Mikan Network Lab.

ネットワーク技術やCisco製品に関して、勉強・検証した内容を発信しています。

Mikan Network Lab.

ASA: NAT_ダイナミックNAT

ダイナミックNATの設定方法を記載します。

目次

1. 前提条件

本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco ASAv Version 9.9(2)

2. 要件

  • 192.168.1.0/24からServer2へ通信する際、ダイナミックNATを用いて送信元IPアドレスが192.168.2.101~192.168.2.110に変換されるように設定してください。
  • 動作確認はping(ICMP)で実施できるように設定してください。

構成図

3. 設定例

要件を満たす設定例を以下に示します。

 ASA 

hostname ASA
!
interface GigabitEthernet0/0
 nameif INSIDE
 security-level 100
 ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet0/1
 nameif OUTSIDE
 security-level 0
 ip address 192.168.2.254 255.255.255.0
!
object network NAT_POOL
 range 192.168.2.101 192.168.2.110
object network NAT
 subnet 192.168.1.0 255.255.255.0
!
object network NAT
 nat (INSIDE,OUTSIDE) dynamic NAT_POOL
!
policy-map global_policy
 class inspection_default
  inspect icmp

4. 動作確認

4.1. ping

  • Server1からServer2に通信できることを確認します。

Server1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/4/6 ms

4.2. show xlate

  • 192.168.1.1 → 192.168.2.101のダイナミックNATエントリが作成されていることを確認します。

ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net

NAT from INSIDE:192.168.1.1 to OUTSIDE:192.168.2.101 flags i idle 0:00:09 timeout 3:00:00

4.3. show nat

  • 192.168.1.0/24 → 192.168.2.101~192.168.2.110のダイナミックNATエントリのカウンタが増加していることを確認します。

ASA# show nat detail

Auto NAT Policies (Section 2)
1 (INSIDE) to (OUTSIDE) source dynamic NAT NAT_POOL
    translate_hits = 1, untranslate_hits = 0
    Source - Origin: 192.168.1.0/24, Translated: 192.168.2.101-192.168.2.110

5. 補足

  • NAT変換用のIPアドレスプールを作成するため、object networkコマンド配下でrangeコマンドを使用します。
  • NAT対象となる送信元セグメントを指定するため、object networkコマンド配下でsubnetコマンドを使用します。
  • デフォルトでは、ASAにはICMPを許可しないポリシーがあります。そのため、ASAを介してデバイス間でpingを実行する場合には以下の設定を追加し、ICMPを許可する必要があります。

policy-map global_policy
 class inspection_default
  inspect icmp