WebEx : Cisco Expressway

Reflexión de la configuración NAT en el ASA para los dispositivos del TelePresence

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (14 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo implementar una configuración de la reflexión del Network Address Translation (NAT) en los dispositivos de seguridad adaptantes de Cisco (ASA) para los escenarios especiales del Cisco TelePresence que requieren esta clase de configuración del NAT en el Firewall (FW).

Contribuido por el cristiano Hernández, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Configuración del NAT básica de Cisco ASA

  • Control del servidor de la comunicación mediante video del Cisco TelePresence (VCS) y configuración básica de la autopista VCS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivos de las 5500 y 5500-X Series de Cisco ASA que funcionan con la versión de software 8.3 y posterior

  • Versión 8.5 de Cisco VCS X

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Según la documentación del Cisco TelePresence, hay dos clases de escenarios del TelePresence donde la configuración de la reflexión NAT se requiere en los FW para permitir que el control VCS comunique con la autopista VCS vía el IP Address público de la autopista VCS.

El primer escenario implica un De-Militarized Zone de la subred única (DMZ) ese las aplicaciones una sola interfaz LAN de la autopista VCS, y el segundo escenario implica un 3-port FW DMZ que utilice una sola interfaz LAN de la autopista VCS.

Consejo: Para obtener más detalles sobre la implementación del TelePresence, refiera a la Guía de despliegue de la configuración básica del servidor de la comunicación mediante video del Cisco TelePresence (control con la autopista).

Subred única DMZ con la sola interfaz LAN de la autopista VCS

En este escenario, el FW A puede rutear el tráfico a FW B (y vice versa). La autopista VCS permite que el tráfico de video sea pasado con FW B sin una reducción en el flujo de tráfico en FW B del exterior a las interfaces interiores. La autopista VCS también maneja el traversal FW en su lado público.

Aquí tiene un ejemplo:

Este despliegue utiliza estos componentes:

  • Una subred única DMZ (10.0.10.0/24) que contienen:

    • La interfaz interna de FW A (10.0.10.1)
    • La interfaz externa de FW B (10.0.10.2)
    • La interfaz LAN1 de la autopista VCS (10.0.10.3)
  • Una subred LAN (10.0.30.0/24) que contienen:

    • La interfaz interna de FW B (10.0.30.1)
    • La interfaz LAN1 del control VCS (10.0.30.2)
    • La interfaz de la red del servidor de administración del Cisco TelePresence (TMS) (10.0.30.3)

Un NAT uno por estático se ha configurado en el FW A, que realiza el NAT para la dirección pública 64.100.0.10 a la dirección IP LAN1 de la autopista VCS. El modo del NAT estático se ha habilitado para la interfaz LAN1 en la autopista VCS, con una dirección IP del NAT estático de 64.100.0.10.

Nota: Usted debe ingresar el Nombre de dominio totalmente calificado (FQDN) (FQDN) de la autopista VCS. Se ve fuera de la red como la dirección de peer en la zona segura del traversal del control VCS. La razón de esto es ésa en el modo del NAT estático, la autopista VCS pide que la señalización entrante y los media trafiquen estén enviados a su externo FQDN bastante que su nombre privado. Esto también significa que el externo FW debe permitir el tráfico del control VCS al externo FQDN de la autopista VCS. Esto se conoce como reflexión NAT, y no se pudo soportar por todos los tipos de FW.

En este ejemplo, el FW A debe permitir la reflexión NAT del tráfico que viene del control VCS que es destinado para el IP Address externo (64.100.0.10) de la autopista VCS. La zona del traversal en el control VCS debe tener 64.100.0.10 como la dirección de peer.

La autopista VCS se debe configurar con un default gateway de 10.0.10.1. Si las Static rutas están requeridas en este escenario depende de las capacidades y de las configuraciones de FW A y de FW B. La comunicación del control VCS a la autopista VCS ocurre vía la dirección IP 64.100.0.10 de la autopista VCS; y el tráfico de retorno de la autopista VCS al control VCS pudo tener que pasar vía el default gateway.

Si una Static ruta se agrega a la autopista VCS de modo que el tráfico de la contestación pase de la autopista VCS y directamente con FW B a la subred 10.0.30.0/24, significa que ocurre el Asymmetric Routing. Esto no pudo trabajar, dependiente sobre las capacidades FW.

La autopista VCS se puede agregar a Cisco TMS con la dirección IP 10.0.10.3 (o con la dirección IP 64.100.0.10, si el FW A permite esto), puesto que la comunicación de Administración de Cisco TMS no es afectada por las configuraciones de modo del NAT estático en la autopista VCS.

3-Port FW DMZ con la sola interfaz LAN de la autopista VCS

Aquí está un ejemplo de este escenario:

En este despliegue, un 3-port FW se utiliza para crear:

  • Una subred DMZ (10.0.10.0/24) que contienen:

    • La interfaz DMZ de FW A (10.0.10.1)
    • La interfaz LAN1 de la autopista VCS (10.0.10.2)
  • Una subred LAN (10.0.30.0/24) que contienen:

    • La interfaz LAN de FW A (10.0.30.1)
    • La interfaz LAN1 del control VCS (10.0.30.2)
    • La interfaz de la red de Cisco TMS (10.0.30.3)

Un NAT uno por estático se ha configurado en el FW A, que realiza el NAT del IP Address público 64.100.0.10 a la dirección IP LAN1 de la autopista VCS. El modo del NAT estático se ha habilitado para la interfaz LAN1 en la autopista VCS, con una dirección IP del NAT estático de 64.100.0.10.

La autopista VCS se debe configurar con un default gateway de 10.0.10.1. Puesto que este gateway se debe utilizar para todo el tráfico que salga de la autopista VCS, no se requiere ningunas Static rutas en este tipo de despliegue.

La zona del cliente del traversal en el control VCS se debe configurar con una dirección de peer que haga juego el direccionamiento del NAT estático de la autopista VCS (64.100.0.10 en este ejemplo) por las mismas razones que ésos descritos en el escenario previó.

Nota: Esto significa que el FW A debe permitir el tráfico del control VCS con un IP Address de destino de 64.100.0.10. Esto también se conoce como reflexión NAT, y debe ser observado que esto no es soportada por todos los tipos de FW.

La autopista VCS se puede agregar a Cisco TMS con la dirección IP de 10.0.10.2 (o con la dirección IP 64.100.0.10, si el FW A permite esto), puesto que la comunicación de Administración de Cisco TMS no es afectada por las configuraciones de modo del NAT estático en la autopista VCS.

Configurar

Esta sección describe cómo configurar la reflexión NAT para las dos diversas situaciones de implementación del TelePresence.

Subred única DMZ con la sola interfaz LAN de la autopista VCS

Para el primer escenario, usted debe aplicar esta configuración de la reflexión NAT en FW A para permitir la reflexión NAT del tráfico entrante del control VCS que es destinado para la dirección externa (64.100.0.10) de la autopista VCS:

En este ejemplo, la dirección IP del control VCS es 10.0.30.2/24, y la dirección IP de la autopista VCS es 10.0.10.3/24.

Si usted supone que el IP Address del control VCS de 10.0.30.2 está traducido a la dirección IP 10.0.10.2 cuando se mueve desde el interior a la interfaz exterior de FW B, después la configuración de la reflexión NAT que usted debe implementar en FW B se muestra en los próximos ejemplos.

Para las Versiones de ASA 8.3 y posterior:

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.3
host 10.0.10.3

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,outside) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.3

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Para las Versiones de ASA 8.2 y anterior:

access-list IN-OUT-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,outside) interface access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.0.10.3 host 10.0.10.2
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE

Nota: Es opcional traducir la dirección IP de origen de los paquetes para este flujo de tráfico. El objetivo principal de esta traducción de la reflexión NAT es permitir que el control VCS alcance la autopista VCS, pero utiliza al IP Address público de la autopista VCS en vez de su IP Address privado.

3-Port FW DMZ con la sola interfaz LAN de la autopista VCS

Para el segundo escenario, usted debe aplicar esta configuración de la reflexión NAT en FW A para permitir la reflexión NAT del tráfico entrante del control VCS que es destinado para el IP Address externo (64.100.0.10) de la autopista VCS:

En este ejemplo, la dirección IP del control VCS es 10.0.30.2/24, y la dirección IP de la autopista VCS es 10.0.10.2/24.

Si usted supone que el IP Address del control VCS de 10.0.30.2 está traducido a la dirección IP 10.0.10.1 cuando se mueve desde el interior a la interfaz DMZ de FW A, después la configuración de la reflexión NAT que usted debe implementar en FW A se muestra en los próximos ejemplos.

Para las Versiones de ASA 8.3 y posterior: 

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.2
host 10.0.10.2

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,DMZ) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.2

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the DMZ interface is being redirected.
WARNING: Users may not be able to access any service enabled on the DMZ interface.

Para las Versiones de ASA 8.2 y anterior:

access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.10.1
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE

Nota: Es opcional traducir la dirección IP de origen de los paquetes para este flujo de tráfico. El objetivo principal de esta traducción de la reflexión NAT es permitir que el control VCS alcance la autopista VCS, pero utiliza al IP Address público de la autopista VCS en vez de su IP Address privado.

Verificación

Esta sección proporciona las salidas del trazalíneas del paquete que usted puede utilizar para confirmar la configuración correcta de la reflexión NAT en ambos escenarios del TelePresence.

Subred única DMZ con la sola interfaz LAN de la autopista VCS

Aquí está el trazalíneas del paquete FW B hecho salir para las Versiones de ASA 8.3 y posterior:

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/80 to 10.0.10.3/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.2/1234

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:

Phase: 9
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 421, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Aquí está el trazalíneas del paquete FW B hecho salir para las Versiones de ASA 8.2 y anterior: 

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/0 to 10.0.10.3/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 316, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

3-Port FW DMZ con la sola interfaz LAN de la autopista VCS

Aquí está el trazalíneas del paquete FW A hecho salir para las Versiones de ASA 8.3 y posterior: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/80 to 10.0.10.2/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.1/1234

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:

Phase: 8
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 424, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Aquí está el trazalíneas del paquete FW A hecho salir para las Versiones de ASA 8.2 y anterior: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.1/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 750, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Troubleshooting

Usted puede configurar a las capturas de paquetes en las interfaces ASA para confirmar la fuente y la traducción de paquetes del destino cuando los paquetes ingresan y salen de las interfaces FW que están implicadas.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118992