この章

CHAPTER
31
NAT のバイパス
NAT 制御をイネーブルにすると、外部ホストにアクセスする際に、内部ホストは NAT 規則と一致する
必要があります。NAT 制御をイネーブルにするときに NAT をバイパスして、ローカル IP アドレスを
変換せずに表示することができます。また、NAT をサポートしていないアプリケーションを使用して
いる場合も NAT をバイパスできます。NAT をサポートしていない検査エンジンについては、「アプリ
ケーションプロトコル検査を使用するタイミング」（P.40-2）を参照してください。
NAT は、アイデンティティ NAT、スタティックアイデンティティ NAT、または NAT 免除を使用する
ことでバイパスできます。
この章では、NAT のバイパス方法について説明します。次の項目を取り上げます。
• 「アイデンティティ NAT の設定」（P.31-1）
• 「スタティックアイデンティティ NAT の設定」（P.31-5）
• 「NAT 免除の設定」（P.31-11）
アイデンティティ NAT の設定
この項は、次の内容で構成されています。
• 「アイデンティティ NAT に関する情報」（P.31-2）
• 「アイデンティティ NAT のライセンス要件」（P.31-2）
• 「アイデンティティ NAT のガイドラインと制限事項」（P.31-2）
• 「アイデンティティ NAT のデフォルト設定」（P.31-3）
• 「アイデンティティ NAT の設定」（P.31-4）
• 「アイデンティティ NAT の監視」（P.31-5）
• 「アイデンティティ NAT の機能履歴」（P.31-5）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-1
第 31 章
NAT のバイパス
アイデンティティ NAT の設定
アイデンティティ NAT に関する情報
アイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。
「変換済み」のホ
ストだけが NAT 変換を作成でき、応答トラフィックが許可されます。
アイデンティティ NAT（ダイナミック NAT と類似）を設定するときは、変換を特定のインターフェイ
ス上のホストに限定しません。つまり、アイデンティティ NAT は、すべてのインターフェイスを通過
する接続に対して使用する必要があります。たとえば、インターフェイス A にアクセスするときに実
際のアドレスに対して通常の変換を実行し、インターフェイス B にアクセスするときにアイデンティ
ティ NAT を使用するという選択はできません。アイデンティティ NAT は、すべてのインターフェイ
スを通過するすべての接続に対して使用するため、アイデンティティ NAT を適用する実際のアドレス
は、アクセスリストで使用可能となっているすべてのネットワークでルーティング可能である必要があ
ります。
（注）
アドレスを変換するために特定のインターフェイスを指定する必要がある場合は、標準ダイナミック
NAT を使用します。
図 31-1 に、一般的なアイデンティティ NAT のシナリオを示します。
図 31-1
アイデンティティ NAT
209.165.201.1
209.165.201.1
209.165.201.2
209.165.201.2
ౝㇱ
ᄖㇱ
130033
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
アイデンティティ NAT のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
アイデンティティ NAT のガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキストモードのガイドライン
• シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
• ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-2
OL-18970-01-J
第 31 章
NAT のバイパス
アイデンティティ NAT の設定
その他のガイドラインと制限事項
アイデンティティ NAT には、次のガイドラインと制限事項が適用されます。
• NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待機せずに
新しい NAT 情報を使用する必要がある場合は、clear xlate コマンドを使用して変換テーブルを消
去できます。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断さ
れます。
• アイデンティティ NAT を適用する実際のアドレスは、アクセスリストで使用可能となっているす
べてのネットワークでルーティング可能である必要があります。
• アイデンティティ NAT では、マッピングアドレスは実際のアドレスと同じものになりますが、外
部から内部への接続を開始することはできません（インターフェイスアクセスリストでそれが許
可されている場合も同じです）。そのような機能が必要な場合は、スタティックアイデンティティ
NAT または NAT 免除を使用します。
アイデンティティ NAT のデフォルト設定
表 31-1 に、アイデンティティ NAT パラメータのデフォルト設定を示します。
表 31-1
アイデンティティ NAT のデフォルトパラメータ
パラメータ
デフォルト
emb_limit
デフォルト値は 0 です。これは、初期接続が無制
限であることを示します。
tcp tcp_max_conns
デフォルト値は 0 です。これは、接続が無制限で
あることを示します。
udp udp_max_conns
デフォルト値は 0 です。これは、接続が無制限で
あることを示します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-3
第 31 章
NAT のバイパス
アイデンティティ NAT の設定
アイデンティティ NAT の設定
アイデンティティ NAT を設定するには、次のコマンドを入力します。
コマンド
目的
nat (real_interface) nat_id real_ip
[mask [dns] [outside] [norandomseq]
[[tcp] tcp_max_conns [emb_limit]] [udp
udp_max_conns]
内部 10.1.1.0/24 ネットワークに対してアイデンティティ NAT を設定します。
例:
hostname(config)# nat (inside) 0
10.1.1.0 255.255.255.0
real_interface 引数には、実際の IP アドレスネットワークに接続するイン
ターフェイスの名前を指定します。
nat_id 引数には、NAT ID の整数を指定します。アイデンティティ NAT で
は、NAT ID に 0 を使用します。この ID は、グローバルプールを real_ip
と関連付けるために global コマンドで参照されます。
real_ip 引数には、変換する実際のアドレスを指定します。すべてのアドレ
スの指定に 0.0.0.0（または省略形の 0）を使用できます。
オプションの mask 引数には、実際のアドレスのサブネットマスクを指定
します。マスクを入力しない場合、IP アドレスクラスのデフォルトのマス
クが使用されます。
オプションの dns キーワードは、このコマンドに一致する DNS 応答の A
レコードまたはアドレスレコードをリライトします。マッピングインター
フェイスから他のインターフェイスに移動する DNS 応答では、A レコード
はマップされた値から実際の値へリライトされます。逆に、任意のイン
ターフェイスからマッピングインターフェイスに移動する DNS 応答では、
A レコードは実際の値からマップされた値へリライトされます。
このインターフェイスのセキュリティレベルが、一致する global 文で指定
したインターフェイスのセキュリティレベルより低い場合、outside を入
力する必要があります。
オプションの norandomseq キーワードは、TCP ISN ランダム化の保護を
ディセーブルにします。
オプションの tcp tcp_max_conns キーワードと引数には、ローカルホスト
で許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0 で
す。これは、接続が無制限であることを示します。
オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定
します。デフォルト値は 0 です。これは、初期接続が無制限であることを
示します。
オプションの udp udp_max_conns キーワードと引数には、ローカルホス
トで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0 で
す。これは、接続が無制限であることを示します
（コマンドオプションの詳細については、『Cisco Security Appliance
Command Reference』の nat コマンドを参照してください）。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-4
OL-18970-01-J
第 31 章
NAT のバイパス
スタティックアイデンティティ NAT の設定
アイデンティティ NAT の監視
NAT バイパスを監視するには、次のコマンドを入力します。
コマンド
目的
show running-config nat
ネットワークに関連付けられているグローバル
IP アドレスのプールを表示します。
アイデンティティ NAT の機能履歴
表 31-2 に、この機能のリリース履歴の一覧を示します。
表 31-2
アイデンティティ NAT の機能履歴
機能名
リリース
機能情報
アイデンティティ NAT
7.0
アイデンティティ NAT では、実際の IP アドレスが同じ IP
アドレスに変換されます。アイデンティティ NAT は、すべ
てのインターフェイスを通過する接続に対して使用します。
NAT
8.0(2)
nat コマンドが導入されました。
NAT が透過ファイアウォールモードでサポートを開始し
ました。
スタティックアイデンティティ NAT の設定
この項は、次の内容で構成されています。
• 「スタティックアイデンティティ NAT に関する情報」（P.31-5）
• 「スタティックアイデンティティ NAT のライセンス要件」（P.31-6）
• 「スタティックアイデンティティ NAT のガイドラインと制限事項」（P.31-6）
• 「スタティックアイデンティティ NAT のデフォルト設定」（P.31-7）
• 「スタティックアイデンティティ NAT の設定」（P.31-7）
• 「スタティックアイデンティティ NAT の監視」（P.31-10）
• 「スタティックアイデンティティ NAT の機能履歴」（P.31-10）
スタティックアイデンティティ NAT に関する情報
スタティックアイデンティティ NAT では、実際の IP アドレスが同じ IP アドレスに変換されます。ス
タティックアイデンティティ NAT では、インターフェイスを指定して実際のアドレスの表示を許可で
きるため、インターフェイス A にアクセスするときにアイデンティティ NAT を使用し、インターフェ
イス B にアクセスするときに通常の変換を使用できます。スタティックアイデンティティ NAT では、
ポリシー NAT も使用できます。ポリシー NAT では、変換対象の実際のアドレスを決定するときに、
実際のアドレスと宛先アドレスが指定されます（ポリシー NAT の詳細については、「ポリシー NAT」
（P.26-5）を参照してください）。たとえば、内部アドレスが外部インターフェイスにアクセスすると
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-5
第 31 章
NAT のバイパス
スタティックアイデンティティ NAT の設定
き、宛先がサーバ A である場合は内部アドレスに対してスタティックアイデンティティ NAT を使用
し、外部サーバ B にアクセスする場合は通常の変換を使用できます。この変換は常にアクティブであ
るため、「変換済み」のホストとリモートホストの両方が接続を開始できます。
図 31-2 に、一般的なスタティックアイデンティティ NAT のシナリオを示します。
図 31-2
スタティックアイデンティティ NAT
209.165.201.1
209.165.201.1
209.165.201.2
209.165.201.2
ౝㇱ
ᄖㇱ
130036
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
スタティックアイデンティティ NAT のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
スタティックアイデンティティ NAT のガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキストモードのガイドライン
• シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
• ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
その他のガイドラインと制限事項
スタティックアイデンティティ NAT には、次のガイドラインと制限事項が適用されます。
• clear xlate コマンドで変換テーブルからスタティック変換を消去することはできません。static コ
マンドを削除する必要があります。clear xlate コマンドでは、nat コマンドおよび global コマンド
で作成したダイナミック変換だけを削除できます。
• static コマンドを削除した場合、変換を使用している既存の接続は影響を受けません。これらの接
続を削除するには、clear local-host コマンドを入力します。
• ポリシースタティックアイデンティティ NAT は、inactive および time-range キーワードを考慮し
ません。すべての ACE が、ポリシー NAT コンフィギュレーションに対してアクティブであると
見なされます（詳細については、「ポリシー NAT」（P.26-5）を参照してください）。
• スタティックポリシー NAT では、変換を元に戻すときに、static コマンドの ACL は使用されま
せん。パケットの宛先アドレスがスタティック規則のマッピングアドレスと一致する場合は、ス
タティック規則を使用してアドレスの変換を元に戻します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-6
OL-18970-01-J
第 31 章
NAT のバイパス
スタティックアイデンティティ NAT の設定
スタティックアイデンティティ NAT のデフォルト設定
表 31-3 に、スタティックアイデンティティ NAT パラメータのデフォルト設定を示します。
表 31-3
スタティックアイデンティティ NAT のデフォルトパラメータ
パラメータ
デフォルト
emb_limit
デフォルト値は 0 です。これは、初期接続が無制
限であることを示します。
tcp tcp_max_conns
デフォルト値は 0 です。これは、初期接続が無制
限であることを示します。
udp udp_max_conns
デフォルト値は 0 です。これは、初期接続が無制
限であることを示します。
スタティックアイデンティティ NAT の設定
この項では、ポリシースタティックアイデンティティ NAT と標準スタティックアイデンティティ
NAT の設定方法について説明します。次の項目を取り上げます。
• 「ポリシースタティックアイデンティティ NAT の設定」（P.31-8）
• 「標準スタティックアイデンティティ NAT の設定」（P.31-9）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-7
第 31 章
NAT のバイパス
スタティックアイデンティティ NAT の設定
ポリシースタティックアイデンティティ NAT の設定
ポリシースタティックアイデンティティ NAT を設定するには、次のコマンドを入力します。
コマンド
目的
static (real_interface,mapped_interface)
real_ip access-list acl_id [dns]
[norandomseq] [[tcp] tcp_max_conns
[emb_limit]] [udp udp_max_conns]
ポリシースタティック NAT を設定します。
例:
hostname(config)# static (inside,outside)
209.165.202.129 access-list NET1
real_interface,mapped_interface 引数には、実際の IP アドレスネット
ワークに接続するインターフェイスの名前と、マッピング IP アドレス
ネットワークに接続するインターフェイスの名前を指定します。
real_ip 引数には、変換する実際のアドレスを指定します。
access-list キーワードと acl_id 引数は、拡張アクセスリストを使用して、
実際のアドレスと宛先 / 送信元アドレスを指定します。access-list
extended コマンドを使用して、拡張アクセスリストを作成します（第 11
章「拡張アクセスリストの追加」を参照）。このアクセスリストには、許
可 ACE だけを含めます。アクセスリストの送信元アドレスが、このコマ
ンドの real_ip と一致することを確認します。
オプションの dns キーワードは、この static コマンドに一致する DNS 応
答の A レコードまたはアドレスレコードをリライトします。マッピング
インターフェイスから他のインターフェイスに移動する DNS 応答では、
A レコードはマップされた値から実際の値へリライトされます。逆に、任
意のインターフェイスからマッピングインターフェイスに移動する DNS
応答では、A レコードは実際の値からマップされた値へリライトされま
す。この機能をサポートするために、DNS 検査をイネーブルにする必要
があります。
オプションの norandomseq キーワードは、TCP ISN ランダム化の保護
をディセーブルにします。
オプションの tcp tcp_max_conns キーワードと引数には、ローカルホス
トで許可された同時 TCP 接続の最大数を指定します。デフォルト値は 0
です。これは、接続が無制限であることを示します。
オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定
します。デフォルト値は 0 です。これは、初期接続が無制限であることを
示します。
オプションの udp udp_max_conns キーワードと引数には、ローカルホス
トで許可された同時 UDP 接続の最大数を指定します。デフォルト値は 0
です。これは、接続が無制限であることを示します
（コマンドオプションの詳細については、『Cisco Security Appliance
Command Reference』の static コマンドを参照してください）。
ポリシースタティックアイデンティティ NAT の例
次のポリシースタティックアイデンティティ NAT の例は、ある宛先アドレスにアクセスするときにア
イデンティティ NAT を使用し、別の宛先アドレスにアクセスするときに何らかの変換を使用する 1 つ
の実際のアドレスを示しています。
hostname(config)#
hostname(config)#
255.255.255.224
hostname(config)#
hostname(config)#
access-list NET1 permit ip host 10.1.2.27 209.165.201.0 255.255.255.224
access-list NET2 permit ip host 10.1.2.27 209.165.200.224
static (inside,outside) 209.165.202.129 access-list NET1
static (inside,outside) 209.165.202.130 access-list NET2
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-8
OL-18970-01-J
第 31 章
NAT のバイパス
スタティックアイデンティティ NAT の設定
標準スタティックアイデンティティ NAT の設定
標準スタティックアイデンティティ NAT を設定するには、次のコマンドを入力します。
コマンド
目的
static (real_interface,mapped_interface)
real_ip real_ip [netmask mask] [dns]
[norandomseq] [[tcp] tcp_max_conns
[emb_limit]] [udp udp_max_conns]
スタティックアイデンティティ NAT を設定します。
例:
hostname(config)# static (inside,outside)
10.1.1.3 10.1.1.3 netmask 255.255.255.255
real_interface,mapped_interface 引数には、実際の IP アドレスネット
ワークに接続するインターフェイスの名前と、マッピング IP アドレス
ネットワークに接続するインターフェイスの名前を指定します。
real_ip 引数には、変換する実際のアドレスを指定します。両方の real_ip
引数に、同じ IP アドレスを指定します。
netmask mask オプションには、実際のアドレスとマッピングアドレスの
サブネットマスクを指定します。
dns オプションは、このスタティックに一致する DNS 応答の A レコード
またはアドレスレコードをリライトします。マッピングインターフェイ
スから他のインターフェイスに移動する DNS 応答では、A レコードは
マップされた値から実際の値へリライトされます。逆に、任意のインター
フェイスからマッピングインターフェイスに移動する DNS 応答では、A
レコードは実際の値からマップされた値へリライトされます。
（注）
この機能をサポートするために、DNS 検査をイネーブルにする必
要があります。
norandomseq オプションは、TCP ISN ランダム化の保護をディセーブルに
します。各 TCP 接続には、クライアントで生成される ISN とサーバで生成
される ISN の 2 つの ISN があります。セキュリティアプライアンスは、着
信と発信の両方向で通過する TCP SNY の ISN をランダム化します。
スタティック PAT では、tcp オプションはプロトコルを TCP として指定
します。
tcp_max_cons 引数には、ローカルホストで許可された同時 TCP 接続の
最大数を指定します（local-host コマンドを参照してください）。デフォ
ルト値は 0 です。これは、接続が無制限であることを示します。
オプションの emb_limit 引数には、ホストごとの初期接続の最大数を指定
します。デフォルト値は 0 です。これは、初期接続が無制限であることを
示します。
udp udp_max_conns オプションには、ローカルホストで許可された同時
UDP 接続の最大数を指定します（local-host コマンドを参照してください）。
デフォルト値は 0 です。これは、接続が無制限であることを示します。
この例では、外部からのアクセスがあった場合に、内部 IP アドレス
（10.1.1.3）に対してスタティックアイデンティティ NAT が使用されます。
標準スタティックアイデンティティ NAT の例
次のコマンドでは、外部からのアクセスがあった場合に、内部 IP アドレス（10.1.1.3）に対してスタ
ティックアイデンティティ NAT が使用されます。
hostname(config)# static (inside,outside) 10.1.1.3 10.1.1.3 netmask 255.255.255.255
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-9
第 31 章
NAT のバイパス
スタティックアイデンティティ NAT の設定
次のコマンドでは、内部からのアクセスがあった場合に、外部アドレス（209.165.201.15）に対してス
タティックアイデンティティ NAT が使用されます。
hostname(config)# static (outside,inside) 209.165.201.15 209.165.201.15 netmask
255.255.255.255
次のコマンドは、サブネット全体をスタティックにマッピングします。
hostname(config)# static (inside,dmz) 10.1.2.0 10.1.2.0 netmask 255.255.255.0
スタティックアイデンティティ NAT の監視
スタティックアイデンティティ NAT を監視するには、次のコマンドを入力します。
コマンド
目的
show running-config static
コンフィギュレーションですべての static コマン
ドを表示します。
スタティックアイデンティティ NAT の機能履歴
表 31-4 に、この機能のリリース履歴の一覧を示します。
表 31-4
スタティックアイデンティティ NAT の機能履歴
機能名
リリース
機能情報
スタティックアイデンティティ NAT
7.0
スタティックアイデンティティ NAT では、実際の IP アド
レスが同じ IP アドレスに変換されます。
static コマンドが導入されました。
NAT
8.0(2)
NAT が透過ファイアウォールモードでサポートを開始し
ました。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-10
OL-18970-01-J
第 31 章
NAT のバイパス
NAT 免除の設定
NAT 免除の設定
この項は、次の内容で構成されています。
• 「NAT 免除に関する情報」（P.31-11）
• 「NAT 免除のライセンス要件」（P.31-11）
• 「NAT 免除のガイドラインと制限事項」（P.31-12）
• 「NAT 免除のデフォルト設定」（P.31-12）
• 「NAT 免除の設定」（P.31-13）
• 「NAT 免除の監視」（P.31-13）
• 「NAT 免除の設定例」（P.31-13）
• 「NAT 免除の機能履歴」（P.31-14）
NAT 免除に関する情報
NAT 免除を使用すると、アドレスは変換を免除され、変換済みのホストとリモートホストの両方が接
続を開始できるようになります。アイデンティティ NAT と同様に、変換を特定のインターフェイス上
のホストに限定しません。すべてのインターフェイスを通過する接続に対して NAT 免除を使用する必
要があります。ただし、NAT 免除では、変換対象の実際のアドレスを決定するときに実際のアドレス
および宛先アドレスを指定できます（ポリシー NAT と類似）。したがって、アイデンティティ NAT を
使用するよりも、NAT 免除を使用した方が制御力が高くなります。しかし、ポリシー NAT とは異な
り、NAT 免除では、アクセスリストのポートは考慮されません。アクセスリストのポートを考慮する
場合は、スタティックアイデンティティ NAT を使用してください。
図 31-3 に、一般的な NAT 免除のシナリオを示します。
図 31-3
NAT 免除
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
209.165.201.1
209.165.201.2
209.165.201.2
ౝㇱ
ᄖㇱ
130036
209.165.201.1
NAT 免除のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-11
第 31 章
NAT のバイパス
NAT 免除の設定
NAT 免除のガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキストモードのガイドライン
• シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
• ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
その他のガイドラインと制限事項
NAT 制限には、次のガイドラインと制限事項が適用されます。
• NAT 免除コンフィギュレーションを削除しても、NAT 免除を使用している既存の接続は影響を受
けません。これらの接続を削除するには、clear local-host コマンドを入力します。
• NAT 免除では、最大 TCP 接続数などの接続設定はサポートしていません。
• デフォルトでは、nat コマンドは内部から外部へのトラフィックを免除します。外部から内部への
トラフィックが NAT をバイパスするようにするには、別の nat コマンドを追加し、outside を入力
して NAT インスタンスを外部 NAT として指定します。外部インターフェイスに対してダイナ
ミック NAT を設定している場合に他のトラフィックを免除するときは、外部 NAT 免除を使用でき
ます。
• show access-list コマンドによって表示されるアクセスリストのヒット数は、NAT 免除のアクセス
リストを増分しません。
NAT 免除のデフォルト設定
表 31-5 に、NAT 免除パラメータのデフォルト設定を示します。
表 31-5
デフォルトの NAT 免除パラメータ
パラメータ
デフォルト
nat_id
NAT ID の整数を指定します。NAT 免除では、
NAT ID に 0 を使用します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-12
OL-18970-01-J
第 31 章
NAT のバイパス
NAT 免除の設定
NAT 免除の設定
NAT 免除を設定するには、次のコマンドを入力します。
コマンド
目的
nat (real_interface) nat_id access-list
acl_name [outside]
NAT 免除を設定します。
例:
hostname(config)# nat (inside) 0
access-list EXEMPT
ンターフェイスの名前を指定します。
real_interface 引数には、実際の IP アドレスネットワークに接続するイ
nat_id 引数には、NAT ID の整数を指定します。NAT 免除では、NAT ID
に 0 を使用します。
access-list キーワードは、拡張アクセスリストを使用してローカルアド
レスと宛先アドレスを指定します。access-list extended コマンドを使用
して、拡張アクセスリストを作成します（第 11 章「拡張アクセスリスト
の追加」を参照）。このアクセスリストには、許可 ACE と拒否 ACE の両
方を含めることができます。このアクセスリストでは、実際のポートおよ
び宛先ポートを指定しないでください。NAT 免除はポートを考慮しませ
ん。NAT 免除は、inactive と time-range の各キーワードを考慮します
が、すべての inactive ACE と time-range ACE が含まれた ACL はサ
ポートしていません。
デフォルトでは、このコマンドは内部から外部へのトラフィックを免除し
ます。外部から内部へのトラフィックが NAT をバイパスするようにする
には、別の nat コマンドを追加し、outside を入力して NAT インスタン
スを外部 NAT として指定します。外部インターフェイスに対してダイナ
ミック NAT を設定している場合に他のトラフィックを免除するときは、
外部 NAT 免除を使用できます。
このインターフェイスのセキュリティレベルが、一致する global 文で指
定したインターフェイスのセキュリティレベルより低い場合、outside を
入力します
（コマンドオプションの詳細については、『Cisco Security Appliance
Command Reference』の nat コマンドを参照してください）。
NAT 免除の監視
NAT バイパスを監視するには、次のコマンドを入力します。
コマンド
目的
show running-config nat
ネットワークに関連付けられているグローバル
IP アドレスのプールを表示します。
NAT 免除の設定例
次の例は、NAT 免除の設定方法を示しています。
任意の宛先アドレスにアクセスするとき、内部ネットワークに対して免除するには、次のコマンドを入
力します。
hostname(config)# access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
31-13
第 31 章
NAT のバイパス
NAT 免除の設定
hostname(config)# nat (inside) 0 access-list EXEMPT
ある DMZ ネットワークに対してダイナミック外部 NAT を使用し、別の DMZ ネットワークに対して
免除するには、次のコマンドを使用します。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
nat (dmz) 1 10.1.2.0 255.255.255.0 outside dns
global (inside) 1 10.1.1.45
access-list EXEMPT permit ip 10.1.3.0 255.255.255.0 any
nat (dmz) 0 access-list EXEMPT
2 つの異なる宛先アドレスにアクセスするとき、内部アドレスに対して免除するには、次のコマンドを
入力します。
hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0
255.255.255.224
hostname(config)# access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.200.224
255.255.255.224
hostname(config)# nat (inside) 0 access-list NET1
NAT 免除の機能履歴
表 31-6 に、この機能のリリース履歴の一覧を示します。
表 31-6
NAT 免除の機能履歴
機能名
リリース
機能情報
NAT 免除
7.0
NAT 免除を使用すると、アドレスは変換を免除され、変換
済みのホストとリモートホストの両方が接続を開始できる
ようになります。
nat コマンドが導入されました。
NAT
8.0(2)
NAT が透過ファイアウォールモードでサポートを開始し
ました。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
31-14
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz