スタティックNATで外部から内部へ通信するための設定方法を記載します。

目次

• 1. 前提条件
• 2. 要件
• 3. 設定例
• 4. 動作確認
  • 4.1. show xlate
  • 4.2. telnet
• 5. 補足

1. 前提条件

本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco ASAv Version 9.9(2)

2. 要件

• Server2が192.168.2.100にTelnetするとServer1に接続できるように、ASAでスタティックNATを設定してください。

3. 設定例

要件を満たす設定例を以下に示します。

 ASA 

hostname ASA
!
interface GigabitEthernet0/0
 nameif INSIDE
 security-level 100
 ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet0/1
 nameif OUTSIDE
 security-level 0
 ip address 192.168.2.254 255.255.255.0
!
object network NAT
 host 192.168.1.1
access-list OUTSIDE->INSIDE extended permit tcp host 192.168.2.1 host 192.168.1.1 eq telnet
!
object network NAT
 nat (INSIDE,OUTSIDE) static 192.168.2.100
access-group OUTSIDE->INSIDE in interface OUTSIDE

4. 動作確認

4.1. show xlate

• 192.168.1.1 → 192.168.2.100のスタティックNATエントリが作成されていることを確認します。

ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from INSIDE:192.168.1.1 to OUTSIDE:192.168.2.100
    flags s idle 0:00:13 timeout 0:00:00

4.2. telnet

• Server2から192.168.2.100にTelnetすると、Server1に接続できていることを確認します。
• Server1にTelnetした状態でshow usersコマンドを実行し、192.168.2.1から接続されていることを確認します。

Server2#telnet 192.168.2.100
Trying 192.168.2.100 ... Open

User Access Verification

Password:
Server1>
Server1>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:00:54   
*578 vty 0                idle                 00:00:00 192.168.2.1

  Interface    User               Mode         Idle     Peer Address

5. 補足

• ASAではセキュリティレベルの低いインタフェースから高いインタフェースへの通信はデフォルトで破棄されます。そのため、外部から内部へ通信するにはACLを用いてトラフィックが許可されるように設定する必要があります。