Mikan Network Lab.

ネットワーク技術やCisco製品に関して、勉強・検証した内容を発信しています。

Mikan Network Lab.

ASA: スタティックNATの設定(外部から内部への通信)

Cisco ASAにおけるスタティックNAT(外部から内部への通信)の設定方法を記載します。

目次

1. 前提条件

本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco ASAv Version 9.9.2

2. 要件

  • ASAのOUTSIDEインタフェース側のホストから192.168.3.100に通信する際、DMZインタフェース側のホスト192.168.2.1に到達できるようにスタティックNATを設定する。

3. 設定例

 ASA 

hostname ASA
!
interface GigabitEthernet0/0
 nameif INSIDE
 security-level 100
 ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet0/1
 nameif DMZ
 security-level 50
 ip address 192.168.2.254 255.255.255.0
!
interface GigabitEthernet0/2
 nameif OUTSIDE
 security-level 0
 ip address 192.168.3.254 255.255.255.0
!
object network NAT
 host 192.168.2.1
access-list OUTSIDE->DMZ extended permit tcp any host 192.168.2.1
!
object network NAT
 nat (DMZ,OUTSIDE) static 192.168.3.100
access-group OUTSIDE->DMZ in interface OUTSIDE

  • DMZからOUTSIDEに通信する際、送信元IPアドレスが192.168.2.1から192.168.3.100に変換されるスタティックNATを設定している。
  • ASAではセキュリティレベルの低いインタフェースから高いインタフェースへの通信はデフォルトで破棄されるため、トラフィックが許可されるようにアクセスリストを設定している。

4. 動作確認

ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from DMZ:192.168.2.1 to OUTSIDE:192.168.3.100
    flags s idle 0:03:56 timeout 0:00:00

  • 192.168.2.1 ⇔ 192.168.3.100のスタティックNATのエントリが作成されている。


R3#telnet 192.168.3.100
Trying 192.168.3.100 ... Open


User Access Verification

Password:
R2>

  • R3から192.168.3.100にTELNET接続するとR2(192.168.2.1)に接続できている。