Advanced ASA Firewalls Inside Out　(Ask the Expert)

CiscoJapanModerator · ‎2013-07-19

このAsk the Expert は7月23日（火）開催の Webcast スピーカーが担当します。

質問は、Webcast で解説した内容を主に受付いたしますが、Cisco Firewalls に関することであればエキスパートができる限りお答えいたします。どうぞお気軽にご質問ください。

担当エキスパート: 川村　悟 (Satoru Kawamura)

開催期間：2013年7月24日（水）～2013年8月4日（日）

[質問の投稿方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし１つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問の展開を確認するためにも、ぜひこのフォーラムへ再度訪問されることをお待ちしております！

ciscouchida · ‎2013-07-24

昨日はありがとうございました。

ASAの動作に関して詳しくなりました。今後もサポート活動を行う際に、ご教授頂いたことを活かそうと思います。

昨日の内容とは違うのですが、ASA5510におけるスタティックNATに関する動作に関して質問があります。

基本的な内容で恐縮ですが、ASAのスタティックNATの動作について質問させてください。

既存環境にスタティックNATの設定を追加を行おうと思っています。

スタティックNATの変換を行う際に、同じIPアドレスを利用した状況下で、2台のホストが同時に外部にアクセスを行った場合、どのような動作を行うでしょうか？

具体的には、

192.168.0.1→outside inetrface IP(スタティックNAT変換)

192.168.0.2→outside interface IP(スタティックNAT変換)

の設定を行っている状態で、

192.168.0.1、192.168.0.2の端末が同時に外部にアクセスをした場合を想定しております。

私の想定としましては、一台の端末のみしか外部にアクセスできないと思っているのですが、正しいでしょうか？

また、このような設定の場合、同時にアクセスをしない場合も、一台のみしか外部にアクセスを行うことが出来なかったりするのでしょうか？

ダイナミックNATを利用すべきかと思いますが、既存環境の変更をせずに設定変更をしたいと思っているので、質問をさせて頂いています。

以上、大変お手数ですが、よろしくお願いします。

Satoru Kawamura · ‎2013-07-29

ご質問ありがとうございます。

同一のmapped IP アドレスに対するstatic NAT エントリを複数設定した場合の挙動ですが、上記例の192.168.0.2 (ご提示の順序でNAT 設定を投入したと仮定します)をsource としたpacket-tracer の結果としてはRPF-check にも問題は見られずFlow が確立するという出力が得られますが、実際の運用に当たっては192.168.0.2 でのトラフィックに支障を来す可能性が考えられ得ることもあり、弊社としてはこのような形での設定に基づく運用はお勧め出来かねます。

なお、今回ご提示のようにASA のoutside Interface アドレスをstatic NAT のmapped アドレスとして指定した場合、通常ASA で終端されるサービスのトラフィック(ASDM/Telnet/SSH 等の管理トラフィック、IPSec/SSL VPN、AAA 等)も全てNAT ルールで指定したReal IP アドレスを持つ端末へ転送されるため、これらのサービスが利用出来なくなります。

ASA のInterface アドレスをmapped アドレスとして利用される場合はdynamic/static PAT での運用をご検討ください。

Advanced ASA Firewalls Inside Out (Ask the Expert)

Advanced ASA Firewalls Inside Out　(Ask the Expert)