DNS 応答では、A レコードは実際の値から
マップされた値へリライトされます。
このインターフェイスのセキュリティ レベルが、一致する global
文で指定したインターフェイスのセキュリティ レベルより低い場
合、outside オプションを入力します。この機能は、NAT または
双方向 NAT の外側で呼び出されます。
tcp tcp_max_cons 引数には、ローカル ホストで許可された同時
TCP 接続の最大数を指定します (local-host コマンドを参照して
ください)。デフォルト値は 0 です。これは、接続が無制限であ
ることを示します (timeout conn コマンドで指定されたアイド
ル タイムアウトのあと、アイドル接続が閉じます)。
udp udp_max_conns には、ローカル ホストで許可された同時
UDP 接続の最大数を指定します。(local-host コマンドを参照し
てください)。デフォルト値は 0 です。これは、接続が無制限で
あることを示します (timeout conn コマンドで指定されたアイ
ドル タイムアウトのあと、アイドル接続が閉じます)。
norandomseq キーワードは、TCP ISN ランダム化の保護をディ
セーブルにします。NAT 免除(nat 0 access-list)ではサポートさ
れていません。この引数は CLI で入力できますが、コンフィギュ
レーションには保存されません。
(コマンド オプションの詳細については、『Cisco Security
Appliance Command Reference』を参照してください。)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-17
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT の監視
コマンド
目的
ステップ 2 global (mapped_interface) nat_id
{mapped_ip[-mapped_ip] | interface}
例:
hostname(config)# global (outside) 1
209.165.201.3-209.165.201.10
特定のインターフェイスを出るときに実際のアドレスから変換す
るマッピング アドレスを指定します。
real_interface オプションには、マッピング IP アドレス ネット
ワークに接続するインターフェイスの名前を指定します。
nat_id は、global コマンドの NAT ID と一致する必要がありま
す。NAT ID の使用方法の詳細については、「ダイナミック NAT
および PAT の実装に関する情報」(P.28-5)を参照してください。
mapped_ip mapped_ip には、マッピング インターフェイスを出る
ときに実際のアドレスから変換するマッピング アドレスを指定し
ます。1 つのアドレスを指定する場合は、PAT を設定します。ア
ドレスの範囲を指定する場合は、ダイナミック NAT を設定しま
す。外部ネットワークがインターネットに接続している場合、各
グローバル IP アドレスを Network Information Center(NIC)に
登録する必要があります。
interface キーワードは、インターフェイスの IP アドレスをマッ
ピング アドレスとして使用します。このキーワードは、インター
フェイスのアドレスを使用するときに、そのアドレスが DHCP を
使用してダイナミックに割り当てられている場合に使用します。
その他のコマンド オプションの詳細については、表 28-1 の「ポ
リシー NAT と標準 NAT のコマンド オプションとデフォルト設
定」を、標準 NAT に固有の情報については、表 28-2 をそれぞれ
参照してください。
ダイナミック NAT および PAT の監視
ダイナミック NAT および PAT を監視するには、次のタスクを実行します。
コマンド
show running-config nat
目的
ネットワークに関連付けられているグローバル
IP アドレスのプールを表示します。
ダイナミック NAT および PAT の設定例
たとえば、内部インターフェイス上の 10.1.1.0/24 ネットワークを変換するには、次のコマンドを入力
します。
hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.30
ダイナミック NAT 用のアドレス プールを、NAT プールを使い果たしたときのための PAT アドレスと
ともに指定するには、次のコマンドを入力します。
hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.5
hostname(config)# global (outside) 1 209.165.201.10-209.165.201.20
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-18
OL-18970-01-J
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT の機能履歴
ルーティングの簡略化などのために、セキュリティの低い DMZ(非武装地帯)のネットワーク アドレ
スを変換して内部ネットワーク(10.1.1.0)と同じネットワーク上に表示するには、次のコマンドを入
力します。
hostname(config)# nat (dmz) 1 10.1.2.0 255.255.255.0 outside dns
hostname(config)# global (inside) 1 10.1.1.45
ポリシー NAT を使用して、1 つの実際のアドレスに 2 つの異なる宛先アドレスを指定するには、次の
コマンドを入力します(これに関する図については、「図 26-3」(P.26-6)を参照してください)。
hostname(config)#
255.255.255.224
hostname(config)#
255.255.255.224
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0
access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224
nat (inside) 1 access-list NET1 tcp 0 2000 udp 10000
global (outside) 1 209.165.202.129
nat (inside) 2 access-list NET2 tcp 1000 500 udp 2000
global (outside) 2 209.165.202.130
ポリシー NAT を使用して、それぞれが異なるポートを使用する、1 つの実際のアドレスと宛先アドレ
スのペアを指定するには、次のコマンドを入力します(これに関する図については、「図 26-4」
(P.26-7)を参照してください)。
hostname(config)# access-list WEB permit tcp 10.1.2.0 255.255.255.0 209.165.201.11
255.255.255.255 eq 80
hostname(config)# access-list TELNET permit tcp 10.1.2.0 255.255.255.0 209.165.201.11
255.255.255.255 eq 23
hostname(config)# nat (inside) 1 access-list WEB
hostname(config)# global (outside) 1 209.165.202.129
hostname(config)# nat (inside) 2 access-list TELNET
hostname(config)# global (outside) 2 209.165.202.130
ダイナミック NAT および PAT の機能履歴
表 28-3 に、この機能のリリース履歴の一覧を示します。
表 28-3
ダイナミック NAT および PAT の機能履歴
機能名
リリース
機能情報
透過ファイアウォール モードでの NAT
8.0(2)
NAT は現在、透過ファイアウォール モードでサポートさ
れています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
28-19
第 28 章
ダイナミック NAT および PAT の設定
ダイナミック NAT および PAT の機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
28-20
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz