スタティックNATで外部から内部へ通信するための設定方法を記載します。
目次
1. 前提条件
本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco ASAv Version 9.9(2)
2. 要件
- Server2が192.168.2.100にTelnetするとServer1に接続できるように、ASAでスタティックNATを設定してください。
3. 設定例
要件を満たす設定例を以下に示します。
ASA
hostname ASA
!
interface GigabitEthernet0/0
nameif INSIDE
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet0/1
nameif OUTSIDE
security-level 0
ip address 192.168.2.254 255.255.255.0
!
object network NAT
host 192.168.1.1
access-list OUTSIDE->INSIDE extended permit tcp host 192.168.2.1 host 192.168.1.1 eq telnet
!
object network NAT
nat (INSIDE,OUTSIDE) static 192.168.2.100
access-group OUTSIDE->INSIDE in interface OUTSIDE
4. 動作確認
4.1. show xlate
- 192.168.1.1 → 192.168.2.100のスタティックNATエントリが作成されていることを確認します。
ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
NAT from INSIDE:192.168.1.1 to OUTSIDE:192.168.2.100
flags s idle 0:00:13 timeout 0:00:00
4.2. telnet
- Server2から192.168.2.100にTelnetすると、Server1に接続できていることを確認します。
- Server1にTelnetした状態でshow usersコマンドを実行し、192.168.2.1から接続されていることを確認します。
Server2#telnet 192.168.2.100
Trying 192.168.2.100 ... Open
User Access Verification
Password:
Server1>
Server1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:54
*578 vty 0 idle 00:00:00 192.168.2.1
Interface User Mode Idle Peer Address
5. 補足
- ASAではセキュリティレベルの低いインタフェースから高いインタフェースへの通信はデフォルトで破棄されます。そのため、外部から内部へ通信するにはACLを用いてトラフィックが許可されるように設定する必要があります。