- このマニュアルについて
- サービス ポリシーとアクセス コントロール
- モジュラ ポリシー フレームワークを使用したサービス ポリシー
- アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)
- アクセル ルール
- ネットワーク アドレス変換
- ネットワーク アドレス変換(NAT)
- ネットワーク オブジェクト NAT の設定
- Twice NAT
- アプリケーション インスペクション
- アプリケーション レイヤ プロトコル インスペクションの準備
- 基本インターネット プロトコルのインスペクション
- 音声とビデオのプロトコルのインスペクション
- データベースおよびディレクトリ プロトコルのインスペクション
- 管理アプリケーション プロトコルのインスペクション
- 接続設定とサービスの品質
- 接続設定
- QoS
- 接続のトラブルシューティングおよびリソース
- 高度なネットワーク保護
- ASA および Cisco Cloud Web Security
- 脅威の検出
- ASA モジュール
- ASA FirePOWER(SFR)モジュール
- ASA CX モジュール
- ASA IPS モジュール
Cisco ASA シリーズファイアウォールCLIコンフィギュレーションガイドソフトウェアバージョン 9.3
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月6日
章のタイトル: ネットワーク オブジェクト NAT の設定
- ネットワーク オブジェクト NAT に関する情報
- ネットワーク オブジェクト NAT のライセンス要件
- ネットワーク オブジェクト NAT の前提条件
- ガイドラインと制限事項
- デフォルト設定
- ネットワーク オブジェクト NAT の設定
- ネットワーク オブジェクト NAT のモニタリング
- ネットワーク オブジェクト NAT の設定例
- 内部 Web サーバへのアクセスの提供(スタティック NAT)
- 内部ホストの NAT(ダイナミック NAT)および外部 Web サーバの NAT(スタティック NAT)
- 複数のマッピング アドレス(スタティック NAT、1 対多)を持つ内部ロード バランサ
- FTP、HTTP、および SMTP のための単一アドレス(ポート変換を設定したスタティック NAT)
- マッピング インターフェイス上の DNS サーバ、実際のインターフェイス上の Web サーバ(DNS 修正を設定したスタティック NAT)
- マッピング インターフェイス上の DNS サーバおよび FTP サーバ、FTP サーバが変換される(DNS 修正を設定したスタティック NAT)
- マッピング インターフェイス上の IPv4 DNS サーバおよび FTP サーバ、実際のインターフェイス上の IPv6 ホスト(DNS64 修正を設定したスタティック NAT64)
- ネットワーク オブジェクト NAT の機能履歴
ネットワーク オブジェクト NAT の設定
ネットワーク オブジェクトのパラメータとして設定されているすべての NAT ルールは、 ネットワーク オブジェクト NAT ルールと見なされます。ネットワーク オブジェクト NAT は、1 つの IP アドレス、アドレスの範囲、またはサブネットに対して NAT を設定するための迅速かつ容易な方法です。ネットワーク オブジェクトを設定したら、このオブジェクトのマッピング アドレスを識別できます。
この章では、ネットワーク オブジェクト NAT を設定する方法について説明します。この章は、次の項で構成されています。
•
「ネットワーク オブジェクト NAT のライセンス要件」
(注) NAT の機能の詳細については、「ネットワーク アドレス変換(NAT)」を参照してください。
ネットワーク オブジェクト NAT に関する情報
パケットが ASA に入ると、送信元 IP アドレスと宛先 IP アドレスの両方がネットワーク オブジェクト NAT ルールと照合されます。個別の照合が行われる場合、パケット内の送信元 IP アドレスと宛先 IP アドレスは、個別のルールによって変換できます。これらのルールは、相互に結び付けられていません。トラフィックに応じて、異なる組み合わせのルールを使用できます。
ルールがペアになることはありません。したがって、宛先 X に向かう場合は送信元アドレスが A と変換され、宛先 Y に向かう場合は B と変換されるように指定することはできません。この種の機能には、Twice NAT を使用します(Twice NAT を使用すると、1 つのルールで送信元アドレスおよび宛先アドレスを識別できます)。
Twice NAT とネットワーク オブジェクト NAT の違いの詳細については、「NAT の実装方法」を参照してください。
ネットワーク オブジェクト NAT ルールは、NAT ルール テーブルのセクション 2 に追加されます。NAT の順序の詳細については、「NAT ルールの順序」を参照してください。
ネットワーク オブジェクト NAT のライセンス要件
|
|
|
|---|---|
ネットワーク オブジェクト NAT の前提条件
コンフィギュレーションによっては、必要に応じてマッピング アドレスをインラインで設定したり、マッピング アドレスの別のネットワーク オブジェクトまたはネットワーク オブジェクト グループを作成したりできます( object network コマンドまたは object-group network コマンド)。ネットワーク オブジェクト グループは、非連続的な IP アドレス範囲または複数のホストやサブネットで構成されるマッピング アドレスを作成する場合に特に便利です。ネットワーク オブジェクトまたはグループを作成するには、一般的な操作のコンフィギュレーション ガイドを参照してください。
オブジェクトおよびグループに関する特定のガイドラインについては、設定する NAT タイプの設定の項を参照してください。「ガイドラインと制限事項」も参照してください。
ガイドラインと制限事項
シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。
• ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。
• トランスペアレント モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定する必要があります。 any は使用できません。
• トランスペアレント モードでは、インターフェイス PAT を設定できません。トランスペアレント モードのインターフェイスには、IP アドレスが設定されていないためです。管理 IP アドレスもマッピング アドレスとして使用できません。
• トランスペアレント モードでは、IPv4 ネットワークと IPv6 ネットワークとの間の変換はサポートされていません。2 つの IPv6 ネットワーク間、または 2 つの IPv4 ネットワーク間の変換がサポートされます。
• IPv6 をサポートします。「NAT と IPv6」も参照してください。
• ルーテッド モードの場合は、IPv4 と IPv6 との間の変換もできます。
• トランスペアレント モードの場合は、IPv4 ネットワークと IPv6 ネットワークとの間の変換はサポートされていません。2 つの IPv6 ネットワーク間、または 2 つの IPv4 ネットワーク間の変換がサポートされます。
• トランスペアレント モードの場合は、PAT プールは IPv6 に対してはサポートされません。
• スタティック NAT の場合は、/64 までの IPv6 サブネットを指定できます。これよりも大きいサブネットはサポートされません。
• FTP を NAT46 とともに使用する場合は、IPv4 FTP クライアントが IPv6 FTP サーバに接続するときに、クライアントは拡張パッシブ モード(EPSV)または拡張ポート モード(EPRT)を使用する必要があります。PASV コマンドおよび PORT コマンドは IPv6 ではサポートされません。
• 定義できる NAT ルールは 1 つのオブジェクトに対して 1 つだけです。1 つのオブジェクトに対して複数の NAT ルールを設定する場合は、複数のオブジェクトを作成する必要があります。それぞれに異なる名前を付け、IP アドレスは同じものを指定します。たとえば、 object network obj-10.10.10.1-01 、 object network obj-10.10.10.1-02 などとします。
• NAT コンフィギュレーションを変更したときに、既存の変換がタイムアウトするまで待たずに新しい NAT コンフィギュレーションが使用されるようにするには、 clear xlate コマンドを使用して変換テーブルを消去します。ただし、変換テーブルを消去すると、変換を使用している現在の接続がすべて切断されます。
(注) ダイナミック NAT または PAT ルールを削除し、次に削除したルールに含まれるアドレスと重複するマッピング アドレスを含む新しいルールを追加すると、新しいルールは、削除されたルールに関連付けられたすべての接続がタイムアウトするか、clear xlate コマンドを使用してクリアされるまで使用されません。この予防手段のおかげで、同じアドレスが複数のホストに割り当てられないようにできます。
• NAT で使用されるオブジェクトおよびオブジェクト グループを未定義にすることはできません。IP アドレスを含める必要があります。
• 1 つのオブジェクト グループに IPv4 と IPv6 の両方のアドレスを入れることはできません。オブジェクト グループには、1 つのタイプのアドレスだけが含まれている必要があります。
• 同じマッピング オブジェクトやグループを複数の NAT ルールで使用できます。
• マッピング IP アドレス プールは、次のアドレスを含むことができません。
– マッピング インターフェイスの IP アドレス。ルールに any インターフェイスを指定すると、すべてのインターフェイスの IP アドレスが拒否されます。インターフェイス PAT(ルーテッド モードのみ)の場合、IP アドレスの代わりに interface キーワードを使用します。
– (ダイナミック NAT)VPN がイネーブルの場合は、スタンバイ インターフェイスの IP アドレス。
• スタティックおよびダイナミック NAT ポリシーでは重複アドレスを使用しないでください。たとえば、重複アドレスを使用すると、PPTP のセカンダリ接続がダイナミック xlate ではなくスタティックにヒットした場合、PPTP 接続の確立に失敗する可能性があります。
• NAT や PAT に伴うアプリケーション インスペクションの制限については、「アプリケーション レイヤ プロトコル インスペクションの準備」の「デフォルト インスペクションと NAT に関する制限事項」を参照してください。
デフォルト設定
• (ルーテッド モード)デフォルトの実際のインターフェイスおよびマッピング インターフェイスは Any で、すべてのインターフェイスにルールが適用されます。
• アイデンティティ NAT のデフォルト動作で、プロキシ ARP はイネーブルにされ、他のスタティック NAT ルールと一致します。必要に応じてプロキシ ARP をディセーブルにできます。詳細については、「NAT パケットのルーティング」を参照してください。
• オプションのインターフェイスを指定する場合、ASA によって NAT コンフィギュレーションが使用されて、出力インターフェイスが決定されます、代わりにルート ルックアップを常に使用するオプションがあります。詳細については、「NAT パケットのルーティング」を参照してください。
ネットワーク オブジェクト NAT の設定
この項では、ネットワーク オブジェクト NAT を設定する方法について説明します。
• 「マッピング アドレスのネットワーク オブジェクトの追加」
• 「ダイナミック NAT を使用したダイナミック PAT の設定」
• 「スタティック NAT またはポート変換を設定したスタティック NAT の設定」
マッピング アドレスのネットワーク オブジェクトの追加
ダイナミック NAT の場合は、マッピングされたアドレスに対してオブジェクトまたはグループを使用する必要があります。他のタイプの NAT の場合は、インライン アドレスを使用することも、この項の説明に従ってオブジェクトまたはグループを作成することもできます。ネットワーク オブジェクトまたはグループの設定の詳細については、一般的な操作のコンフィギュレーション ガイドを参照してください。
ガイドライン
• 1 つのネットワーク オブジェクト グループには、IPv4 アドレスと IPv6 アドレスのいずれか一方のオブジェクトやインライン アドレスを入れることができます。IPv4 アドレスと IPv6 アドレスの両方をグループに入れることはできません。1 つのタイプだけが含まれている必要があります。
• 拒否されるマッピング IP アドレスについては、「ガイドラインと制限事項」を参照してください。
– インライン アドレスは使用できません。ネットワーク オブジェクトまたはグループを設定する必要があります。
– オブジェクトまたはグループには、サブネットを含めることはできません。オブジェクトは、範囲を定義する必要があります。グループには、ホストと範囲を含めることができます。
– マッピングされたネットワーク オブジェクトに範囲とホスト IP アドレスの両方が含まれている場合、範囲はダイナミック NAT に使用され、ホスト IP アドレスは PAT のフォール バックとして使用されます。
– オブジェクトを使用する代わりに、任意でインライン ホスト アドレスを設定するか、またはインターフェイス アドレスを指定できます。
– オブジェクトを使用する場合は、オブジェクトまたはグループにサブネットを入れることはできません。オブジェクトは、1 つのホスト、または範囲(PAT プールの場合)を定義する必要があります。グループ(PAT プールの場合)には、複数のホストと範囲を入れることができます。
• スタティック NAT またはポート変換を使用するスタティック NAT:
– オブジェクトを使用する代わりに、インライン アドレスを設定するか、またはインターフェイス アドレスを指定できます(ポート変換を使用するスタティック NAT の場合)。
– オブジェクトを使用する場合は、オブジェクトまたはグループにホスト、範囲、またはサブネットを入れることができます。
手順の詳細
ダイナミック NAT を使用したダイナミック PAT の設定
この項では、ダイナミック NAT のためのネットワーク オブジェクト NAT を設定する方法について説明します。詳細については、「ダイナミック NAT」を参照してください。
手順の詳細
|
|
|
|
|---|---|---|
「マッピング アドレスのネットワーク オブジェクトの追加」を参照してください。 |
||
|
|
NAT を設定するネットワーク オブジェクトを設定するか、既存のネットワーク オブジェクトについてオブジェクト ネットワーク コンフィギュレーション モードを開始します。 |
|
{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 } hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0 |
新しいネットワーク オブジェクトを作成する場合は、変換する 実際の IP アドレス(IPv4 または IPv6)を定義します。 |
|
nat [ ( real_ifc , mapped_ifc ) ] dynamic mapped_obj [ interface [ ipv6 ]] [ dns ] hostname(config-network-object)# nat (inside,outside) dynamic MAPPED_IPS interface |
オブジェクト IP アドレスの ダイナミック NAT を設定します。 (注) 特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。「その他のガイドライン」を参照してください。 • • – – • • |
例
次の例では、外部アドレス 10.2.2.1 ~ 10.2.2.10 の範囲の背後に 192.168.2.0 ネットワークを隠すダイナミック NAT を設定します。
次の例では、ダイナミック PAT バックアップを設定したダイナミック NAT を設定します。ネットワーク 10.76.11.0 内のホストは、まず nat-range1 プール(10.10.10.10 ~ 10.10.10.20)にマッピングされます。nat-range1 プール内のすべてのアドレスが割り当てられたら、pat-ip1 アドレス(10.10.10.21)を使用してダイナミック PAT が実行されます。万一、PAT 変換もすべて使用されてしまった場合は、外部インターフェイス アドレスを使用してダイナミック PAT が実行されます。
次の例では、ダイナミック NAT とダイナミック PAT バックアップを使用して IPv6 ホストを IPv4 に変換するように設定します。内部ネットワーク 2001:DB8::/96 上のホストは最初に、IPv4_NAT_RANGE プール(209.165.201.30 ~ 209.165.201.1)にマッピングされます。IPv4_NAT_RANGE プール内のすべてのアドレスが割り当てられた後は、IPv4_PAT アドレス(209.165.201.31)を使用してダイナミック PAT が実行されます。PAT 変換もすべて使用されてしまった場合は、外部インターフェイス アドレスを使用してダイナミック PAT が実行されます。
ダイナミック PAT(隠蔽)の設定
この項では、ダイナミック PAT(隠蔽)のためのネットワーク オブジェクト NAT の設定方法について説明します。詳細については、「ダイナミック PAT」を参照してください。
ガイドライン
• 使用できる場合、実際の送信元ポート番号がマッピング ポートに対して使用されます。ただし、実際のポートが使用 できない 場合は、デフォルトで、マッピング ポートは実際のポート番号と同じポート範囲(0 ~ 511、512 ~ 1023、および 1024 ~ 65535)から選択されます。そのため、1024 よりも下のポートでは、小さい PAT プールのみを使用できます。(8.4(3) 以降、ただし 8.5(1) と 8.6(1) を除く)下位ポート範囲を使用するトラフィックが数多くある場合は、サイズが異なる 3 つの層の代わりにフラットなポート範囲を使用するように指定できます(1024 ~ 65535、または 1 ~ 65535)。
• 同じ PAT プール オブジェクトを 2 つの異なるルールの中で使用する場合は、必ず同じオプションを各ルールに指定してください。たとえば、1 つのルールで拡張 PAT およびフラットな範囲が指定される場合は、もう一方のルールでも拡張 PAT およびフラットな範囲が指定される必要があります。
• 多くのアプリケーション インスペクションでは、拡張 PAT はサポートされていません。サポート対象外のインスペクションの完全な一覧については、「アプリケーション レイヤ プロトコル インスペクションの準備」の「デフォルト インスペクションと NAT に関する制限事項」を参照してください。
• ダイナミック PAT ルールに対して拡張 PAT をイネーブルにする場合は、PAT プール内のアドレスを、ポート変換ルールを設定した別のスタティック NAT の PAT アドレスとしても使用することはできません。たとえば、PAT プールに 10.1.1.1 が含まれている場合、PAT アドレスとして 10.1.1.1 を使用する、ポート変換ルールを設定したスタティック NAT は作成できません。
• PAT プールを使用し、フォールバックのインターフェイスを指定する場合、拡張 PAT を使用できません。
• ICE または TURN を使用する VoIP 配置では、拡張 PAT を使用しないでください。ICE および TURN は、すべての宛先に対して同じであるために PAT バインディングに依存しています。
• ホストに既存の接続がある場合は、そのホストからの以降の接続は同じ PAT IP アドレスを使用します(ポートが使用可能である場合)。 注 :この「粘着性」は、フェールオーバーが発生すると失われます。ASA がフェールオーバーすると、ホストからの後続の接続では最初の IP アドレスが使用されない場合があります。
• ラウンドロビンでは、特に拡張 PAT と組み合わせた場合に、大量のメモリが消費されます。NAT プールはマッピングされるプロトコル/IP アドレス/ポート範囲ごとに作成されるため、ラウンドロビンでは数多くの同時 NAT プールが作成され、メモリが使用されます。拡張 PAT では、さらに多くの同時 NAT プールが作成されます。
手順の詳細
|
|
|
|
|---|---|---|
「マッピング アドレスのネットワーク オブジェクトの追加」を参照してください。 |
||
|
|
NAT を設定するネットワーク オブジェクトを設定するか、既存のネットワーク オブジェクトについてオブジェクト ネットワーク コンフィギュレーション モードを開始します。 |
|
{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 } |
新しいネットワーク オブジェクトを作成する場合は、変換する 実際の IP アドレス(IPv4 または IPv6)を定義します。 |
|
nat [ ( real_ifc , mapped_ifc ) ] dynamic { mapped_inline_host_ip | mapped_obj | pat-pool mapped_obj [ round-robin ] [ extended ] [ flat [ include-reserve ]] | interface [ ipv6 ]} [ interface [ ipv6 ]] [ dns ] hostname(config-network-object)# nat (any,outside) dynamic interface |
オブジェクト IP アドレスの ダイナミック PAT を設定します。特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。「その他のガイドライン」を参照してください。 • • – – – • – |
|
| – – • • |
例
次の例では、アドレス 10.2.2.2 の背後に 192.168.2.0 ネットワークを隠すダイナミック PAT を設定します。
次の例では、外部インターフェイス アドレスの背後に 192.168.2.0 ネットワークを隠蔽するダイナミック PAT を設定します。
次の例では、ダイナミック PAT と PAT プールを使用して内部 IPv6 ネットワークを外部 IPv4 ネットワークに変換するように設定します。
hostname(config)# object network IPv4_POOL
hostname(config-network-object)# range 203.0.113.1 203.0.113.254
hostname(config)# object network IPv6_INSIDE
スタティック NAT またはポート変換を設定したスタティック NAT の設定
この項では、ネットワーク オブジェクト NAT を使用してスタティック NAT ルールを設定する方法について説明します。詳細については、「スタティック NAT」を参照してください。
手順の詳細
|
|
|
|
|---|---|---|
「マッピング アドレスのネットワーク オブジェクトの追加」を参照してください。 |
||
|
|
NAT を設定するネットワーク オブジェクトを設定するか、既存のネットワーク オブジェクトについてオブジェクト ネットワーク コンフィギュレーション モードを開始します。 |
|
{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 } hostname(config-network-object)# subnet 10.2.1.0 255.255.255.0 |
新しいネットワーク オブジェクトを作成する場合は、変換する 実際の IP アドレス(IPv4 または IPv6)を定義します。 |
|
nat [ ( real_ifc , mapped_ifc ) ] static { mapped_inline_ip | mapped_obj | interface [ ipv6 ]} [ net-to-net ] [ dns | service { tcp | udp } real_port mapped_port ] [ no-proxy-arp ] hostname(config-network-object)# nat (inside,outside) static MAPPED_IPS service tcp 80 8080 |
オブジェクト IP アドレスの スタティック NAT を設定します。特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。 • • – – – 通常、1 対 1 のマッピングでは、実際のアドレスと同じ数のマッピング アドレスを設定します。しかし、アドレスの数が一致しない場合もあります。「スタティック NAT」を参照してください。 • • • • |
例
次の例では、内部にある実際のホスト 10.1.1.1 の、DNS リライトがイネーブルに設定された外部にある 10.2.2.2 へのスタティック NAT を設定します。
次の例では、内部にある実際のホスト 10.1.1.1 の、マッピングされたオブジェクトを使用する外部にある 10.2.2.2 へのスタティック NAT を設定します。
次の例では、10.1.1.1 の TCP ポート 21 の、外部インターフェイスのポート 2121 への、ポート変換を設定したスタティック NAT を設定します。
次の例では、内部 IPv4 ネットワークを外部 IPv6 ネットワークにマッピングします。
次の例では、内部 IPv6 ネットワークを外部 IPv6 ネットワークにマッピングします。
アイデンティティ NAT の設定
この項では、ネットワーク オブジェクト NAT を使用してアイデンティティ NAT ルールを設定する方法について説明します。詳細については、「アイデンティティ NAT」を参照してください。
手順の詳細
|
|
|
|
|---|---|---|
オブジェクトには、変換するアドレスと同じものが含まれている必要があります。「マッピング アドレスのネットワーク オブジェクトの追加」を参照してください。 |
||
|
|
アイデンティティ NAT を実行するネットワーク オブジェクトを設定するか、既存のネットワーク オブジェクトについてオブジェクト ネットワーク コンフィギュレーション モードを開始します。このネットワーク オブジェクトの名前は、マッピングされたネットワーク オブジェクトとは異なります(ステップ 1 を参照)。両方に同じ IP アドレスが含まれていても、このようになります。 |
|
{ host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2 } hostname(config-network-object)# subnet 10.1.1.0 255.255.255.0 |
新しいネットワーク オブジェクトを作成する場合は、実行するアイデンティティ NAT の変換先となる実際の IP アドレス(IPv4 または IPv6)を定義します。ステップ 1 でマッピング アドレスのネットワーク オブジェクトを設定した場合、これらのアドレスは一致する必要があります。 |
|
nat [ ( real_ifc , mapped_ifc ) ] static { mapped_inline_ip | mapped_obj } [ no-proxy-arp ] [ route-lookup ] hostname(config-network-object)# nat (inside,outside) static MAPPED_IPS |
オブジェクト IP アドレスの アイデンティティ NAT を設定します。 (注) 特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。「その他のガイドライン」を参照してください。 • • – – • • |
例
次の例では、インラインのマッピング アドレスを使用して、ホスト アドレスを自身にマッピングします。
hostname(config)# object network my-host-obj1
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static 10.1.1.1
次の例では、ネットワーク オブジェクトを使用して、ホスト アドレスを自身にマッピングします。
hostname(config)# object network my-host-obj1-identity
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# object network my-host-obj1
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static my-host-obj1-identity
Per-Session PAT ルールの設定
デフォルトでは、すべての TCP PAT トラフィックおよびすべての UDP DNS トラフィックが Per-Session PAT を使用します。トラフィックに Multi-Session PAT を使用するには、Per-Session PAT ルールを設定します。許可ルールで Per-Session PAT を使用し、拒否ルールで Multi-Session PAT を使用します。Per-Session PAT と Multi-Session PAT の詳細については、「Per-Session PAT と Multi-Session PAT」を参照してください。
デフォルト
(注) これらのルールは削除できません。これらのルールは常に、手動作成されたルールの後に存在します。ルールは順番に評価されるので、デフォルト ルールを無効にすることができます。たとえば、これらのルールを完全に反転させるには、次のものを追加します。
手順の詳細
例
次の例では、H.323 トラフィックのための拒否ルールを作成します。このトラフィックには Multi-Session PAT が使用されるようにするためです。
ネットワーク オブジェクト NAT のモニタリング
オブジェクト NAT をモニタするには、次のいずれかのコマンドを入力します。
ネットワーク オブジェクト NAT の設定例
• 「内部 Web サーバへのアクセスの提供(スタティック NAT)」
• 「内部ホストの NAT(ダイナミック NAT)および外部 Web サーバの NAT(スタティック NAT)」
• 「複数のマッピング アドレス(スタティック NAT、1 対多)を持つ内部ロード バランサ」
• 「FTP、HTTP、および SMTP のための単一アドレス(ポート変換を設定したスタティック NAT)」
• 「マッピング インターフェイス上の DNS サーバ、実際のインターフェイス上の Web サーバ(DNS 修正を設定したスタティック NAT)」
• 「マッピング インターフェイス上の DNS サーバおよび FTP サーバ、FTP サーバが変換される(DNS 修正を設定したスタティック NAT)」
• 「マッピング インターフェイス上の IPv4 DNS サーバおよび FTP サーバ、実際のインターフェイス上の IPv6 ホスト(DNS64 修正を設定したスタティック NAT64)」
内部 Web サーバへのアクセスの提供(スタティック NAT)
次の例では、内部 Web サーバに対してスタティック NAT を実行します。実際のアドレスはプライベート ネットワーク上にあるので、パブリック アドレスが必要です。スタティック NAT は、固定アドレスにある Web サーバへのトラフィックをホストが開始できるようにするために必要です(図 5-1 を参照)。
ステップ 1 内部 Web サーバのネットワーク オブジェクトを作成します。
ステップ 3 オブジェクトのスタティック NAT を設定します。
内部ホストの NAT(ダイナミック NAT)および外部 Web サーバの NAT(スタティック NAT)
次の例では、プライベート ネットワーク上の内部ユーザが外部にアクセスする場合、このユーザにダイナミック NAT を設定します。また、内部ユーザが外部 Web サーバに接続する場合、この Web サーバのアドレスが内部ネットワークに存在するように見えるアドレスに変換されます(図 5-2 を参照)。
図 5-2 内部のダイナミック NAT、外部 Web サーバのスタティック NAT
ステップ 1 内部アドレスに変換するダイナミック NAT プールのネットワーク オブジェクトを作成します。
ステップ 2 内部ネットワークのネットワーク オブジェクトを作成します。
ステップ 3 内部ネットワークのダイナミック NAT をイネーブルにします。
ステップ 4 外部 Web サーバのネットワーク オブジェクトを作成します。
ステップ 6 Web サーバのスタティック NAT を設定します。
複数のマッピング アドレス(スタティック NAT、1 対多)を持つ内部ロード バランサ
次の例では、複数の IP アドレスに変換される内部ロード バランサを示しています。外部ホストがマッピング IP アドレスの 1 つにアクセスする場合、1 つのロード バランサのアドレスには変換されません。要求される URL に応じて、トラフィックを正しい Web サーバにリダイレクトします(図 5-3 を参照)。
図 5-3 内部ロード バランサのスタティック NAT(1 対多)
ステップ 1 ロード バランサをマッピングするアドレスのネットワーク オブジェクトを作成します。
ステップ 2 ロード バランサのネットワーク オブジェクトを作成します。
ステップ 4 ロード バランサのスタティック NAT を設定します。
FTP、HTTP、および SMTP のための単一アドレス(ポート変換を設定したスタティック NAT)
次のポート変換を設定したスタティック NAT の例では、リモート ユーザは単一のアドレスで FTP、HTTP、および SMTP にアクセスできるようになります。これらのサーバは実際には、それぞれ異なるデバイスとして実際のネットワーク上に存在しますが、ポート変換を設定したスタティック NAT ルールを指定すると、使用するマッピング IP アドレスは同じで、それぞれ別のポートを使用することができます(図 5-4 を参照)。
ステップ 1 FTP サーバ アドレスのネットワーク オブジェクトを作成します。
ステップ 2 FTP サーバのアドレスを定義し、アイデンティティ ポート変換を設定したスタティック NAT を FTP サーバに設定します。
ステップ 3 HTTP サーバ アドレスのネットワーク オブジェクトを作成します。
ステップ 4 HTTP サーバのアドレスを定義し、アイデンティティ ポート変換を設定したスタティック NAT を HTTP サーバに設定します。
ステップ 5 SMTP サーバ アドレスのネットワーク オブジェクトを作成します。
ステップ 6 SMTP サーバのアドレスを定義し、アイデンティティ ポート変換を設定したスタティック NAT を SMTP サーバに設定します。
マッピング インターフェイス上の DNS サーバ、実際のインターフェイス上の Web サーバ(DNS 修正を設定したスタティック NAT)
たとえば、DNS サーバが外部インターフェイスからアクセス可能であるとします。ftp.cisco.com というサーバが内部インターフェイス上にあります。ftp.cisco.com の実際のアドレス(10.1.3.14)を、外部ネットワーク上で可視のマッピング アドレス(209.165.201.10)にスタティックに変換するように、ASA を設定します(図 5-5 を参照)。この場合、このスタティック ルールで DNS 応答修正をイネーブルにする必要があります。これにより、実際のアドレスを使用して ftp.cisco.com にアクセスすることを許可されている内部ユーザは、マッピング アドレスではなく実際のアドレスを DNS サーバから受信できるようになります。
内部ホストが ftp.cisco.com のアドレスを求める DNS 要求を送信すると、DNS サーバは応答でマッピング アドレス(209.165.201.10)を示します。ASA は、内部サーバのスタティック ルールを参照し、DNS 応答内のアドレスを 10.1.3.14 に変換します。DNS 応答修正をイネーブルにしない場合、内部ホストは ftp.cisco.com に直接アクセスする代わりに、209.165.201.10 にトラフィックを送信することを試みます。
ステップ 1 FTP サーバ アドレスのネットワーク オブジェクトを作成します。
ステップ 2 FTP サーバのアドレスを定義し、DNS 修正を設定したスタティック NAT を設定します。
マッピング インターフェイス上の DNS サーバおよび FTP サーバ、FTP サーバが変換される(DNS 修正を設定したスタティック NAT)
図 5-6 に、外部の FTP サーバと DNS サーバを示します。ASA には、外部サーバ用のスタティック変換があります。この場合に、内部ユーザが ftp.cisco.com のアドレスを DNS サーバに要求すると、DNS サーバは応答として実際のアドレス 209.165.201.10 を返します。ftp.cisco.com のマッピング アドレス(10.1.2.56)が内部ユーザによって使用されるようにするには、スタティック変換に対して DNS 応答修正を設定する必要があります。
ステップ 1 FTP サーバ アドレスのネットワーク オブジェクトを作成します。
ステップ 2 FTP サーバのアドレスを定義し、DNS 修正を設定したスタティック NAT を設定します。
マッピング インターフェイス上の IPv4 DNS サーバおよび FTP サーバ、実際のインターフェイス上の IPv6 ホスト(DNS64 修正を設定したスタティック NAT64)
図 5-7 に、外部の IPv4 ネットワーク上の FTP サーバと DNS サーバを示します。ASA には、外部サーバ用のスタティック変換があります。この場合に、内部 IPv6 ユーザが ftp.cisco.com のアドレスを DNS サーバに要求すると、DNS サーバは応答として実際のアドレス 209.165.200.225 を返します。ftp.cisco.com のマッピング アドレス(2001:DB8::D1A5:C8E1)が内部ユーザによって使用されるようにするには、スタティック変換に対して DNS 応答修正を設定する必要があります。この例には、DNS サーバのスタティック NAT 変換、および内部 IPv6 ホストの PAT ルールも含まれています。
ステップ 1 FTP サーバのための、DNS 修正を設定したスタティック NAT を設定します。
a. FTP サーバ アドレスのためのネットワーク オブジェクトを作成します。
b. FTP サーバのアドレスを定義し、DNS 修正を設定したスタティック NAT を設定します。これは 1 対 1 変換であるため、NAT46 に対して net-to-net 方式を設定します。
a. DNS サーバ アドレスのためのネットワーク オブジェクトを作成します。
b. DNS サーバのアドレスを定義し、net-to-net 方式を使用してスタティック NAT を設定します。
ステップ 3 内部 IPv6 ネットワークを変換するための IPv4 PAT プールを設定します。
hostname(config)# object network IPv4_POOL
hostname(config-network-object)# range 203.0.113.1 203.0.113.254
ステップ 4 内部 IPv6 ネットワークのための PAT を設定します。
a. 内部 IPv6 ネットワークのためのネットワーク オブジェクトを作成します。
b. IPv6 ネットワーク アドレスを定義し、PAT プールを使用するダイナミック NAT を設定します。
ネットワーク オブジェクト NAT の機能履歴
表 5-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。
フィードバック