FMCによって管理されるセキュアファイアウォールでのNAT 64の設定

ダウンロード オプション

  • PDF     (1.0 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (760.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (652.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 8 月 11 日
Document ID:220726

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Fire Power Management Center(FMC)によって管理されるFirepower脅威対策(FTD)でNAT64を設定する方法について説明します。

    前提条件

    要件

    Secure Firewall Threat DefenseおよびSecure Firewall Management Centerに関する知識があることが推奨されます。

    使用するコンポーネント

    • Firepower Management Center 7.0.4
    • Firepower脅威対策7.0.4

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ネットワーク図

    Network Diagram

    ネットワークオブジェクトの設定

    •  内部IPv6クライアントサブネットを参照するIPv6ネットワークオブジェクト。 

        FMC GUIで、左のメニューからObjects > Object Management > Select Network > Add Network > Add Objectの順に移動します。

       

    たとえば、ネットワークオブジェクトLocal_IPv6_subnetは、IPv6サブネットFC00:0:0:1::/96で作成されます。

    Edit Network Object

    • IPv4ネットワークオブジェクトを使用して、IPv6クライアントをIPv4に変換します。

       FMC GUIで、左側のメニューからObjects > Object Management > Select Network > Add Network > Add Groupの順に移動します。

    たとえば、ネットワークオブジェクト6_mapped_to_4はIPv4ホスト192.168.0.107で作成されます。

    IPv4でマッピングするIPv6ホストの量に応じて、単一のオブジェクトネットワーク、複数のIPv4を持つネットワークグループ、または出力インターフェイスへのNATだけを使用できます。

    Add New Network Group

    • インターネット上の外部IPv4ホストを参照するIPv4ネットワークオブジェクト。

        FMC GUIで、左のメニューからObjects > Object Management > Select Network > Add Network > Add Objectの順に移動します。

    たとえば、Network Object Any_IPv4はIPv4サブネット0.0.0.0/0で作成されます。

    IPv4 Outside Network

    • 外部IPv4ホストをIPv6ドメインに変換するIPv6ネットワークオブジェクト。

        FMC GUIで、左メニューからObjects > Object Management > Select Network > Add Network > Add Objectに移動します。

    たとえば、ネットワークオブジェクト4_mapped_to_6はIPv6サブネットFC00:0:0:F::/96で作成されます。

    IPv6 Internal Mapped

    FTDでIPv4/IPv6用のインターフェイスを設定する

    Devices > Device Management > Edit FTD > Interfacesの順に移動し、内部インターフェイスと外部インターフェイスを設定します。

    以下に例を挙げます。

        interface ethernet 1/1 

        名前:Inside

        セキュリティゾーン: Inside_Zone 

        セキュリティゾーンが作成されていない場合は、Security Zoneドロップダウンメニュー> Newで作成できます。

        IPv6アドレス:FC00:0:0:1::1/96

    Inside Interface

    IPv6 Interface Configuration

    IPv6 Interface Configuration 2

        interface ethernet 1/2 

        名前:外部

        セキュリティゾーン:Outside_Zone 

        セキュリティゾーンが作成されていない場合は、Security Zoneドロップダウンメニュー> Newで作成できます。

        IPv4アドレス:192.168.0.106/24

    Outside Interface

    IPv4 Interface Configuration

    デフォルトルートの設定

    Devices > Device Management > Edit FTD > Routing > Static Routing > Add Routeの順に移動します。

    たとえば、ゲートウェイ192.168.0.254を持つ外部インターフェイス上のデフォルトスタティックルートです。

    Gateway

    Default Route

    NATポリシーの設定 

    FMC GUIで、Devices > NAT > New Policy > Threat Defense NATの順に移動し、NATポリシーを作成します。

    たとえば、NATポリシーFTD_NAT_Policyが作成され、テストFTD FTD_LABに割り当てられます。

    NAT Policy

    NATルールの設定

    アウトバウンドNAT。 

    FMC GUIで、Devices > NAT > Select the NAT policy > Add Ruleの順に移動し、内部IPv6ネットワークを外部IPv4プールに変換するNATルールを作成します。 

    たとえば、ネットワークオブジェクトLocal_IPv6_subnetは、ネットワークオブジェクト6_mapped_to_4に動的に変換されます。

    NATルール:自動NATルール

    タイプ:ダイナミック

    送信元インターフェイスオブジェクト:Inside_Zone

    宛先インターフェイスオブジェクト:Outside_Zone

    元の送信元:Local_IPv6_subnet

    変換済みソース:6_mapped_to_4

    NAT Rule Zone

    NAT Rule Networks

    インバウンドNAT。

    FMC GUIで、Devices > NAT > Select the NAT policy > Add Ruleの順に移動し、外部IPv4トラフィックを内部IPv6ネットワークプールに変換するNATルールを作成します。これにより、ローカルIPv6サブネットとの内部通信が可能になります。 

    さらに、外部DNSサーバからの応答をA(IPv4)レコードからAAAA(IPv6)レコードに変換できるように、このルールでDNS書き換えを有効にします。

    たとえば、外部ネットワークAny_IPv4は、オブジェクト4_mapped_to_6で定義されたIPv6サブネット2100:6400::/96に静的に変換されます。

    NATルール:自動NATルール

    タイプ:スタティック

    送信元インターフェイスオブジェクト:Outside_Zone

    宛先インターフェイスオブジェクト:Inside_Zone

    元の送信元:Any_IPv4

    翻訳済みソース:4_mapped_to_6

    このルールに一致するDNS応答を変換する:はい(チェックボックスをオンにする)

    NAT Rule 2 Zone

    NAT Rule 2 Network

    NAT Rule 2 Advanced Options

    Final NAT Policy

    FTDへの変更の導入に進みます。

    検証

    • インターフェイス名とIP設定を表示します。
    > show nameif
    Interface Name Security
    Ethernet1/1 inside 0
    Ethernet1/2 Outside 0

    > show ipv6 interface brief

    inside [up/up]
    fe80::12b3:d6ff:fe20:eb48
    fc00:0:0:1::1


    > show ip
    System IP Addresses:
    Interface    Name      IP address     Subnet mask 
    Ethernet1/2  Outside   192.168.0.106  255.255.255.0
    • FTD内部インターフェイスからクライアントへのIPv6接続を確認します。

    IPv6内部ホストIP fc00:0:0:1::100。

    FTD内部インターフェイスfc00:0:0:1::1。

    > ping fc00:0:0:1::100
    Please use 'CTRL+C' to cancel/abort...
    Sending 5, 100-byte ICMP Echos to fc00:0:0:1::100, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    • FTD CLIでNAT設定を表示します。
    > show running-config nat
    !
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    • トラフィックのキャプチャ.

    たとえば、内部IPv6ホストfc00:0:0:1::100からDNSサーバへのキャプチャトラフィックは、fc00::f:0:0:ac10:a64 UDP 53です。

    ここでは、宛先DNSサーバはfc00::f:0:0:ac10:a64です。最後の32ビットはac10:0a64です。これらのビットは、オクテット単位で172、16、10、100に相当します。ファイアウォール6-to-4は、IPv6 DNSサーバfc00::f:0:0:ac10:a64を同等のIPv4 172.16.10.100に変換します。

    > capture test interface inside trace match udp host fc00:0:0:1::100 any6 eq 53


    > show capture test 
    2 packets captured
     1: 00:35:13.598052 fc00:0:0:1::100.61513 > fc00::f:0:0:ac10:a64.53: udp  
     2: 00:35:13.638882 fc00::f:0:0:ac10:a64.53 > fc00:0:0:1::100.61513: udp  


    > show capture test packet-number 1

    [...]
    Phase: 3
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    Additional Information:
    NAT divert to egress interface Outside(vrfid:0)
    Untranslate fc00::f:0:0:ac10:a64/53 to 172.16.10.100/53 <<<< Destination NAT

    [...]
    Phase: 6
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    Additional Information:
    Dynamic translate fc00:0:0:1::100/61513 to 192.168.0.107/61513 <<<<<<<< Source NAT


    > capture test2 interface Outside trace match udp any any eq 53

    2 packets captured

     1: 00:35:13.598152 192.168.0.107.61513 > 172.16.10.100.53: udp 
     2: 00:35:13.638782 172.16.10.100.53 > 192.168.0.107.61513: udp



    更新履歴

    改定 発行日 コメント
    1.0
    11-Aug-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • Benjamin Cabrera Romero
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています