CHAPTER 27 NAT 制御の設定 この章では、Network Address Translation(NAT; ネットワーク アドレス変換)制御について説明しま す。次の項目を取り上げます。 • 「NAT 制御に関する情報」(P.27-1) • 「ライセンス要件」(P.27-4) • 「NAT 制御の前提条件」(P.27-4) • 「ガイドラインと制限事項」(P.27-4) • 「デフォルト設定」(P.27-5) • 「NAT 制御の設定」(P.27-5) • 「NAT 制御の監視」(P.27-5) • 「NAT 制御の設定例」(P.27-5) • 「NAT 制御の機能履歴」(P.27-6) NAT 制御に関する情報 この項では、NAT 制御について説明します。次の項目を取り上げます。 • 「NAT 制御と内部インターフェイス」(P.27-2) • 「NAT 制御と同じセキュリティ レベルのインターフェイス」(P.27-2) • 「NAT 制御と外部のダイナミック NAT」(P.27-2) • 「NAT 制御とスタティック NAT」(P.27-3) • 「NAT 制御がイネーブルな状態での NAT のバイパス」(P.27-3) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 27-1 第 27 章 NAT 制御の設定 NAT 制御に関する情報 NAT 制御と内部インターフェイス NAT 制御では、内部インターフェイスから外部インターフェイスに移動するパケットが NAT 規則と一 致することが要求されます。内部ネットワークの任意のホストが外部ネットワークのホストにアクセス できるようにするには、内部ホスト アドレスが変換されるように NAT を設定する必要があります (図 27-1 を参照)。 図 27-1 NAT 制御と発信トラフィック ࠠࡘ࠹ࠖ ࠕࡊࠗࠕࡦࠬ 10.1.1.1 209.165.201.1 NAT ౝㇱ 132212 10.1.2.1 NAT ߥߒ ᄖㇱ NAT 制御と同じセキュリティ レベルのインターフェイス 同じセキュリティ レベルのインターフェイスは、NAT を使用して通信することを要求されません。た だし、ダイナミック NAT または Port Address Translation(PAT; ポート アドレス変換)を同じセキュ リティ レベルのインターフェイス上に設定した場合は、そのインターフェイスから同じセキュリティ レベルのインターフェイス、または外部インターフェイスに向かうすべてのトラフィックは、NAT 規 則と一致する必要があります(図 27-2 を参照)。 図 27-2 NAT 制御と同じセキュリティ レベルのトラフィック ࠠࡘ࠹ࠖ ࠕࡊࠗࠕࡦࠬ ࠠࡘ࠹ࠖ ࠕࡊࠗࠕࡦࠬ 10.1.1.1 10.1.1.1 NAT ߥߒ ࠳ࠗ࠽ࡒ࠶ࠢ NAT 209.165.201.1 10.1.1.1 ࡌ࡞ 50 ࡌ࡞ 50 ࡌ࡞ 50 ࡌ࡞ 50 ߹ߚߪ ᄖㇱ 132215 10.1.2.1 NAT ߥߒ NAT 制御と外部のダイナミック NAT 同様に、外部のダイナミック NAT または PAT をイネーブルにした場合、すべての外部トラフィック は、内部インターフェイスにアクセスするときに、NAT 規則と一致する必要があります (図 27-3 を 参照)。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 27-2 OL-18970-01-J 第 27 章 NAT 制御の設定 NAT 制御に関する情報 NAT 制御と着信トラフィック ࠠࡘ࠹ࠖ ࠕࡊࠗࠕࡦࠬ ࠠࡘ࠹ࠖ ࠕࡊࠗࠕࡦࠬ 209.165.202.129 209.165.202.129 NAT ߥߒ ᄖㇱ 209.165.202.129 ౝㇱ 10.1.1.50 ࠳ࠗ࠽ࡒ࠶ࠢ NAT 209.165.200.240 NAT ߥߒ ᄖㇱ ౝㇱ 132213 図 27-3 NAT 制御とスタティック NAT NAT 制御はスタティック NAT に影響を与えず、ダイナミック NAT で見られる制限は発生しません。 NAT 制御がイネーブルな状態での NAT のバイパス NAT 制御によってセキュリティを強化し、同時に内部アドレスの変換を回避する必要がある場合は、 それらのアドレスに対して NAT 免除規則またはアイデンティティ NAT 規則を適用できます。 NAT 制御をイネーブルにすると、外部ホストにアクセスする際に、内部ホストは NAT 規則と一致する 必要があります。一部のホストに対して NAT が実行されないようにするには、それらのホストに対す る NAT をバイパスするか、または、NAT 制御をディセーブルにする方法もあります。たとえば、NAT をサポートしていないアプリケーションを使用している場合も NAT をバイパスできます。NAT をサ ポートしていない検査エンジンについては、「アプリケーション プロトコル検査を使用するタイミン グ」(P.40-2)を参照してください。 次の 3 つの方法のいずれかを使用して、トラフィックが NAT をバイパスするように設定できます。ど の方法でも、検査エンジンとの互換性が実現されます。ただし、それぞれの方法で提供される機能は、 わずかに異なります。 • アイデンティティ NAT(nat 0 コマンド):アイデンティティ NAT(ダイナミック NAT と類似) を設定するときは、変換を特定のインターフェイス上のホストに限定しません。つまり、アイデン ティティ NAT は、すべてのインターフェイスを通過する接続に対して使用する必要があります。 したがって、インターフェイス A にアクセスするときに実際のアドレスに対して通常の変換を実 行し、インターフェイス B にアクセスするときにアイデンティティ NAT を使用するということは 選択できません。一方、標準ダイナミック NAT では、アドレスを変換する特定のインターフェイ スを指定できます。アイデンティティ NAT を適用する実際のアドレスは、アクセスリストで使用 可能となっているすべてのネットワークでルーティング可能である必要があります。 アイデンティティ NAT では、マッピング アドレスは実際のアドレスと同じものになりますが、外 部から内部への接続を開始することはできません(インターフェイス アクセスリストでそれが許 可されている場合も同じです)。そのような機能が必要な場合は、スタティック アイデンティティ NAT または NAT 免除を使用します。 • スタティック アイデンティティ NAT(static コマンド): スタティック アイデンティティ NAT で は、インターフェイスを指定して実際のアドレスの表示を許可できるため、インターフェイス A にアクセスするときにアイデンティティ NAT を使用し、インターフェイス B にアクセスするとき に通常の変換を使用できます。スタティック アイデンティティ NAT では、ポリシー NAT も使用 できます。ポリシー NAT では、変換対象の実際のアドレスを決定するときに、実際のアドレスと 「ポリシー NAT」 (P.26-5)を参 宛先アドレスが指定されます (ポリシー NAT の詳細については、 照してください)。たとえば、内部アドレスが外部インターフェイスにアクセスするとき、宛先が サーバ A である場合は内部アドレスに対してスタティック アイデンティティ NAT を使用し、外部 サーバ B にアクセスする場合は通常の変換を使用できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 27-3 第 27 章 NAT 制御の設定 ライセンス要件 • NAT 免除(nat 0 access-list コマンド):NAT 免除では、変換済みのホストおよびリモート ホスト の両方が接続を開始できます。アイデンティティ NAT と同様に、変換を特定のインターフェイス 上のホストに限定しません。すべてのインターフェイスを通過する接続に対して NAT 免除を使用 する必要があります。ただし、NAT 免除では、変換対象の実際のアドレスを決定するときに実際 のアドレスおよび宛先アドレスを指定できます(ポリシー NAT と類似)。したがって、NAT 免除 を使用すると制御力が高くなります。しかし、ポリシー NAT とは異なり、NAT 免除では、アクセ スリストのポートは考慮されません。また、NAT 免除では、最大 TCP 接続数などの接続設定はサ ポートしていません。 ライセンス要件 モデル ライセンス要件 すべてのモデル 基本ライセンス NAT 制御の前提条件 NAT 制御には次の前提条件があります。 • NAT 制御では、内部インターフェイスから外部インターフェイスに移動するパケットが NAT 規則 と一致することが要求されます。内部ネットワークの任意のホストが外部ネットワークのホストに アクセスできるようにするには、内部ホスト アドレスが変換されるように NAT を設定する必要が あります。 • 同じセキュリティ レベルのインターフェイスは、NAT を使用して通信することを要求されません。 ただし、ダイナミック NAT または PAT を同じセキュリティ レベルのインターフェイス上に NAT 制御をイネーブルにして設定した場合は、そのインターフェイスから同じセキュリティ レベルの インターフェイス、または外部インターフェイスに向かうすべてのトラフィックは、NAT 規則と 一致する必要があります。 • 同様に、外部のダイナミック NAT または PAT を NAT 制御でイネーブルにした場合、すべての外 部トラフィックは、内部インターフェイスにアクセスするときに、NAT 規則と一致する必要があ ります。 • NAT 制御によるスタティック NAT では、これらの制限は発生しません。 ガイドラインと制限事項 この項では、この機能のガイドラインと制限事項について説明します。 コンテキスト モードのガイドライン • シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。 • マルチコンテキスト モードでは、共有インターフェイスで固有の MAC アドレスをイネーブルにし ない場合、パケット分類子が NAT コンフィギュレーションに依存してパケットをコンテキストに 割り当てる場合があります。分類子と NAT の関係の詳細については、「セキュリティ アプライア ンスによるパケットの分類方法」(P.5-3)を参照してください。 ファイアウォール モードのガイドライン ルーテッド モードとトランスペアレント モードでサポートされます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 27-4 OL-18970-01-J 第 27 章 NAT 制御の設定 デフォルト設定 その他のガイドラインと制限事項 NAT 制御によってセキュリティを強化し、同時に内部アドレスの変換を回避する必要がある場合は、 それらのアドレスに対して NAT 免除規則(nat 0 access-list)またはアイデンティティ NAT 規則(nat 0 または static)を適用できます。 デフォルト設定 デフォルトでは、NAT 制御はディセーブルになっています。したがって、NAT を実行する場合以外、 いずれのネットワークにおいても NAT を実行する必要はありません。ただし、以前のバージョンのソ フトウェアからアップグレードした場合は、NAT 制御がシステムでイネーブルになっている可能性が あります。NAT 制御がディセーブルになっている場合でも、ダイナミック NAT を設定するアドレスで NAT を実行する必要があります。ダイナミック NAT の適用方法については、第 28 章「ダイナミック NAT および PAT の設定」を参照してください。 NAT 制御の設定 NAT 制御をイネーブルにするには、次のコマンドを入力します。 コマンド 目的 nat-control NAT 制御をイネーブルにします。 例: hostname(config)# nat-control NAT 制御をディセーブルにするには、このコマンドの no 形式を入力しま す。 NAT 制御の監視 NAT 制御を監視するには、次のいずれかのタスクを実行します。 コマンド 目的 show running-config nat-control NAT の設定要件を表示します。 NAT 制御の設定例 NAT 制御が no-nat control コマンドでディセーブルにされ、NAT と global コマンドのペアがインター フェイスに設定されたとき、実際の IP アドレスは、nat 0 access-list コマンドで宛先を定義しない限 り、他のインターフェイスで送信されません。 たとえば、次の NAT は、外部ネットワークへ向かうときに実行するものです。 nat (inside) 1 0.0.0.0 0.0.0.0 global (outside) 1 209.165.201.2 上記の設定では内部ネットワークですべてが取得するため、内部アドレスが DMZ へ向かうときにそれ らのアドレス変換しない場合は、次の例のように、そのトラフィックを NAT 免除と一致させる必要が あります。 access-list EXEMPT extended permit ip any 192.168.1.0 255.255.255.0 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 27-5 第 27 章 NAT 制御の設定 NAT 制御の機能履歴 access-list EXEMPT remark This matches any traffic going to DMZ1 access-list EXEMPT extended permit ip any 10.1.1.0 255.255.255.0 access-list EXEMPT remark This matches any traffic going to DMZ1 nat (inside) 0 access-list EXEMPT また、すべてのインターフェイスで NAT 変換を実行できます。 nat (inside) 1 0.0.0.0 0.0.0.0 global (outside) 1 209.165.201.2 global (dmz1) 1 192.168.1.230 global (dmz2) 1 10.1.1.230 NAT 制御の機能履歴 表 27-1 に、この機能のリリース履歴の一覧を示します。 表 27-1 NAT 制御の機能履歴 機能名 リリース 機能情報 NAT 制御をイネーブルおよびディセーブルに する機能 7.0(1) NAT 制御をイネーブルおよびディセーブルにする機能が導 入されました。 nat-control コマンドが導入されました。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 27-6 OL-18970-01-J
© Copyright 2026 Paperzz