キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA version 8.3 : ポートレンジを用いたスタティックNAT(PAT)の設定例

 

本ドキュメントでは、外部公開IPのポート範囲アクセス先によって、内部IPアドレス変換先を変える方法について記載します。このようなアドレス変換は、ASA ver.8.3以上のNAT構文を使用すると、容易に達成することができます。

以下のようなトポロジを構成したい場合、

まず、insideホストを表すオブジェクトとoutsideを表すオブジェクトを定義し、outsideオブジェクトにはグローバルアドレスを設定します。

object network obj-10.10.10.1

   host 10.10.10.1

object network obj-10.10.10.2

   host 10.10.10.2

object network obj-10.10.10.3

   host 10.10.10.3

object network obj-1.1.1.20

   host 1.1.1.20

!

 

その後、アドレス変換にポートの値を用いるためのサービスオブジェクトを定義します。ここで重要なのは、この構文がアクセス先ポートをポートレンジで指定できることです。

object service obj-serviceUDP9000

    service udp source eq 9000

object service obj-serviceUDP50000-65500

   service udp source range 50000 65500

 

最後に、ローカルからグローバルIPとポート範囲で変換するために、manual NATコマンドを定義します。内側から外側への変換を定義していますが、インバウンド(インターネット上から内部ネットワーク)の接続でも、アウトバウンドの変換を定義するだけで済みます。

nat (inside,outside) source static obj-10.10.10.1 obj-1.1.1.20 service obj-serviceUDP9000 obj-serviceUDP9000

nat (inside,outside) source static obj-10.10.10.2 obj-1.1.1.20 service obj-serviceUDP50000-65500 obj-serviceUDP50000-65500

nat (inside,outside) source static obj-10.10.10.3 obj-1.1.1.20

 

 

"show nat detail"コマンドを使用すると、設定した3つのNAT文がconfigに追加されていることが分かります。

ciscoasa(config)# show nat detail
Manual NAT Policies (Section 1)
1 (inside) to (outside) source static obj-10.10.10.1 obj-1.1.1.20   service obj-serviceUDP9000 obj-serviceUDP9000
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.10.10.1/32, Translated: 1.1.1.20/32
    Service - Origin: udp source eq 9000 , Translated: udp source eq 9000
2 (inside) to (outside) source static obj-10.10.10.2 obj-1.1.1.20   service obj-serviceUDP50000-65500 obj-serviceUDP50000-65500
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.10.10.2/32, Translated: 1.1.1.20/32
    Service - Origin: udp source range 50000 65500 , Translated: udp source range 50000 65500
3 (inside) to (outside) source static obj-10.10.10.3 obj-1.1.1.20
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.10.10.3/32, Translated: 1.1.1.20/32

 

ASAの外部インターフェイスにサンプルパケットを送ることができるパケットトレーサーツールを使用して、作成したNATルールが適切にヒットしパケットが変換されていることが確認できました。

ciscoasa# packet-tracer input outside udp 4.4.4.4 48483 1.1.1.20 9000

......

Phase: 3

Type: UN-NAT

Subtype: static

Result: ALLOW

Config:

nat (inside,outside) source static obj-10.10.10.1 obj-1.1.1.20 service obj-serviceUDP9000 obj-serviceUDP9000

Additional Information:

NAT divert to egress interface inside

Untranslate 1.1.1.20/9000 to 10.10.10.1/9000

......

 

 

ciscoasa# packet-tracer input outside udp 4.4.4.4 48483 1.1.1.20 50032

......

Phase: 3

Type: UN-NAT

Subtype: static

Result: ALLOW

Config:

nat (inside,outside) source static obj-10.10.10.2 obj-1.1.1.20 service obj-serviceUDP50000-65500 obj-serviceUDP50000-65500

Additional Information:

NAT divert to egress interface inside

Untranslate 1.1.1.20/50032 to 10.10.10.2/50032

....

 

翻訳元 :https://supportforums.cisco.com/document/65221/config-example-static-pat-nat-range-ports-using-asa-version-83

バージョン履歴
改訂番号
1/1
最終更新:
‎09-17-2014 05:26 PM
更新者:
 
ラベル(1)
タグ(3)