会議 : Cisco Expressway

TelePresence デバイスのための ASA の NAT リフレクションを設定して下さい

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 14 日) | フィードバック

概要

この資料にこの種類のファイアウォール(FW)の NAT 設定を必要とする特別な Cisco TelePresence シナリオのための Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)のネットワーク アドレス変換(NAT)リフレクション設定を設定する方法を記述されています。

クリスチャン ヘルナンデスによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ASA 基本的な NAT 設定

  • Cisco TelePresence Video Communication Server(VCS) コントロールおよび VC 高速道路基本設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.3 およびそれ以降を実行する Cisco ASA 5500 および 5500-X シリーズ アプライアンス

  • Cisco VC X バージョン 8.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Cisco TelePresence ドキュメントによって、VC コントロールが VC 高速道路パブリックIPアドレスによって VC 高速道路と通信するように NAT リフレクション設定が FW で必要となる 2 種類の TelePresence シナリオがあります。

最初のシナリオは単一 の サブネット De-Militarized Zone (DMZ)を含み単一 VC 高速道路 LAN インターフェイスを使用する、第 2 シナリオは単一 VC 高速道路 LAN インターフェイスを使用する 3 ポート FW DMZ を含みます。

ヒント: TelePresence 実装についてのより多くの詳細を取得するために、Cisco TelePresence ビデオ コミュニケーション コミュニケーション・サーバ基本設定(高速道路とのコントロール)配置ガイドを参照して下さい。

単一 VC 高速道路 LAN インターフェイスとの単一 の サブネット DMZ

このシナリオでは、FW A は FW B にトラフィックをルーティングできます(またその逆にも)。 VC 高速道路はビデオトラフィックが外部からの内部インターフェイスへの FW B のトラフィックフローのリダクションなしで FW B によって通過するようにします。 VC 高速道路はまた公衆側の FW 走査を処理します。

次に例を示します。

この配備はこれらのコンポーネントを使用します:

  • 含んでいる単一 の サブネット DMZ (10.0.10.0/24):

    • FW A の内部 インターフェース(10.0.10.1)
    • FW B の外部インターフェイス(10.0.10.2)
    • VC 高速道路の LAN1 インターフェイス(10.0.10.3)
  • LAN サブネット(10.0.30.0/24)含んでいる:

    • FW B の内部 インターフェース(10.0.30.1)
    • VC コントロールの LAN1 インターフェイス(10.0.30.2)
    • Cisco TelePresence Management Server (TMS)のネットワーク インターフェイス(10.0.30.3)

静的な 1 対 1 NAT は VC 高速道路の LAN1 IP アドレスへのパブリックアドレス 64.100.0.10 のための NAT を行う FW A で設定されました。 スタティック NAT モードは 64.100.0.10 のスタティック NAT IP アドレスの VC 高速道路の LAN1 インターフェイスのために、有効に なりました。

: VC 高速道路の完全修飾ドメイン名 (FQDN)を入力して下さい。 それは VC コントロール セキュア走査ゾーンのピアアドレスとしてネットワークのの外から見られます。 この理由はスタティック NAT モードにそれです、受信シグナリングおよびメディア トラフィックが私用名前よりもむしろ外部 FQDN に送信 されるように VC 高速道路は要求します。 これはまた外部 FW が VC コントロールから VC 高速道路外部 FQDN にトラフィックを可能にする必要があることを意味します。 これは NAT リフレクションとして知られ、FW のすべての型によってサポートされないかもしれません。

この例では、FW A 絶対必要割り当て VC コントロールから来るトラフィックの NAT リフレクション VC 高速道路の外部 IPアドレスに向かう(64.100.0.10)。 VC コントロールの走査ゾーンはピアアドレスとして 64.100.0.10 がなければなりません。

VC 高速道路は 10.0.10.1 のデフォルト ゲートウェイで設定する必要があります。 スタティック・ルートがこのシナリオに必要となるかどうか決まります FW A および FW B.の機能および設定によって。 VC コントロールからの VC 高速道路へのコミュニケーションは VC 高速道路の IP アドレス 64.100.0.10 によって行われます; そして VC 高速道路からの VC コントロールへのリターントラフィックはデフォルト ゲートウェイで渡らなければならないかもしれません。

応答トラフィックが 10.0.30.0/24 サブネットに VC 高速道路からおよび直接 FW B を通るようにスタティック ルートが VC 高速道路に追加されれば、非対称 ルーティングが実行されることを意味します。 これは FW 機能に、依存はたらかないかもしれません。

VC 高速道路は IP アドレス 10.0.10.3 が付いている Cisco TMS に VC 高速道路の Cisco TMS 管理 コミュニケーションがスタティック NAT モード設定から影響を受けないので、FW A がこれを可能にする場合(または IP アドレス 64.100.0.10 と、)追加することができます。

単一 VC 高速道路 LAN インターフェイスとの 3 ポート FW DMZ

このシナリオの例はここにあります:

この配備では、3 ポート FW は作成するために使用されます:

  • DMZ サブネット(10.0.10.0/24)含んでいる:

    • FW A の DMZ インターフェイス(10.0.10.1)
    • VC 高速道路の LAN1 インターフェイス(10.0.10.2)
  • LAN サブネット(10.0.30.0/24)含んでいる:

    • FW A の LAN インターフェイス(10.0.30.1)
    • VC コントロールの LAN1 インターフェイス(10.0.30.2)
    • Cisco TMS のネットワーク インターフェイス(10.0.30.3)

静的な 1 対 1 NAT は VC 高速道路の LAN1 IP アドレスにパブリックIPアドレス 64.100.0.10 の NAT を行う FW A で設定されました。 スタティック NAT モードは 64.100.0.10 のスタティック NAT IP アドレスの VC 高速道路の LAN1 インターフェイスのために、有効に なりました。

VC 高速道路は 10.0.10.1 のデフォルト ゲートウェイで設定する必要があります。 このゲートウェイが VC 高速道路を去るトラフィックすべてに使用する必要があるので、配備のこの型にスタティック・ルートが必要となりません。

VC コントロールの走査クライアント ゾーンは上記のシナリオに説明があるそれらと同じ原因で VC 高速道路(この例の 64.100.0.10)のスタティック NAT アドレスと一致するピアアドレスで設定する必要があります。

: これはことを 64.100.0.10 の宛先 IP アドレスの VC コントロールからの FW A 絶対必要割り当てトラフィック意味します。 これは別名 NAT リフレクションであり、これが FW のすべての型によってサポートされないことに注意する必要があります。

VC 高速道路は 10.0.10.2 の IP アドレスの Cisco TMS に VC 高速道路の Cisco TMS 管理 コミュニケーションがスタティック NAT モード設定から影響を受けないので、FW A がこれを可能にする場合(または IP アドレス 64.100.0.10 と、)追加することができます。

設定

このセクションは 2 つの異なる TelePresence インプリメンテーション シナリオのための NAT リフレクションを設定する方法を記述します。

単一 VC 高速道路 LAN インターフェイスとの単一 の サブネット DMZ

最初のシナリオに関しては、VC 高速道路の外部アドレスに向かう VC コントロールからの着信 トラフィックの NAT リフレクションを許可するために FW A のこの NAT リフレクション設定を適用して下さい(64.100.0.10):

この例では、VC コントロール IP アドレスは 10.0.30.2/24 であり、VC 高速道路 IP アドレスは 10.0.10.3/24 です。

内部から FW B の outside インターフェイスに移るとき 10.0.30.2 の VC コントロール IP アドレスは IP アドレス 10.0.10.2 に変換されることを仮定すれば、FW B で設定する必要がある NAT 反射設定は次 の 例で示されています。

ASA バージョン 8.3 および それ 以降に関しては:

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.3
host 10.0.10.3

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,outside) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.3

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

ASA バージョン 8.2 および それ 以前に関しては:

access-list IN-OUT-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,outside) interface access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.0.10.3 host 10.0.10.2
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE

: それはオプションこのトラフィックフローのためのパケットのソース IP アドレスを変換するためにです。 この NAT リフレクション変換の主要な目標は VC 高速道路に達するように VC コントロールがすることでがプライベート IP アドレスの代りに VC 高速道路パブリックIPアドレスを使用します。

単一 VC 高速道路 LAN インターフェイスとの 3 ポート FW DMZ

第 2 シナリオに関しては、VC 高速道路の外部 IPアドレスに向かう VC コントロールからの着信 トラフィックの NAT リフレクションを許可するために FW A のこの NAT リフレクション設定を適用して下さい(64.100.0.10):

この例では、VC コントロール IP アドレスは 10.0.30.2/24 であり、VC 高速道路 IP アドレスは 10.0.10.2/24 です。

内部から FW A の DMZ インターフェイスに移るとき 10.0.30.2 の VC コントロール IP アドレスは IP アドレス 10.0.10.1 に変換されることを仮定すれば、FW A で設定する必要がある NAT 反射設定は次 の 例で示されています。

ASA バージョン 8.3 および それ 以降に関しては: 

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.2
host 10.0.10.2

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,DMZ) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.2

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the DMZ interface is being redirected.
WARNING: Users may not be able to access any service enabled on the DMZ interface.

ASA バージョン 8.2 および それ 以前に関しては:

access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.10.1
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE

: それはオプションこのトラフィックフローのためのパケットのソース IP アドレスを変換するためにです。 この NAT リフレクション変換の主要な目標は VC 高速道路に達するように VC コントロールがすることでがプライベート IP アドレスの代りに VC 高速道路パブリックIPアドレスを使用します。

確認

このセクションは TelePresence シナリオの両方の正しい NAT リフレクション設定を確認するために使用できるパケット トレーサー出力を提供します。

単一 VC 高速道路 LAN インターフェイスとの単一 の サブネット DMZ

ASA バージョン 8.3 および それ 以降のために出力される FW B パケット トレーサーはここにあります:

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/80 to 10.0.10.3/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.2/1234

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:

Phase: 9
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 421, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

ASA バージョン 8.2 および それ 以前のために出力される FW B パケット トレーサーはここにあります: 

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/0 to 10.0.10.3/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 316, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

単一 VC 高速道路 LAN インターフェイスとの 3 ポート FW DMZ

ASA バージョン 8.3 および それ 以降のために出力される FW A パケット トレーサーはここにあります: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/80 to 10.0.10.2/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.1/1234

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:

Phase: 8
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 424, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

ASA バージョン 8.2 および それ 以前のために出力される FW A パケット トレーサーはここにあります: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.1/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 750, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

トラブルシューティング

パケットが複雑である FW インターフェイスに入り、去るとき送信元および宛先 パケット 変換を確認するために ASA インターフェイスのパケットキャプチャを設定できます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118992