Seguridad : Firewalls Cisco Compatible IntraGuard

Notas técnicas de los sistemas compatibles: Mapeo de NAT y resolución de DNS

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (6 Noviembre 2015) | Comentarios


Contenido


Introducción

La implementación NAT de Compatible no permite que NAT realice el mapping fuera de la misma interfaz. Lo que esto significa es que si un puesto de trabajo en un rango interno quiere alcanzar otro dispositivo en el mismo rango interno, DEBE utilizar la dirección interna del otro dispositivo. No puede utilizar la dirección externa asignada por NAT del otro dispositivo.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Productos afectados

1200i, 1220i, 1250i, 1270i, 2600i, 2200R, 2220R, 2250R, 2270R, 3500R, 4000S, VSR-2, VSR-8, IntraPort 1, IntraPort 2, IntraPort 2+, IntraPort Enterprise-2, IntraPort Enterprise-8, IntraPort Carrier-2 e IntraPort Carrier-8

Versiones Afectadas

Todas las versiones

Más información

Por ejemplo, el puesto de trabajo 1 10.10.10.10 y el puesto de trabajo 2 10.10.10.20 están en el mismo hub. El puesto de trabajo 2 también tiene un mapping NAT 10.10.10.20 - > 204.144.171.20 a través de un dispositivo Compatible. Desde Internet, todos acceden a 204.144.171.20 y obtienen 10.10.10.20. El puesto de trabajo 1 no puede acceder a 204.144.171.20 en absoluto. La razón es que la implementación NAT de Compatible realiza el mapping NAT y descubre que la IP de origen está en la misma red que la IP de destino, así que no necesita rutearla y suprime el paquete. Su análisis razonado es "¿Por qué 10.10.10.10 no solicita directamente 10.10.10.20, puesto que están en la misma red?”

Por lo tanto, ningún dispositivo interno puede utilizar un mapping NAT para alcanzar otro dispositivo interno. Tienen que utilizar a la dirección interna del otro puesto de trabajo para alcanzarlo.

El problema común es que www.mymail.com resuelve a 204.144.171.20 y los dispositivos internos que intentan utilizar esa resolución DNS en su configuración de correo no pueden alcanzarla. Tienen que poner manualmente la dirección 10.10.10.20 como su servidor de correo para que funcione.

Eso funciona bien para estaciones de trabajo estáticas que están siempre en la red interna pero, ¿qué ocurre con los laptop que se conectan tanto en el trabajo como a través de Internet? ¿Tienen que cambiar constantemente la configuración de su programa de correo? Esto se puede solucionar con la introducción de un servidor DNS interno en la red interna. Entonces, todos los dispositivos del rango de la red interna utilizan ese nuevo servidor DNS interno como su servidor DNS principal. El uso de DHCP para asignar esa dirección DNS primaria es también útil. Cuando se le pregunta por www.mymail.com, responde con 10.10.10.20. Por lo tanto, en la red interna, el laptop consulta el servidor DNS interno y obtiene 10.10.10.20. En la red externa (Internet) consulta al servidor DNS del ISP y obtiene 204.144.171.20 como el resto del mundo.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 17676