IP : Traduction d'adresses de réseau (NAT)

Configurez l'ASA pour le serveur de messagerie Access de SMTP dans DMZ, à l'intérieur de, et les réseaux d'extérieur

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer une appliance de sécurité adaptable Cisco (ASA) pour l'accès à un serveur de Protocole SMTP (Simple Mail Transfer Protocol) qui se trouve dans la zone démilitarisée (DMZ), le réseau intérieur, ou le réseau extérieur.

Contribué par Aastha Bhardwaj, Divya Subramanian, Prapanch Ramamoorthy, et Dinkar Sharma, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco ASA qui exécute la version de logiciel 9.1 ou plus tard
  • Routeur de la gamme de Cisco 2800C avec la version de logiciel 15.1(4)M6 de Cisco IOS®

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section décrit comment configurer l'ASA afin d'atteindre le serveur de messagerie dans le réseau DMZ, le réseau intérieur, ou le réseau extérieur.

Remarque: Utilisez le Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes qui sont utilisées dans cette section.

Serveur de messagerie dans le réseau DMZ

Diagramme du réseau

La configuration qui est décrite dans cette section utilise cette configuration réseau :

Remarque: Les schémas d'adressage IP qui sont utilisés dans ce document ne sont pas légalement routable sur l'Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

La configuration réseau qui est utilisée dans cet exemple a l'ASA avec un réseau intérieur à 10.1.1.0/24 et un réseau extérieur à 203.0.113.0/24. Le serveur de messagerie avec l'adresse IP 172.16.31.10 se trouve dans le réseau DMZ. Pour que le serveur de messagerie soit accédé à par le réseau intérieur, vous devez configurer le Traduction d'adresses de réseau (NAT) d'identité. 

Pour que les utilisateurs externes accèdent au serveur de messagerie, vous devez configurer un NAT statique et une liste d'accès, qui est outside_int dans cet exemple, afin de permettre aux utilisateurs externes pour accéder au serveur de messagerie et lier la liste d'accès à l'interface extérieure.

Configuration ASA

C'est la configuration ASA pour cet exemple :

show run
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 2KFQnbNIdI.2KYOU encrypted
names

!--- Configure the dmz interface.

interface GigabitEthernet0/0
nameif dmz
security-level 50
ip address 172.16.31.1 255.255.255.0
!

!--- Configure the outside interface.


interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0

!--- Configure inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa912-k8.bin
ftp mode passive

!--- This access list allows hosts to access
!--- IP address 172.16.31.10 for the SMTP port from outside.


access-list outside_int extended permit tcp any4 host 172.16.31.10 eq smtp

object network obj1-10.1.1.0
 subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- This network static does not use address translation.
!--- Inside hosts appear on the DMZ with their own addresses.


object network obj-10.1.1.0
subnet 10.1.1.0 255.255.255.0
nat (inside,dmz) static obj-10.1.1.0

!--- This Auto-NAT uses address translation.
!--- Hosts that access the mail server from the outside
!--- use the 203.0.113.10 address.


object network obj-172.16.31.10
host 172.16.31.10
nat (dmz,outside) static 203.0.113.10

access-group outside_int in interface outside

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


service-policy global_policy global

Configuration de TLS ESMTP

Si vous utilisez le cryptage de Transport Layer Security (TLS) pour la transmission d'email, alors la caractéristique étendue d'inspection du Simple Mail Transfer Protocol (ESMTP) (activée par défaut) dans l'ASA relâche les paquets. Afin de permettre les emails avec le TLS activé, désactivez la configuration d'inspection ESMTP suivant les indications de l'exemple suivant.

Remarque: Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtn08326 (clients enregistrés seulement).

ciscoasa(config)#policy-map global_policy
ciscoasa(config-pmap)#class inspection_default
ciscoasa(config-pmap-c)#no inspect esmtp
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

Serveur de messagerie dans le réseau intérieur

Diagramme du réseau

La configuration qui est décrite dans cette section utilise cette configuration réseau :

La configuration réseau qui est utilisée dans cet exemple a l'ASA avec un réseau intérieur à 10.1.1.0/24 et un réseau extérieur à 203.0.113.0/24. Le serveur de messagerie avec l'adresse IP 10.1.2.10 se trouve dans le réseau intérieur.

Configuration ASA

C'est la configuration ASA pour cet exemple :

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!

!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- Create an access list that permits Simple
!--- Mail Transfer Protocol (SMTP) traffic from anywhere
!--- to the host at 203.0.113.10 (our server). The name of this list is
!--- smtp. Add additional lines to this access list as required.
!--- Note: There is one and only one access list allowed per
!--- interface per direction, for example, inbound on the outside interface.
!--- Because of limitation, any additional lines that need placement in
!--- the access list need to be specified here. If the server
!--- in question is not SMTP, replace the occurrences of SMTP with
!--- www, DNS, POP3, or whatever else is required.


access-list smtp extended permit tcp any host 10.1.2.10 eq smtp

--Omitted--

!--- Specify that any traffic that originates inside from the
!--- 10.1.2.x network NATs (PAT) to 203.0.113.9 if
!--- such traffic passes through the outside interface.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic 203.0.113.9

!--- Define a static translation between 10.1.2.10 on the inside and
!--- 203.0.113.10 on the outside. These are the addresses to be used by
!--- the server located inside the ASA.


object network obj-10.1.2.10
host 10.1.2.10
nat (inside,outside) static 203.0.113.10

!--- Apply the access list named smtp inbound on the outside interface.

access-group smtp in interface outside

!--- Instruct the ASA to hand any traffic destined for 10.1.2.0
!--- to the router at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Set the default route to 203.0.113.2.
!--- The ASA assumes that this address is a router address.


route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

Serveur de messagerie dans le réseau extérieur

Diagramme du réseau

La configuration qui est décrite dans cette section utilise cette configuration réseau :

Configuration ASA

C'est la configuration ASA pour cet exemple :

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- This command indicates that all addresses in the 10.1.2.x range
!--- that pass from the inside (GigabitEthernet0/2) to a corresponding global
!--- destination are done with dynamic PAT.
!--- As outbound traffic is permitted by default on the ASA, no
!--- static commands are needed.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- Creates a static route for the 10.1.2.x network.
!--- The ASA forwards packets with these addresses to the router
!--- at 10.1.1.2

route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Sets the default route for the ASA Firewall at 203.0.113.2

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

--Omitted--

: end

Vérifiez

Utilisez les informations qui sont fournies dans cette section afin de vérifier que votre configuration fonctionne correctement.

Serveur de messagerie dans le réseau DMZ

Ping de TCP

Les tests de ping de TCP une connexion au-dessus de TCP (le par défaut est Protocole ICMP (Internet Control Message Protocol)). Un ping de TCP envoie des paquets de synchronisation et considère le ping réussi si le périphérique de destination envoie un paquet SYN-ACK. Vous pouvez exécuter tout au plus deux pings simultanés de TCP à la fois.

Voici un exemple :

ciscoasa(config)# ping tcp
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Connexion

L'ASA est un pare-feu dynamique, et le trafic de retour du serveur de messagerie est permis de retour par le Pare-feu parce qu'il apparie une connexion dans la table de connexion de Pare-feu. On permet le trafic qui apparie une connexion en cours par le Pare-feu sans être bloqué par une liste de contrôle d'accès d'interface (ACL).

Dans l'exemple suivant, le client sur l'interface extérieure établit une connexion à l'hôte de 203.0.113.10 de l'interface DMZ. Ce rapport est établi avec le protocole TCP et a été de veille pendant deux secondes. Les indicateurs de connexion indiquent l'état actuel de cette connexion :

ciscoasa(config)# show conn  address  172.16.31.10
1 in use, 2 most used
TCP outside  203.0.113.2:16678 dmz  172.16.31.10:25, idle 0:00:02, bytes 921, flags UIO

Se connecter

Le Pare-feu ASA génère des Syslog pendant le fonctionnement normal. Les Syslog s'étendent dans la verbosité basée sur la configuration de journalisation. Cette sortie affiche deux Syslog qui apparaissent au niveau six (le niveau informationnel) et au niveau sept (le niveau d'élimination des imperfections) :

ciscoasa(config)# show logging  | i 172.16.31.10

%ASA-7-609001: Built local-host dmz:172.16.31.10

%ASA-6-302013: Built inbound TCP connection 11 for outside:203.0.113.2/16678
(203.0.113.2/16678) to dmz:172.16.31.10/25 (203.0.113.10/25)

Le deuxième Syslog dans cet exemple indique que le Pare-feu a établi une connexion dans sa table de connexion pour ce trafic spécifique entre le client et serveur. Si le Pare-feu était configuré afin de bloquer cette tentative de connexion, ou un autre facteur empêchait la création de cette connexion (des contraintes de ressource ou une mauvaise configuration possible), le Pare-feu ne génèrerait pas un log qui indique que la connexion a été établie. Au lieu de cela, il se connecterait une raison pour que la connexion soit refusée ou une indication au sujet du facteur qui a empêché la connexion de l'création. 

Par exemple, si l'ACL sur l'extérieur n'est pas configuré pour permettre 172.16.31.10 sur le port 25, puis vous verriez ce log quand le trafic est refusé :

%ASA-4-106100 : TCP refusé par outside_int de liste d'accès outside/203.0.113.2(3756) - >
   dmz/172.16.31.10(25) intervalle 300-second du hit-cnt 5

Ceci se produirait quand un ACL est manquant ou misconfigured comme affiché ici :

access-list outside_int extended permit tcp any4 host 172.16.31.10 eq http

access-list outside_int extended deny ip any4 any4

Traductions NAT (Xlate)

Afin de confirmer que les traductions sont créées, vous pouvez vérifier la table de Xlate (traduction). Le show xlate de commande, une fois combiné avec le mot clé local et l'adresse IP interne d'hôte, affiche toutes les entrées qui sont présentes dans la table de traduction pour cet hôte. La prochaine sortie prouve qu'il y a une traduction actuellement établie pour cet hôte entre le DMZ et les interfaces extérieures. L'adresse IP de serveur DMZ est traduite à l'adresse de 203.0.113.10 par configuration précédente. Les indicateurs qui sont répertoriés (s dans cet exemple) indiquent que la traduction est statique

ciscoasa(config)# show nat detail
Manual NAT Policies (Section 1)
1 (dmz) to (outside) source static obj-172.16.31.10 obj-203.0.113.10
    translate_hits = 7, untranslate_hits = 6
    Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32

Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static obj-172.16.31.10 203.0.113.10
    translate_hits = 1, untranslate_hits = 5
    Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24

ciscoasa(config)# show xlate
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
NAT from dmz:172.16.31.10 to outside:203.0.113.10
    flags s idle 0:10:48 timeout 0:00:00
NAT from inside:10.1.1.0/24 to dmz:10.1.1.0/24
    flags sI idle 79:56:17 timeout 0:00:00
NAT from dmz:172.16.31.10 to outside:203.0.113.10
    flags sT idle 0:01:02 timeout 0:00:00
NAT from outside:0.0.0.0/0 to dmz:0.0.0.0/0
    flags sIT idle 0:01:02 timeout 0:00:00

Serveur de messagerie dans le réseau intérieur

Ping de TCP

Voici un ping de TCP d'exemple sorti :

ciscoasa(config)# PING TCP
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Connexion

Voici une vérification de connexion d'exemple :

ciscoasa(config)# show conn  address  10.1.2.10
1 in use, 2 most used
TCP outside  203.0.113.2:5672 inside  10.1.2.10:25, idle 0:00:05, bytes 871, flags UIO

Se connecter

Voici un Syslog d'exemple :

%ASA-6-302013: Built inbound TCP connection 553 for outside:203.0.113.2/19198
(203.0.113.2/19198) to inside:10.1.2.10/25 (203.0.113.10/25)

Traductions NAT (Xlate)

Voici quelques sorties de commande nat de détail et de show xlate d'exposition d'exemple :

ciscoasa(config)# show nat detail

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static obj-10.1.2.10 203.0.113.10
    translate_hits = 0, untranslate_hits = 15
    Source - Origin: 10.1.2.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24
 
ciscoasa(config)# show xlate
 

NAT from inside:10.1.2.10 to outside:203.0.113.10
    flags s idle 0:00:03 timeout 0:00:00

Serveur de messagerie dans le réseau extérieur

Ping de TCP 

Voici un ping de TCP d'exemple sorti :

ciscoasa# PING TCP
Interface: inside
Target IP address: 203.1.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 10.1.2.10
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.1.113.10 port 25
from 10.1.2.10 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Connexion

Voici une vérification de connexion d'exemple :

ciscoasa# show conn address 203.1.113.10
1 in use, 2 most used
TCP inside 10.1.2.10:13539 outside 203.1.113.10:25, idle 0:00:02, bytes 898, flags UIO

Se connecter

Voici un Syslog d'exemple :

ciscoasa# show logging | i 203.1.113.10
 
%ASA-6-302013: Built outbound TCP connection 590 for outside:203.1.113.10/25
(203.1.113.10/25) to inside:10.1.2.10/1234 (203.0.113.1/1234)

Traductions NAT (Xlate)

Voici une sortie de commande de show xlate d'exemple :

ciscoasa# show xlate | i 10.1.2.10

TCP PAT from inside:10.1.2.10/1234 to outside:203.0.113.1/1234 flags ri idle
0:00:04 timeout 0:00:30

Dépannez

L'ASA fournit les plusieurs outils avec lesquels pour dépanner la Connectivité. Si la question persiste après que vous vérifiiez la configuration et vérifiiez les sorties qui sont décrites dans la section précédente, ces techniques et outil pourraient vous aider à déterminer la cause de votre panne de Connectivité.

Serveur de messagerie dans le réseau DMZ

Traceur de paquets

La fonctionnalité de traceur de paquet sur l'ASA te permet pour spécifier un paquet simulé et pour visualiser tous les divers étapes, contrôles, et fonctions par lesquelles le Pare-feu passe quand il traite le trafic. Avec cet outil, il est utile d'identifier un exemple du trafic que vous croyez devriez être laissé traverser le Pare-feu, et utilisez que five-tupple afin de simuler le trafic. Dans l'exemple suivant, le traceur de paquet est utilisé afin de simuler une tentative de connexion qui répond à ces critères :

  • Le paquet simulé arrive sur l'extérieur.
  • Le protocole qui est utilisé est TCP.
  • L'adresse IP simulée de client est 203.0.113.2.
  • Le client envoie le trafic qui est originaire du port 1234.
  • Le trafic est destiné à un serveur à l'IP address 203.0.113.10.
  • Le trafic est destiné au port 25.

Voici un traceur de paquet d'exemple sorti :

packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed

--Omitted--
 
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (dmz,outside) source static obj-172.16.31.10 obj-203.0.113.10
Additional Information:
NAT divert to egress interface dmz
Untranslate 203.0.113.10/25 to 172.16.31.10/25

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Voici un exemple sur le Cisco Adaptive Security Device Manager (ASDM) :

Notez qu'il n'y a aucune mention de l'interface DMZ dans les sorties précédentes. C'est par conception de traceur de paquet. L'outil vous indique comment les processus de Pare-feu qui type de tentative de connexion, qui inclut comment elle la conduirait et hors de quelle interface.

Conseil : Pour des informations supplémentaires sur la caractéristique de traceur de paquet, référez-vous aux paquets de suivi avec la section de Packet Tracer du guide de configuration de gamme de Cisco ASA 5500 utilisant le CLI, les 8.4 et les 8.6.

Capture de paquet

Le Pare-feu ASA peut capturer le trafic qui écrit ou laisse ses interfaces. Cette fonctionnalité de capture est très utile parce qu'elle peut définitivement prouver à si le trafic arrive, ou des feuilles de, un Pare-feu. L'exemple suivant affiche la configuration de deux captures nommées capd et capout sur les interfaces DMZ et d'extérieur, respectivement. Les ordres de capture utilisent un mot clé de correspondance, qui te permet pour être spécifique au sujet du trafic que vous voulez capturer.

Pour le capd de capture dans cet exemple, on l'indique que vous voulez apparier le trafic vu sur l'interface DMZ (d'entrée ou de sortie) cet hôte TCP 172.16.31.10/host 203.0.113.2 de correspondances. En d'autres termes, vous voulez capturer n'importe quel trafic TCP qui est envoyé de l'hôte 172.16.31.10 pour héberger 203.0.113.2, ou vice versa. L'utilisation du mot clé de correspondance permet au Pare-feu pour capturer ce trafic bidirectionnel. L'ordre de capture qui est défini pour l'interface extérieure ne met pas en référence l'adresse IP de serveur de messagerie interne parce que le Pare-feu conduit un NAT sur cet IP address de serveur de messagerie. En conséquence, vous ne pouvez pas être assortie avec cette adresse IP du serveur. Au lieu de cela, l'exemple suivant emploie le mot afin d'indiquer que toutes les adresses IP possibles apparieraient cette condition.

Après que vous configuriez les captures, vous devriez alors tenter d'établir une connexion de nouveau et poursuivre pour visualiser les captures avec le <capture_name> de show capture commandez. Dans cet exemple, vous pouvez voir que l'hôte d'extérieur pouvait se connecter au serveur de messagerie, comme évident par le connexion TCP à trois qui est vu dans les captures :

ASA#  capture capd interface dmz match tcp host 172.16.31.10 any
ASA#  capture capout interface outside match tcp any host 203.0.113.10

ASA#   show capture capd

3 packets captured

   1: 11:31:23.432655       203.0.113.2.65281 > 172.16.31.10.25: S 780523448:
   780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712518       172.16.31.10.25 > 203.0.113.2.65281: S 2123396067:
   2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712884       203.0.113.2.65281 > 172.16.31.10.25. ack 2123396068
   win 32768

ASA# show capture capout

3 packets captured

   1: 11:31:23.432869       203.0.113.2.65281 > 203.0.113.10.25: S 1633080465:
   1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
   2: 11:31:23.712472       203.0.113.10.25 > 203.0.113.2.65281: S 95714629:
   95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
   3: 11:31:23.712914        203.0.113.2.65281 > 203.0.113.10.25: . ack 95714630
   win 32768

Serveur de messagerie dans le réseau intérieur

Traceur de paquets

Voici un traceur de paquet d'exemple sorti :

CLI : packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed
 
--Omitted--

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.1.2.10
 nat (inside,outside) static 203.0.113.10
Additional Information:
NAT divert to egress interface inside
Untranslate 203.0.113.10/25 to 10.1.2.10/25

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group smtp in interface outside
access-list smtp extended permit tcp any4 host 10.1.2.10 eq smtp
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x77dd2c50, priority=13, domain=permit, deny=false
        hits=1, user_data=0x735dc880, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=10.1.2.10, mask=255.255.255.255, port=25, tag=0, dscp=0x0
        input_ifc=outside, output_ifc=any

Serveur de messagerie dans le réseau extérieur

Traceur de paquets

Voici un traceur de paquet d'exemple sorti :

CLI :  packet-tracer input inside tcp 10.1.2.10 1234 203.1.113.10 25 detailed
 
--Omitted--
 
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 203.1.113.0 255.255.255.0 outside
 
Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-10.1.2.0
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.1.2.10/1234 to 203.0.113.1/1234
Forward Flow based lookup yields rule:
in id=0x778b14a8, priority=6, domain=nat, deny=false
hits=11, user_data=0x778b0f48, cs_id=0x0, flags=0x0, protocol=0
src ip/id=10.1.2.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=outside

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118958