Cisco ASAにおけるスタティックNAT(外部から内部への通信)の設定方法を記載します。
目次
1. 前提条件
本記事は以下に基づいて作成しています。
・Cisco VIRL 1.6.65
・Cisco ASAv Version 9.9.2
2. 要件
- ASAのOUTSIDEインタフェース側のホストから192.168.3.100に通信する際、DMZインタフェース側のホスト192.168.2.1に到達できるようにスタティックNATを設定する。
3. 設定例
ASA
hostname ASA
!
interface GigabitEthernet0/0
nameif INSIDE
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface GigabitEthernet0/1
nameif DMZ
security-level 50
ip address 192.168.2.254 255.255.255.0
!
interface GigabitEthernet0/2
nameif OUTSIDE
security-level 0
ip address 192.168.3.254 255.255.255.0
!
object network NAT
host 192.168.2.1
access-list OUTSIDE->DMZ extended permit tcp any host 192.168.2.1
!
object network NAT
nat (DMZ,OUTSIDE) static 192.168.3.100
access-group OUTSIDE->DMZ in interface OUTSIDE
- DMZからOUTSIDEに通信する際、送信元IPアドレスが192.168.2.1から192.168.3.100に変換されるスタティックNATを設定している。
- ASAではセキュリティレベルの低いインタフェースから高いインタフェースへの通信はデフォルトで破棄されるため、トラフィックが許可されるようにアクセスリストを設定している。
4. 動作確認
ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
NAT from DMZ:192.168.2.1 to OUTSIDE:192.168.3.100
flags s idle 0:03:56 timeout 0:00:00
- 192.168.2.1 ⇔ 192.168.3.100のスタティックNATのエントリが作成されている。
R3#telnet 192.168.3.100
Trying 192.168.3.100 ... Open
User Access Verification
Password:
R2>
- R3から192.168.3.100にTELNET接続するとR2(192.168.2.1)に接続できている。