購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1170
閲覧回数
0
いいね!
0
コメント

2015/9/17 "基礎から学習するNAT (Network Address Translation) 設定 ASAとルータのコマンドの比較" Q&A

CiscoJapanModerator
Level 7
Level 7

‎2015-09-24 11:05 AM

資料ダウンロード  ディスカッションに参加する  録画を観る 

2015/9/17 オンラインセミナーQ&A集です。

[セミナー概要]
このセミナーは、グローバルナレッジ ネットワーク(株)のCisco 認定インストラクター、鈴木 新氏が担当します。鈴木氏は Cisco認定コース(Routing & Switching、Security)に関して専門的な知識をもつエキスパートです。
本セミナーでは、IPアドレス変換の技術であるNAT について、基本設定をルータとASAの違いを踏まえてご紹介いたします。このセミナーの内容は、業務でNATやASAを使用されている方や、Cisco 認定資格であるCCNA Security の取得を目指す方に効果的です。

NAT は、IPアドレスを変換する技術としてルータやファイアウォールなどで使用されています。 どのような目的で使用し、どのような設定が必要なのでしょうか。ASAとルータでは同じコマンドで設定できるのでしょうか。
このセミナーでは、NAT の概要と必要性や、ASAとルータのNAT設定コマンドの違いを比較して説明いたします。
本セミナーご受講にあたり、ルータを使用した IP 通信の仕組みが理解できていることを前提としています。

Q1.NAPTとPATは同義の用語でしょうか?

はい、同じ意味の用語です。PATはNAPT、IPマスカレード、オーバーローディングなど様々な呼び方があります。ポート番号を利用し、複数のアドレスを1つのアドレスに紐づける同じ技術を指しています。

Q2.outsideからinside、もしくはoutsideからdmzへのNAT設定することはありますか?

通常はoutsideからinside、もしくはoutsideからdmzへのNAT設定はしません。
outside側からアクセスしてきたものをNATで変換したい場合は、スタティックNATの設定をinsideからoutside、もしくはdmzからoutsideで行うのが一般的です。スタティックNATはoutside側から開始された通信もNAT変換することができます。

Q3. ASAのAuto NATとManual NATは併用することが可能でしょうか?

はい、可能です。ASAでAuto NATとManual NATの両方を設定した場合、処理の順番は次の通りです。
①Manual NAT ②Auto NAT ③Manual NAT(after-auto)
Manual NAT では、「after-auto」のオプションを設定した場合、一番後ろの③のセクションに設定されます。
(config) # nat (inside,outside) after-auto source ・・・

Q4.ASAのAuto NATはアドレスの数が少ないものが優先、数が同じ場合は小さいアドレスが優先とのことですが、「小さいアドレス」とはどのような意味でしょうか?

ネットワークオブジェクトコンフィギュレーションモードで設定する、host、range、subnetのコマンドのIPアドレスの値を比較します。
IPアドレスは32bitの値ですので、「小さいアドレス」というのは、第1オクテットの値が小さいアドレス、次に第2オクテットの値というように、上位のオクテットの値を比較すると考えると理解しやすいかと思います。

Q5.ASAのAuto NATでアドレスの数、使用しているアドレスの値が同じ場合は、並び順序はどうなりますか?

Auto NATの処理の順番は次の通りです。
①アドレスの数が少ないもの ②小さいアドレス ③オブジェクト名のアルファベット順
同じオブジェクト名は存在しないため、いずれかの段階で処理の順番が決定します。なお、アルファベットは大文字と小文字で区別があり、大文字のAからZに続いて小文字のaからzの順番で優先順位が決定します。

Q6.ASAのAuto NATで「host 10.1.1.1」とした場合と、「range 10.1.1.1 10.1.1.1」とした場合、処理の順序はどちらが先になりますか?アドレスの数はいくつとしてカウントされますか?

両方ともにアドレスの数は1つ、アドレスも同じアドレスのため小さいアドレスの判断がつきません。この場合は、オブジェクト名によって判断します。

Q7.ASAのAuto NATで「subnet 10.1.1.0 255.255.255.252」とした場合、アドレスの数はいくつとしてカウントされますか?

4つとしてカウントされます。ネットワークアドレスとブロードキャストアドレスもカウントされる点に注意してください。

Q8.ASAはセキュリティレベルがあるとのことですが、outsideからinsideの通信はスタティックNATの設定だけで通信できるのでしょうか?

セキュリティレベルの設定があるため、outsideが100、insideが0で設定されている場合、outsideからinsideへの通信はできません。ACLの設定を行い、該当する通信を許可する必要があります。

Q9. ルータやASAでダイナミックNATで、変換後のアドレス数が変換前のアドレス数よりも少なかった場合、通信は可能でしょうか?

変換後のアドレスの数だけ変換し、通信することができます。変換後のアドレスの数を超えた通信が発生した場合、超えた通信に関しては変換されず、通信もできません。

Q10. ルータやASAのPATは、いくらでも1つのアドレスに紐づけることができるのでしょうか?

1つのアドレスに紐づけることのできる数は制限があります。
PATはポート番号を利用して変換しているため、有効なポート番号の数だけ紐づけることができます。ポート番号は16bitのため、理論的な最大数は2の16乗で65536になりますが、通信により使用できるポート番号は限定される場合があります。より多くのアドレスを変換したい場合は、変換後のアドレスを複数用意する必要があります。

 

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents