• オブジェクトまたはグループには、サブネットを含めることはできません。オブジェクトは、範囲を定義する必要があります。グループには、ホストと範囲を含めることができます。

• マッピングされたネットワーク オブジェクトに範囲とホスト IP アドレスの両方が含まれている場合、範囲はダイナミック NAT に使用され、ホスト IP アドレスは PAT のフォール バックとして使用されます。

• host {IPv4_address | IPv6_address}：単一のホストの IPv4 または IPv6 アドレス。たとえば、10.1.1.1 または 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/IPv6_prefix}：ネットワークのアドレス。IPv4 サブネットの場合、10.0.0.0 255.0.0.0 のように、スペースの後ろにマスクを含めます。IPv6 の場合、2001:DB8:0:CD30::/60 のように、アドレスとプレフィックスを単一のユニット（スペースなし）として含めます。

• range start_address end_address：アドレスの範囲。IPv4 または IPv6 の範囲を指定できます。マスクまたはプレフィックスを含めないでください。

nat [(real_ifc,mapped_ifc)] dynamic mapped_obj [interface [ipv6]] [dns]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• マッピング IP アドレス：マッピング IP アドレスが含まれるネットワーク オブジェクトまたはネットワーク オブジェクト グループを指定します。

• インターフェイス PAT のフォール バック：（任意）interface キーワードは、インターフェイス PAT のフォール バックをイネーブルにします。マッピング IP アドレスを使い果たすと、マッピング インターフェイスの IP アドレスが使用されます。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）

• DNS：（任意）dns キーワードは、DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。詳細については、「NAT を使用した DNS クエリと応答の書き換え」を参照してください。

• すべての送信元トラフィックを変換する場合、送信元の実際のアドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに any キーワードを指定できます。

• ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに interface キーワードを指定できます。

オブジェクトを作成する場合は、次のガイドラインを考慮してください。

• 通常は、実際のアドレスの大きいグループが小さいグループにマッピングされるように設定します。

• オブジェクトまたはグループには、サブネットを含めることはできません。オブジェクトは、範囲を定義する必要があります。グループには、ホストと範囲を含めることができます。

• マッピングされたネットワーク オブジェクトに範囲とホスト IP アドレスの両方が含まれている場合、範囲はダイナミック NAT に使用され、ホスト IP アドレスは PAT のフォール バックとして使用されます。

ダイナミック NAT の場合、宛先でポート変換のみを実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。

nat [(real_ifc ,mapped_ifc )] [line | {after-auto [line ]}] source dynamic {real_obj | any } {mapped_obj [interface [ipv6 ]]} [destination static {mapped_obj | interface [ipv6 ]} real_obj ] [service mapped_dest_svc_obj real_dest_svc_obj ] [dns] [unidirectional] [inactive] [description desc]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• セクションおよび行：（任意）デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます（NAT ルールの順序を参照）。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、after-auto キーワードを使用します。ルールは、line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：

  • 実際のアドレス：ネットワーク オブジェクト、グループ、または any キーワードを指定します。

  • マッピング アドレス：異なるネットワーク オブジェクトまたはグループを指定します。必要に応じて、次のフォールバック方式を設定できます。

    • インターフェイス PAT のフォール バック：（任意）interface キーワードは、インターフェイス PAT のフォールバックをイネーブルにします。マッピング IP アドレスを使い果たすと、マッピング インターフェイスの IP アドレスが使用されます。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーになっているときは、interface を指定できません）

• 宛先アドレス（任意）:

  • マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、interface キーワードを指定します。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。interface を指定する場合は、必ず service キーワードも設定します。このオプションでは、real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック NAT」を参照してください。

  • 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

• 宛先ポート：（任意）マッピングされたサービス オブジェクトおよび実際のサービス オブジェクトとともに、service キーワードを指定します。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

• DNS：（任意、送信元にのみ適用されるルール）dns キーワードは、DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。宛先アドレスを設定する場合、dns キーワードは設定できません。詳細については、「NAT を使用した DNS クエリと応答の書き換え」を参照してください。

• 単方向：（任意）宛先アドレスが送信元アドレスへのトラフィックを開始できないようにするには、unidirectional を指定します。

• 非アクティブ：（任意）コマンドを削除する必要なくこの規則を非アクティブにするには、inactive キーワードを使用します。再度アクティブ化するには、inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（任意）description キーワードを使用して、最大 200 文字の説明を入力します。

• オブジェクトを使用する代わりに、任意でインライン ホスト アドレスを設定するか、またはインターフェイス アドレスを指定できます。

• オブジェクトを使用する場合は、オブジェクトまたはグループにサブネットを入れることはできません。オブジェクトは、1 つのホスト、または範囲（PAT プールの場合）を定義する必要があります。グループ（PAT プールの場合）には、複数のホストと範囲を入れることができます。

• host{IPv4_address | IPv6_address} ：単一のホストの IPv4 または IPv6 アドレス。たとえば、10.1.1.1 または 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/ IPv6_prefix} ：ネットワークのアドレス。IPv4 サブネットの場合、10.0.0.0 255.0.0.0 のように、スペースの後ろにマスクを含めます。IPv6 の場合、2001:DB8:0:CD30::/60 のように、アドレスとプレフィックスを単一のユニット（スペースなし）として含めます。

• range start_address end_address ：アドレスの範囲。IPv4 または IPv6 の範囲を指定できます。マスクまたはプレフィックスを含めないでください。

nat [(real_ifc,mapped_ifc)] dynamic {mapped_inline_host_ip | mapped_obj | pat-pool mapped-obj [round-robin] [extended] [include-reserve] [block-allocation] | interface [ipv6]} [interface [ipv6]]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• マッピング IP アドレス：マッピング IP アドレスを次のものとして指定できます。

  • mapped_inline_host_ip ：インライン ホスト アドレス。

  • mapped_obj ：ホスト アドレスとして定義されるネットワーク オブジェクト。

  • pat-pool mapped-obj ：複数のアドレスを含むネットワーク オブジェクトまたはグループ。

  • interface [ipv6] ：マッピングされたインターフェイスの IP アドレスがマッピング アドレスとして使用されます。ipv6 を指定した場合、インターフェイスの IPv6 アドレスが使用されます。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）このキーワードは、インターフェイスの IP アドレスを使用するときに使用する必要があります。インラインで、またはオブジェクトとして入力することはできません。

• PAT プールについて、次のオプションの 1 つ以上を指定できます。

  • round-robin ：PAT プールのラウンドロビン アドレス割り当てをイネーブルにします。ラウンド ロビンを指定しなければ、デフォルトで PAT アドレスのすべてのポートは次の PAT アドレスが使用される前に割り当てられます。ラウンドロビン方式では、最初のアドレスに戻って再び使用される前に、2 番目のアドレス、またその次と、プール内の各 PAT アドレスからアドレス/ポートが割り当てられます。

  • extended ：拡張 PAT をイネーブルにします。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、サービスごとに 65535 個のポートが使用されます。通常、PAT 変換の作成時に宛先ポートとアドレスは考慮されないため、PAT アドレスあたり 65535 個のポートに制限されます。たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。

  • include-reserve ：アドレス変換に使用できるポートの範囲に予約済みポート（1 〜 1023）を含めます。このオプションを指定しない場合、アドレスは 1024 〜 65535 の範囲内のポートのみに変換されます。

  • block-allocation ：ポート ブロック割り当てをイネーブルにします。キャリアグレードまたは大規模 PAT の場合は、NAT に一度に 1 つずつポート変換を割り当てさせる代わりに、各ホストのポートのブロックを割り当てることができます。ポートのブロックを割り当てると、ホストからのその後の接続では、ブロック内のランダムに選択される新しいポートが使用されます。必要に応じて、ホストが元のブロック内のすべてのポートに関してアクティブな接続を持つ場合は追加のブロックが割り当てられます。ポートブロックは、1024 ～ 65535 の範囲でのみ割り当てられます。ポートのブロック割り当ては round-robin と互換性がありますが、extended オプションを使用することはできません。また、インターフェイス PAT のフォールバックを使用することもできません。

• インターフェイス PAT のフォール バック：（任意）interface [ipv6] キーワードは、プライマリ PAT アドレスの後に入力されたときにインターフェイス PAT のフォールバックをイネーブルにします。プライマリ PAT アドレスを使い果たすと、マッピング インターフェイスの IP アドレスが使用されます。ipv6 を指定した場合、インターフェイスの IPv6 アドレスが使用されます。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）

• すべての送信元トラフィックを変換する場合、送信元の実際のアドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに any キーワードを指定できます。

• インターフェイス アドレスをマッピング アドレスとして使用する場合は、送信元のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに interface キーワードを指定できます。

• ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに interface キーワードを指定できます。

オブジェクトを使用する場合は、オブジェクトまたはグループにサブネットを含めることはできません。オブジェクトは、1 つのホスト、または範囲（PAT プールの場合）を定義する必要があります。グループ（PAT プールの場合）には、複数のホストと範囲を含めることができます。

ダイナミック NAT の場合、宛先でポート変換のみを実行できます。サービス オブジェクトには送信元ポートと宛先ポートの両方を含めることができますが、この場合は、宛先ポートだけが使用されます。送信元ポートを指定した場合、無視されます。

nat [(real_ifc,mapped_ifc)] [line | after-auto [line]] source dynamic {real-obj | any} {mapped_obj [interface [ipv6]] | pat-pool mapped-obj [round-robin] [extended] [include-reserve] [block-allocation] [interface [ipv6]] | interface [ipv6]} [destination static {mapped_obj | interface [ipv6]} real_obj] [service mapped_dest_svc_obj real_dest_svc_obj] [unidirectional] [inactive] [description description]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc ）およびマッピング インターフェイス（mapped_ifc ）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• セクションおよび行：（任意）デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます（NAT ルールの順序を参照）。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、after-auto キーワードを使用します。ルールは、line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：

  • 実際のアドレス：ネットワーク オブジェクト、グループ、または any キーワードを指定します。実際のインターフェイスからマッピングされたインターフェイスへのすべてのトラフィックを変換する場合、any キーワードを使用します。

  • マッピング アドレス：次のいずれかを設定します。

    • ネットワーク オブジェクト：ホスト アドレスを含むネットワーク オブジェクト。

    • pat-pool mapped-obj ：複数のアドレスを含むネットワーク オブジェクトまたはグループ。

    • interface [ipv6] ：（ルーテッド モードのみ。）マッピング インターフェイスの IP アドレスがマッピング アドレス（インターフェイス PAT）として使用されます。ipv6 を指定した場合、インターフェイスの IPv6 アドレスが使用されます。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）PAT プールまたはネットワーク オブジェクトでこのキーワードを指定すると、インターフェイス PAT のフォールバックが有効になります。PAT IP アドレスを使い果たすと、マッピング インターフェイスの IP アドレスが使用されます。

    PAT プールについて、次のオプションの 1 つ以上を指定できます。

    • round-robin ：PAT プールのラウンドロビン アドレス割り当てをイネーブルにします。ラウンド ロビンを指定しなければ、デフォルトで PAT アドレスのすべてのポートは次の PAT アドレスが使用される前に割り当てられます。ラウンドロビン方式では、最初のアドレスに戻って再び使用される前に、2 番目のアドレス、またその次と、プール内の各 PAT アドレスからアドレス/ポートが割り当てられます。

    • extended ：拡張 PAT をイネーブルにします。拡張 PAT では、変換情報の宛先アドレスとポートを含め、IP アドレスごとではなく、サービスごとに 65535 個のポートが使用されます。通常、PAT 変換の作成時に宛先ポートとアドレスは考慮されないため、PAT アドレスあたり 65535 個のポートに制限されます。たとえば、拡張 PAT を使用して、192.168.1.7:23 に向かう場合の 10.1.1.1:1027 の変換、および 192.168.1.7:80 に向かう場合の 10.1.1.1:1027 の変換を作成できます。

    • include-reserve ：アドレス変換に使用できるポートの範囲に予約済みポート（1 〜 1023）を含めます。このオプションを指定しない場合、アドレスは 1024 〜 65535 の範囲内のポートのみに変換されます。

    • block-allocation ：ポート ブロック割り当てをイネーブルにします。キャリアグレードまたは大規模 PAT の場合は、NAT に一度に 1 つずつポート変換を割り当てさせる代わりに、各ホストのポートのブロックを割り当てることができます。ポートのブロックを割り当てると、ホストからのその後の接続では、ブロック内のランダムに選択される新しいポートが使用されます。必要に応じて、ホストが元のブロック内のすべてのポートに関してアクティブな接続を持つ場合は追加のブロックが割り当てられます。ポートブロックは、1024 ～ 65535 の範囲でのみ割り当てられます。ポートのブロック割り当ては round-robin と互換性がありますが、extended オプションを使用することはできません。また、インターフェイス PAT のフォールバックを使用することもできません。

• 宛先アドレス（任意）:

  • マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換を設定したスタティック インターフェイス NAT に限り（非ブリッジ グループのメンバ インターフェイスのみ）、interface キーワードを指定します。ipv6 を指定した場合、インターフェイスの IPv6 アドレスが使用されます。interface を指定する場合は、必ず service キーワードも設定します。このオプションでは、real_ifc に特定のインターフェイスを設定する必要があります。詳細については、「ポート変換を設定したスタティック NAT」を参照してください。

  • 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

• 宛先ポート：（任意）マッピングされたサービス オブジェクトおよび実際のサービス オブジェクトとともに、service キーワードを指定します。アイデンティティ ポート変換では、実際のポートとマッピング ポートの両方に同じサービス オブジェクトを使用します。

• 単方向：（任意）宛先アドレスが送信元アドレスへのトラフィックを開始できないようにするには、unidirectional を指定します。

• 非アクティブ：（任意）コマンドを削除する必要なくこのルールを非アクティブにするには、inactive キーワードを使用します。再度アクティブ化するには、inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（任意）description キーワードを使用して、最大 200 文字の説明を入力します。

xlate block-allocation size value

範囲は 32 ～ 4096 です。デフォルトは 512 です。デフォルト値に戻すには、no 形式を使用します。

デフォルトを使用しない場合は、選択したサイズが 64,512 に均等に分割していることを確認します（1024 ～ 65535 の範囲のポート数）。確認を怠ると、使用できないポートが混入します。たとえば、100 を指定すると、12 個の未使用ポートがあります。

xlate block-allocation maximum-per-host number

制限はプロトコルごとに設定されるので、制限「4」は、ホストごとの上限が 4 つの UDP ブロック、4 つの TCP ブロック、および 4 つの ICMP ブロックであることを意味します。指定できる値の範囲は 1 ～ 8 で、デフォルトは 4 です。デフォルト値に戻すには、no 形式を使用します。

xlate block-allocation pba-interim-logging seconds

デフォルトでは、ポート ブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ロギングをイネーブルにすると、指定した間隔で次のメッセージが生成されます。メッセージは、その時点で割り当てられているすべてのアクティブ ポート ブロックをレポートします（プロトコル（ICMP、TCP、UDP）、送信元および宛先インターフェイス、IP アドレス、ポート ブロックを含む）。間隔は 21600 ～ 604800 秒（6 時間から 7 日間）を指定することができます。

%ASA-6-305017: Pba-interim-logging: Active protocol block of ports for translation from real_interface:real_host_ip to mapped_interface:mapped_ip_address/start_port_num-end_port_num

• オブジェクトを使用する代わりに、インライン アドレスを設定するか、またはインターフェイス アドレスを指定できます（ポート変換を使用するスタティック NAT の場合）。

• オブジェクトを使用する場合は、オブジェクトまたはグループにホスト、範囲、またはサブネットを入れることができます。

• host {IPv4_address | IPv6_address}：単一のホストの IPv4 または IPv6 アドレス。たとえば、10.1.1.1 または 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/IPv6_prefix}：ネットワークのアドレス。IPv4 サブネットの場合、10.0.0.0 255.0.0.0 のように、スペースの後ろにマスクを含めます。IPv6 の場合、2001:DB8:0:CD30::/60 のように、アドレスとプレフィックスを単一のユニット（スペースなし）として含めます。

• range start_address end_address：アドレスの範囲。IPv4 または IPv6 の範囲を指定できます。マスクまたはプレフィックスを含めないでください。

nat[(real_ifc,mapped_ifc)] static {mapped_inline_host_ip | mapped_obj |interface [ipv6]} [net-to-net] [dns | service {tcp | udp | sctp} real_port mapped_port] [no-proxy-arp]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• マッピング IP アドレス：マッピング IP アドレスを次のいずれかとして指定できます。通常、1 対 1 のマッピングでは、実際のアドレスと同じ数のマッピング アドレスを設定します。しかし、アドレスの数が一致しない場合もあります。スタティック NATを参照してください。

  • mapped_inline_host_ip ：インライン ホスト IP アドレス。これにより、ホストオブジェクトに 1 対 1 のマッピングが提供されます。サブネットオブジェクトの場合は、インラインホストアドレスに対して同じネットマスクが使用され、マッピングされたインラインホストのサブネット内のアドレスに対して 1 対 1 の変換が行われます。範囲オブジェクトの場合は、マッピングされたアドレスには、範囲オブジェクトにある同じ数のホストが含まれ、それらはマッピングされたホストアドレスから始まります。たとえば、実際のアドレスが 10.1.1.1 ～ 10.1.1.6 の範囲として定義され、172.20.1.1 をマッピング アドレスとして指定する場合、マッピング範囲には、172.20.1.1 ～ 172.20.1.6 が含まれます。NAT46 または NAT66 変換では、IPv6 ネットワーク アドレスを指定できます。

  • mapped_obj：既存のネットワーク オブジェクトまたはグループ。IP アドレスの範囲に 1 対 1 のマッピングを行うには、同じ数のアドレスを含む範囲を含むオブジェクトを選択します。

  • interface：（ポート変換を設定したスタティック NAT のみ）マッピング インターフェイスの IP アドレスがマッピング アドレスとして使用されます。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）このキーワードは、インターフェイスの IP アドレスを使用するときに使用する必要があります。インラインで、またはオブジェクトとして入力することはできません。service キーワードも必ず設定します

• ネットツーネット：（任意）NAT 46 の場合、net-to-net を指定すると、最初の IPv4 アドレスが最初の IPv6 アドレスに、2 番目が 2 番目に、というように変換されます。このオプションを指定しない場合は、IPv4 埋め込み方式が使用されます。1 対 1 変換の場合は、このキーワードを使用する必要があります。

• DNS：（任意）dns キーワードは、DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。詳細については、「NAT を使用した DNS クエリと応答の書き換え」を参照してください。

• ポート変換：（ポート変換を設定したスタティック NAT のみ）希望するプロトコル キーワードと実際のポートおよびマッピング ポートとともに service を指定します。ポート番号または予約済みポートの名前（http など）のいずれかを入力できます。

• プロキシ ARP なし：（任意）マッピング IP アドレスに着信したパケットのプロキシ ARP をディセーブルにするには、no-proxy-arp を指定します。プロキシ ARP のディセーブル化が必要となる可能性がある状況については、マッピング アドレスとルーティングを参照してください。

• ポート変換を設定した送信元のスタティック インターフェイス NAT のみを設定する場合は、送信元のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに interface キーワードを指定できます。

• ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに interface キーワードを指定できます。

オブジェクトを作成する場合は、次のガイドラインを考慮してください。

• マッピングされたオブジェクトまたはグループには、ホスト、範囲、またはサブネットを含めることができます。

• スタティック マッピングは、通常 1 対 1 です。したがって、実際のアドレスとマッピング アドレスの数は同じです。ただし、必要に応じて異なる数にすることができます。詳細については、「スタティック NAT」を参照してください。

• 送信元または宛先の実際のポート

• 送信元または宛先のマッピング ポート

サービス オブジェクトには、送信元ポートと宛先ポートの両方を含めることができますが、両方のサービス オブジェクトに送信元ポートまたは宛先ポートのいずれかを指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合（一部の DNS サーバーなど）に送信元ポートおよび宛先ポートの両方を指定する必要がありますが、固定の送信元ポートはめったに使用されません。たとえば、送信元ホストのポートを変換する場合は、送信元サービスを設定します。

nat [(real_ifc,mapped_ifc)] [line | {after-object [line]}] source static real_ob [mapped_obj | interface [ipv6]] [destination static {mapped_obj | interface [ipv6]} real_obj] [service real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj] [net-to-net] [dns] [unidirectional | no-proxy-arp] [inactive] [description desc]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• セクションおよび行：（任意）デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます（NAT ルールの順序を参照）。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、after-auto キーワードを使用します。ルールは、line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：

  • 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT に使用される any キーワードを使用しないでください。

  • マッピング アドレス：異なるネットワーク オブジェクトまたはグループを指定します。ポート変換を設定したスタティック インターフェイス NAT に限り、interface キーワードを指定できます。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。interface を指定する場合、service キーワードも設定します（この場合、サービス オブジェクトは送信元ポートだけを含む必要があります）。このオプションでは、mapped_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）詳細については、「ポート変換を設定したスタティック NAT」を参照してください。

• 宛先アドレス（任意）:

  • マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、interface キーワードを指定します。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。interface を指定する場合、必ず service キーワードも設定します（この場合、サービス オブジェクトは宛先ポートだけを含む必要があります）。このオプションでは、real_ifc に特定のインターフェイスを設定する必要があります。（マッピングされたインターフェイスがブリッジ グループ メンバーのときは、interface を指定できません）

  • 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

• ポート：（任意）実際のサービス オブジェクトおよびマッピングされたサービス オブジェクトとともに、service キーワードを指定します。送信元ポート変換の場合、オブジェクトは送信元サービスを指定する必要があります。送信元ポート変換のコマンド内のサービス オブジェクトの順序は、service real_obj mapped_obj です。宛先ポート変換の場合、オブジェクトは宛先サービスを指定する必要があります。宛先ポート変換のサービス オブジェクトの順序は、service mapped_obj real_obj です。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、最初のサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。2 つめのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。アイデンティティ ポート変換の場合は、実際のポートとマッピング ポートの両方（コンフィギュレーションに応じて、送信元ポート、宛先ポート、またはその両方）に同じサービス オブジェクトを使用するだけです。

• ネットツーネット：（任意）NAT 46 の場合、net-to-net を指定すると、最初の IPv4 アドレスが最初の IPv6 アドレスに、2 番目が 2 番目に、というように変換されます。このオプションを指定しない場合は、IPv4 埋め込み方式が使用されます。1 対 1 変換の場合は、このキーワードを使用する必要があります。

• DNS：（任意、送信元にのみ適用されるルール）dns キーワードは、DNS 応答を変換します。DNS インスペクションがイネーブルになっていることを確認してください（デフォルトではイネーブルです）。宛先アドレスを設定する場合、dns キーワードは設定できません。詳細については、「NAT を使用した DNS クエリと応答の書き換え」を参照してください。

• 単方向：（任意）宛先アドレスが送信元アドレスへのトラフィックを開始できないようにするには、unidirectional を指定します。

• プロキシ ARP なし：（任意）マッピング IP アドレスに着信したパケットのプロキシ ARP をディセーブルにするには、no-proxy-arp を指定します。詳細については、「マッピング アドレスとルーティング」を参照してください。

• 非アクティブ：（任意）コマンドを削除する必要なくこの規則を非アクティブにするには、inactive キーワードを使用します。再度アクティブ化するには、inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（任意）description キーワードを使用して、最大 200 文字の説明を入力します。

• オブジェクトを使用する代わりに、インライン アドレスを設定できます。

• オブジェクトを使用する場合は、オブジェクトは、変換する実際のアドレスと一致する必要があります。

各オブジェクトのコンテンツが同一である必要がある場合でも、オブジェクトはマッピング アドレスに使用する内容とは異なるオブジェクトにする必要があります。

• host {IPv4_address | IPv6_address}：単一のホストの IPv4 または IPv6 アドレス。たとえば、10.1.1.1 または 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/IPv6_prefix}：ネットワークのアドレス。IPv4 サブネットの場合、10.0.0.0 255.0.0.0 のように、スペースの後ろにマスクを含めます。IPv6 の場合、2001:DB8:0:CD30::/60 のように、アドレスとプレフィックスを単一のユニット（スペースなし）として含めます。

• range start_address end_address：アドレスの範囲。IPv4 または IPv6 の範囲を指定できます。マスクまたはプレフィックスを含めないでください。

nat [(real_ifc,mapped_ifc)] static {mapped_inline_host_ip | mapped_obj} [no-proxy-arp] [route-lookup]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• マッピング IP アドレス：マッピング アドレスと実際のアドレスの両方に同じ IP アドレスを設定するようにしてください。次のいずれかを使用します。

  • mapped_inline_host_ip ：インライン ホスト IP アドレス。ホストオブジェクトの場合は、同じアドレスを指定します。範囲オブジェクトの場合は、実際の範囲における最初のアドレスを指定します（範囲内の同じ数のアドレスが使用されます）。サブネットオブジェクトの場合は、実際のサブネット内にある任意のアドレスを指定します（サブネット内のすべてのアドレスが使用されます）。

  • mapped_obj：実際のオブジェクトと同じアドレスを含むネットワーク オブジェクトまたはグループ。

• プロキシ ARP なし：（任意）マッピング IP アドレスに着信したパケットのプロキシ ARP をディセーブルにするには、no-proxy-arp を指定します。プロキシ ARP のディセーブル化が必要となる可能性がある状況については、マッピング アドレスとルーティングを参照してください。

• ルート ルックアップ：（ルーテッド モードのみ、インターフェイスを指定）NAT コマンドに指定したインターフェイスを使用する代わりに、ルート ルックアップを使用して出力インターフェイスを決定するには、route-lookup を指定します。詳細については、「出力インターフェイスの決定」を参照してください。

• すべてのアドレスに対してアイデンティティ NAT を実行する場合は、送信元の実際のアドレスのオブジェクトの作成をスキップして、代わりに、nat コマンドで any any キーワードを使用します。

• ポート変換を設定した宛先のスタティック インターフェイス NAT のみを設定する場合は、宛先のマッピング アドレスに対するオブジェクトの追加をスキップして、代わりに、nat コマンドに interface キーワードを指定できます。

オブジェクトを作成する場合は、次のガイドラインを考慮してください。

• マッピングされたオブジェクトまたはグループには、ホスト、範囲、またはサブネットを含めることができます。

• 実際のオブジェクトとマッピングされた送信元オブジェクトが一致する必要があります。両方に同じオブジェクトを使用することも、同じ IP アドレスが含まれる個別のオブジェクトを作成することもできます。

• 送信元または宛先の実際のポート

• 送信元または宛先のマッピング ポート

サービス オブジェクトには、送信元ポートと宛先ポートの両方を含めることができますが、両方のサービス オブジェクトに送信元ポートまたは宛先ポートのいずれかを指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合（一部の DNS サーバーなど）に送信元ポートおよび宛先ポートの両方を指定する必要がありますが、固定の送信元ポートはめったに使用されません。たとえば、送信元ホストのポートを変換する場合は、送信元サービスを設定します。

nat [(real_ifc,mapped_ifc)] [line | {after-object [line]}] source static {nw_obj nw_obj | any any} [destination static {mapped_obj | interface [ipv6]} real_obj] [service real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj] [no-proxy-arp] [route-lookup] [inactive] [description desc]

それぞれの説明は次のとおりです。

• インターフェイス：（ブリッジ グループ メンバーのインターフェイスに必要）実際のインターフェイス（real_ifc）およびマッピング インターフェイス（mapped_ifc）を指定します。丸カッコを含める必要があります。ルーテッド モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。また、（any,outside）のようにインターフェイスのいずれかまたは両方にキーワード any を指定することもできます。ただし、any はブリッジ グループのメンバ インターフェイスには適用されません。

• セクションおよび行：（任意）デフォルトでは、NAT 規則は、NAT テーブルのセクション 1 の末尾に追加されます（NAT ルールの順序を参照）。セクション 1 ではなく、セクション 3（ネットワーク オブジェクト NAT ルールの後ろ）にルールを追加する場合、after-auto キーワードを使用します。ルールは、line 引数を使用して、適切なセクションの任意の場所に挿入できます。

• 送信元アドレス：実際のアドレスとマッピング アドレスの両方にネットワーク オブジェクト、グループ、または any キーワードを指定します。

• 宛先アドレス（任意）:

  • マッピング アドレス：ネットワーク オブジェクトまたはグループを指定します。ポート変換が設定されたスタティック インターフェイス NAT に限り、interface キーワードを指定します。ipv6 を指定すると、インターフェイスの IPv6 アドレスが使用されます。interface を指定する場合、必ず service キーワードも設定します（この場合、サービス オブジェクトは宛先ポートだけを含む必要があります）。このオプションでは、real_ifc に特定のインターフェイスを設定する必要があります。（実際のインターフェイスがブリッジ グループ メンバーである場合、interface を指定することはできません）

  • 実際のアドレス：ネットワーク オブジェクトまたはグループを指定します。アイデンティティ NAT では、実際のアドレスとマッピング アドレスの両方に単に同じオブジェクトまたはグループを使用します。

• ポート：（任意）実際のサービス オブジェクトおよびマッピングされたサービス オブジェクトとともに、service キーワードを指定します。送信元ポート変換の場合、オブジェクトは送信元サービスを指定する必要があります。送信元ポート変換のコマンド内のサービス オブジェクトの順序は、service real_obj mapped_obj です。宛先ポート変換の場合、オブジェクトは宛先サービスを指定する必要があります。宛先ポート変換のサービス オブジェクトの順序は、service mapped_obj real_obj です。オブジェクトで送信元ポートと宛先ポートの両方を指定することはほとんどありませんが、この場合には、最初のサービス オブジェクトに実際の送信元ポート/マッピングされた宛先ポートが含まれます。2 つめのサービス オブジェクトには、マッピングされた送信元ポート/実際の宛先ポートが含まれます。アイデンティティ ポート変換の場合は、実際のポートとマッピング ポートの両方（コンフィギュレーションに応じて、送信元ポート、宛先ポート、またはその両方）に同じサービス オブジェクトを使用するだけです。

• プロキシ ARP なし：（任意）マッピング IP アドレスに着信したパケットのプロキシ ARP をディセーブルにするには、no-proxy-arp を指定します。詳細については、「マッピング アドレスとルーティング」を参照してください。

• ルート ルックアップ：（任意、ルーテッド モードのみ、インターフェイスを指定）NAT コマンドに指定したインターフェイスを使用する代わりに、ルート ルックアップを使用して出力インターフェイスを決定するには、route-lookup を指定します。詳細については、「出力インターフェイスの決定」を参照してください。

• 非アクティブ：（任意）コマンドを削除する必要なくこの規則を非アクティブにするには、inactive キーワードを使用します。再度アクティブ化するには、inactive キーワードを除いてコマンド全体を再入力します。

• 説明：（オプション）description キーワードを使用して、最大 200 文字の説明を入力します。