Cisco ASAでは、NAT（Network Address Translation）を使って
内部ネットワークと外部ネットワークのIPアドレスを変換 します。

バージョン 8.3 以降は、NAT設定が「オブジェクトベース」で統一されており、
主に以下の3タイプがあります。

NATタイプ	概要	代表コマンド例
静的NAT (Static NAT)	内部と外部を1対1で固定変換	nat (inside,outside) static ...
動的NAT (Dynamic NAT)	内部→外部を動的に変換（複数の内部IPが、プール内のグローバルIPを動的に使用）	nat (inside,outside) dynamic ...
PAT (Port Address Translation)	複数の内部IPを1つのグローバルIPで変換	nat (inside,outside) dynamic interface

1. PAT設定（最も一般的）

多数の内部クライアントが1つのグローバルIPを共有する場合の設定です。

# 内部ネットワークの定義
object network INSIDE-NET
 subnet 192.168.1.0 255.255.255.0
  # NAT設定（inside→outside）
 nat (inside,outside) dynamic interface

✅ 意味：
内部ネットワーク(192.168.1.0/24)を外部インターフェイスのIPアドレスに変換して通信。

実際の PAT動作例

内部端末（192.168.1.10）が外部へアクセスすると:

Before NAT	After NAT
192.168.1.10:50000	203.0.113.5:30000

203.0.113.5 は outside IF の IP です。

2. 静的NAT（1対1変換）

特定のサーバをインターネット公開したい場合に使用します。

object network WEB-SERVER
 host 192.168.1.100
 nat (inside,outside) static 203.0.113.10

✅ 意味：
内部 192.168.1.100 ⇔ 外部 203.0.113.10
双方向で1対1に変換します。

3. ポートフォワーディング（特定ポートだけ転送）

Webサーバ（TCP/80）など、特定ポートだけ外部公開したい場合：

object network WEB-SERVER
 host 192.168.1.100
 nat (inside,outside) static interface service tcp 80 80

✅ 意味：
外部IP（outsideインターフェイス）:80 → 内部192.168.1.100:80へ転送。

4. 動的NAT（グローバルIPプール使用）

複数のグローバルIPを持ち、内部端末ごとに動的割当する場合。

object network INSIDE-NET
 subnet 192.168.1.0 255.255.255.0

object network PUBLIC-POOL
 range 203.0.113.10 203.0.113.20

nat (inside,outside) dynamic PUBLIC-POOL

NATルールの評価順序（3セクション）

ASAではNATルールが**3段階（セクション）**で評価されます。

優先度	NATタイプ	説明
1	Manual NAT（Section 1）	高度な制御用、ACL併用可
2	Auto NAT（Section 2）	オブジェクトNAT（最も一般的）
3	After-auto NAT（Section 3）	Auto NAT後に評価

NATの動作確認コマンド

コマンド	内容
show nat	設定されたNATルールを確認
show xlate	実際の変換テーブル（NATセッション）を確認
clear xlate	変換テーブルをクリア（NAT再評価時に使用）
packet-tracer input inside tcp 192.168.1.10 12345 8.8.8.8 80	仮想トレースでNAT・ACL動作確認

注意点

• NATだけでは通信は成立しません。ACL (access-list) で外部通信を許可する必要があります。
• 同一インターフェイス内でのNAT通信（Hairpin NAT）には別途設定が必要です。
• VPN通信を併用する場合、NAT除外ルールを定義します。