Confer�ncias : Cisco Expressway

Configurar a reflexão NAT no ASA para dispositivos do TelePresence

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (14 Agosto 2015) | Feedback

Introdução

Este documento descreve como executar uma configuração da reflexão do Network Address Translation (NAT) nas ferramentas de segurança adaptáveis de Cisco (ASA) para as encenações especiais do Cisco TelePresence que exigem este tipo da configuração de NAT no Firewall (FW).

Contribuído pelo cristão Hernández, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Configuração de NAT básica de Cisco ASA

  • Controle do server de comunicação de vídeo do Cisco TelePresence (VC) e de via expressa VC configuração básica

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Dispositivos do 5500 e 5500-X Series de Cisco ASA que executam a versão de software 8.3 e mais atrasado

  • Versão 8.5 de Cisco VC X

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Conforme a documentação do Cisco TelePresence, há dois tipos das encenações do TelePresence onde a configuração da reflexão NAT é exigida nos FW a fim permitir que o controle VC se comunique com a via expressa VC através do endereço IP público da via expressa VC.

A primeira encenação envolve um De-Militarized Zone da sub-rede única (DMZ) esse usos uma única interface de LAN da via expressa VC, e a segunda encenação envolve um 3-port FW DMZ que use uma única interface de LAN da via expressa VC.

Dica: A fim obter mais detalhes sobre a aplicação do TelePresence, refira o guia de distribuição da configuração básica do server de comunicação de vídeo do Cisco TelePresence (controle com via expressa).

Sub-rede única DMZ com única interface de LAN da via expressa VC

Nesta encenação, o FW A pode distribuir o tráfego a FW B (e vice-versa). A via expressa VC permite que o tráfego de vídeo seja passado com FW B sem uma redução no fluxo de tráfego em FW B da parte externa às interfaces internas. A via expressa VC igualmente segura o traversal FW em seu lado público.

Aqui está um exemplo:

Este desenvolvimento usa estes componentes:

  • Uma sub-rede única DMZ (10.0.10.0/24) que contenham:

    • A interface interna de FW A (10.0.10.1)
    • A interface externa de FW B (10.0.10.2)
    • A relação LAN1 da via expressa VC (10.0.10.3)
  • Uma sub-rede de LAN (10.0.30.0/24) que contenham:

    • A interface interna de FW B (10.0.30.1)
    • A relação LAN1 do controle VC (10.0.30.2)
    • A interface de rede do servidor de gerenciamento do Cisco TelePresence (TMS) (10.0.30.3)

Um NAT linear estático foi configurado no FW A, que executa o NAT para o endereço público 64.100.0.10 ao endereço IP de Um ou Mais Servidores Cisco ICM NT LAN1 da via expressa VC. O modo do NAT estático foi permitido para a relação LAN1 na via expressa VC, com um endereço IP de Um ou Mais Servidores Cisco ICM NT do NAT estático de 64.100.0.10.

Nota: Você deve incorporar o nome de domínio totalmente qualificado (FQDN) da via expressa VC. Vê-se fora da rede enquanto o endereço de peer nos VC controla a zona segura do traversal. A razão para esta reage aquela do modo do NAT estático, a via expressa VC pede que a sinalização de entrada e os media traficam estejam enviados a seu FQDN externo um pouco do que seu nome privado. Isto igualmente significa que o FW externo deve permitir o tráfego do controle VC ao FQDN externo da via expressa VC. Isto é sabido como a reflexão NAT, e não pôde ser apoiado por todos os tipos de FW.

Neste exemplo, o FW A deve permitir a reflexão NAT do tráfego que vem do controle VC que é destinado para o endereço IP externo (64.100.0.10) da via expressa VC. A zona do traversal no controle VC deve ter 64.100.0.10 como o endereço de peer.

A via expressa VC deve ser configurada com um gateway padrão de 10.0.10.1. Se as rotas estáticas estão exigidas nesta encenação depende das capacidades e dos ajustes de FW A e de FW B. A comunicação do controle VC à via expressa VC ocorre através do endereço IP 64.100.0.10 da via expressa VC; e o tráfego de retorno da via expressa VC ao controle VC pôde ter que passar através do gateway padrão.

Se uma rota estática é adicionada à via expressa VC de modo que o tráfego da resposta passe da via expressa VC e diretamente com FW B à sub-rede 10.0.30.0/24, significa que o roteamento assimétrico ocorre. Isto não pôde trabalhar, dependente das capacidades FW.

A via expressa VC pode ser adicionada a Cisco TMS com o endereço IP 10.0.10.3 (ou com endereço IP 64.100.0.10, se o FW A permite este), desde que a comunicação de Gerenciamento de Cisco TMS não é afetada pelas configurações de modo do NAT estático na via expressa VC.

3-Port FW DMZ com única interface de LAN da via expressa VC

Está aqui um exemplo desta encenação:

Neste desenvolvimento, um 3-port FW é usado a fim criar:

  • Uma sub-rede DMZ (10.0.10.0/24) que contenham:

    • A relação DMZ de FW A (10.0.10.1)
    • A relação LAN1 da via expressa VC (10.0.10.2)
  • Uma sub-rede de LAN (10.0.30.0/24) que contenham:

    • A interface de LAN de FW A (10.0.30.1)
    • A relação LAN1 do controle VC (10.0.30.2)
    • A interface de rede de Cisco TMS (10.0.30.3)

Um NAT linear estático foi configurado no FW A, que executa o NAT do endereço IP público 64.100.0.10 ao endereço IP de Um ou Mais Servidores Cisco ICM NT LAN1 da via expressa VC. O modo do NAT estático foi permitido para a relação LAN1 na via expressa VC, com um endereço IP de Um ou Mais Servidores Cisco ICM NT do NAT estático de 64.100.0.10.

A via expressa VC deve ser configurada com um gateway padrão de 10.0.10.1. Desde que este gateway deve ser usado para todo o tráfego que sae da via expressa VC, nenhuma rota estática é exigida neste tipo de desenvolvimento.

A zona do cliente do traversal no controle VC deve ser configurada com um endereço de peer que combine o endereço do NAT estático da via expressa VC (64.100.0.10 neste exemplo) para as mesmas razões que aqueles descritos no cenário anterior.

Nota: Isto significa que o FW A deve permitir o tráfego do controle VC com um endereço IP de destino de 64.100.0.10. Isto é sabido igualmente como a reflexão NAT, e deve-se notar que este não está apoiado por todos os tipos de FW.

A via expressa VC pode ser adicionada a Cisco TMS com o endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.0.10.2 (ou com endereço IP 64.100.0.10, se o FW A permite este), desde que a comunicação de Gerenciamento de Cisco TMS não é afetada pelas configurações de modo do NAT estático na via expressa VC.

Configurar

Esta seção descreve como configurar a reflexão NAT para as duas hipóteses de implementação diferentes do TelePresence.

Sub-rede única DMZ com única interface de LAN da via expressa VC

Para a primeira encenação, você deve aplicar esta configuração da reflexão NAT em FW à fim permitir a reflexão NAT do tráfego de entrada do controle VC que é destinado para o endereço externo (64.100.0.10) da via expressa VC:

Neste exemplo, o endereço IP de Um ou Mais Servidores Cisco ICM NT do controle VC é 10.0.30.2/24, e o endereço IP de Um ou Mais Servidores Cisco ICM NT da via expressa VC é 10.0.10.3/24.

Se você supõe que o endereço IP de Um ou Mais Servidores Cisco ICM NT do controle VC de 10.0.30.2 está traduzido ao endereço IP 10.0.10.2 quando se move do interior para a interface externa de FW B, a seguir a configuração da reflexão NAT que você deve executar em FW B está mostrada nos exemplos seguintes.

Para as versões ASA 8.3 e mais atrasado:

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.3
host 10.0.10.3

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,outside) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.3

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Para as versões ASA 8.2 e mais adiantado:

access-list IN-OUT-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,outside) interface access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.0.10.3 host 10.0.10.2
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE

Nota: É opcional traduzir o endereço IP de origem dos pacotes para este fluxo de tráfego. O objetivo principal desta tradução da reflexão NAT é permitir que o controle VC alcance a via expressa VC, mas usa o endereço IP público da via expressa VC em vez de seu endereço IP privado.

3-Port FW DMZ com única interface de LAN da via expressa VC

Para a segunda encenação, você deve aplicar esta configuração da reflexão NAT em FW à fim permitir a reflexão NAT do tráfego de entrada do controle VC que é destinado para o endereço IP externo (64.100.0.10) da via expressa VC:

Neste exemplo, o endereço IP de Um ou Mais Servidores Cisco ICM NT do controle VC é 10.0.30.2/24, e o endereço IP de Um ou Mais Servidores Cisco ICM NT da via expressa VC é 10.0.10.2/24.

Se você supõe que o endereço IP de Um ou Mais Servidores Cisco ICM NT do controle VC de 10.0.30.2 está traduzido ao endereço IP 10.0.10.1 quando se move do interior para a relação DMZ de FW A, a seguir a configuração da reflexão NAT que você deve executar em FW A está mostrada nos exemplos seguintes.

Para as versões ASA 8.3 e mais atrasado: 

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.2
host 10.0.10.2

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,DMZ) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.2

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the DMZ interface is being redirected.
WARNING: Users may not be able to access any service enabled on the DMZ interface.

Para as versões ASA 8.2 e mais adiantado:

access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.10.1
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE

Nota: É opcional traduzir o endereço IP de origem dos pacotes para este fluxo de tráfego. O objetivo principal desta tradução da reflexão NAT é permitir que o controle VC alcance a via expressa VC, mas usa o endereço IP público da via expressa VC em vez de seu endereço IP privado.

Verificar

Esta seção fornece as saídas do projétil luminoso do pacote que você pode usar a fim confirmar a configuração correta da reflexão NAT em ambas as encenações do TelePresence.

Sub-rede única DMZ com única interface de LAN da via expressa VC

Está aqui o projétil luminoso do pacote FW B output para as versões ASA 8.3 e mais atrasado:

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/80 to 10.0.10.3/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.2/1234

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:

Phase: 9
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 421, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Está aqui o projétil luminoso do pacote FW B output para as versões ASA 8.2 e mais adiantado: 

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/0 to 10.0.10.3/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 316, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

3-Port FW DMZ com única interface de LAN da via expressa VC

Está aqui o projétil luminoso do pacote FW A output para as versões ASA 8.3 e mais atrasado: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/80 to 10.0.10.2/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.1/1234

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:

Phase: 8
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 424, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Está aqui o projétil luminoso do pacote FW A output para as versões ASA 8.2 e mais adiantado: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.1/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 750, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Troubleshooting

Você pode configurar capturas de pacote de informação nas relações ASA a fim confirmar a fonte e a tradução de pacote do destino quando os pacotes incorporam e saem das relações FW que são involvidas.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118992