PAT (Port Address Translation) の設定方法を記載します。
目次
1. 前提条件
本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco ASAv Version 9.9(2)
2. 要件
- 192.168.1.0/24からServer2へ通信する際、PATを用いて送信元IPアドレスがASAのOUTSIDEインタフェースのIPアドレスに変換されるように設定してください。
- 動作確認はping(ICMP)で実施できるように設定してください。
3. 設定例
要件を満たす設定例を以下に示します。
ASA
hostname ASA
!
interface GigabitEthernet0/0
nameif INSIDE
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet0/1
nameif OUTSIDE
security-level 0
ip address 192.168.2.254 255.255.255.0
!
object network NAT
subnet 192.168.1.0 255.255.255.0
!
object network NAT
nat (INSIDE,OUTSIDE) dynamic interface
!
policy-map global_policy
class inspection_default
inspect icmp
4. 動作確認
4.1. ping
- Server1からServer2に通信できることを確認します。
Server1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/4/6 ms
4.2. show xlate
- 192.168.1.1 → 192.168.2.254のPATエントリが作成されていることを確認します。
ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
ICMP PAT from INSIDE:192.168.1.1/0 to OUTSIDE:192.168.2.254/15077 flags ri idle 0:00:11 timeout 0:00:30
4.3. show nat
- 192.168.1.0/24 → 192.168.2.254のPATエントリのカウンタが増加していることを確認します。
ASA# show nat detail
Auto NAT Policies (Section 2)
1 (INSIDE) to (OUTSIDE) source dynamic NAT interface
translate_hits = 1, untranslate_hits = 0
Source - Origin: 192.168.1.0/24, Translated: 192.168.2.254/24
5. 補足
- PATを設定するため、nat dynamicコマンドでinterfaceキーワードを使用します。
- デフォルトでは、ASAにはICMPを許可しないポリシーがあります。そのため、ASAを介してデバイス間でpingを実行する場合には以下の設定を追加し、ICMPを許可する必要があります。
policy-map global_policy
class inspection_default
inspect icmp