Voz y Comunicaciones unificadas : Dispositivos de seguridad Cisco PIX de la serie 500

Uso de las sentencias NAT y PAT en Cisco Secure PIX Firewall

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (24 Octubre 2008) | Comentarios

Interactivo: este documento ofrece un análisis personalizado de su dispositivo Cisco.


Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Sentencias múltiples de NAT con NAT 0
     Diagrama de la red
Conjuntos globales múltiples
     Diagrama de la red
Mezcla de sentencias NAT y PAT globales
     Diagrama de la red
Sentencias múltiples de NAT con NAT 0 Access-List
     Diagrama de la red
Uso de la política NAT
     Diagrama de la red

Introducción

Este documento proporciona ejemplos de configuraciones básicas de la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT) en Cisco Secure PIX Firewall. También incluye diagramas de red simplificados. Consulte la documentación de PIX relativa a la versión de su software PIX para obtener más información.

Consulte PIX/ASA 7.x NAT and PAT Statements (Sentencias NAT y PAT de PIX/ASA 7.x) si desea más información sobre las configuraciones de NAT y PAT en dispositivos de seguridad PIX serie 500.

Consulte Uso de los comandos nat, global, static, conduit y access-list y redirección (reenvío) de puertos en PIX para obtener más información sobre los comandos nat, global, static, conduit y access-list, así como sobre la redirección (reenvío) de puertos en PIX 5.x y versiones posteriores.

Requisitos previos

Requisitos

Cisco recomienda tener conocimientos sobre Cisco Secure PIX Firewall.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Versión 5.3.1 y posteriores del software Cisco Secure PIX Firewall.

Nota: la política de NAT se han introducido a partir de la versión 6.2.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Sentencias múltiples de NAT con NAT 0

Diagrama de la red

19-1.gif

En este ejemplo, el ISP proporciona un rango de direcciones al administrador de redes, (por ejemplo, de 172.16.1.1 a 172.16.1.63). (ISP ejecuta las direcciones IP públicas. Pero en el caso que nos ocupa, este documento utiliza direcciones IP privadas.) El administrador de red decide asignar 172.16.1.1 a la interfaz interna del router de Internet y 172.16.1.2 a la interfaz externa del PIX.

El administrador de red ya cuenta con una dirección de clase C asignada a la red, 192.168.10.0/24, y dispone de algunas estaciones de trabajo que utilizan estas direcciones para acceder a Internet. Estas estaciones de trabajo no requieren una traducción de dirección, puesto que ya cuentan con direcciones válidas. Sin embargo, a las estaciones nuevas se les asignan direcciones en la red 10.0.0.0/8 y es necesario traducirlas (ya que 10.x.x.x es uno de los espacios de dirección no enrutables por RFC 1918 leavingcisco.com).

Para adaptar este diseño de red, el administrador de red debe utilizar dos sentencias NAT y una agrupación global en la configuración PIX:

global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
nat (inside) 0 192.168.10.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0 

Esta configuración no traduce la dirección de origen del tráfico saliente de la red 192.168.10.0/24. Traduce una dirección de origen en la red 10.0.0.0/8 a una dirección dentro del rango de 172.16.1.3 a 172.16.1.62.

Nota: cuando dispone de una interfaz con una política NAT y si no hay ninguna agrupación global para otra interfaz, debe configurar la excepción NAT mediante nat 0.

Conjuntos globales múltiples

Diagrama de la red

19-2.gif

En este ejemplo, el administrador de red cuenta con dos rangos de direcciones IP que están registradas en Internet y debe convertir todas las direcciones internas, que están en el rango 10.0.0.0/8, en direcciones registradas. Los rangos de las direcciones IP que debe utilizar el administrador son de 172.16.1.1 a 172.16.1.62 y de 172.20.1.1 a 172.20.1.254. El administrador de red puede hacerlo con:

global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
global (outside) 1 172.20.1.1-172.20.1.254  netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Tenga en cuenta que en la sentencia NAT se utiliza un esquema de direccionamiento inverso. Esta sentencia le indica a PIX que debe traducir todas las direcciones de origen internas cuando salga de Internet. La dirección de este comando puede ser más específica si así lo desea.

Mezcla de sentencias NAT y PAT globales

Diagrama de la red

19-3.gif

En este ejemplo, el ISP proporciona un rango de direcciones al administrador de red, de 172.16.1.1 a 172.16.1.63 para la compañía que va a utilizar. El administrador de red ha decidido utilizar 172.16.1.1 para la interfaz interna del router de Internet y 172.16.1.2 para la interfaz externa en el PIX. Por tanto, le quedan entre 172.16.1.3 y 172.16.1.62 para usar en la agrupación NAT. Sin embargo, el administrador de red sabe que, en cualquier momento, puede haber más de 60 personas que intenten salir de PIX. Por ello, ha decidido tomar 172.16.1.62 y convertirlo en dirección PAT para que varios usuarios puedan compartir una dirección al mismo tiempo.

global (outside) 1 172.16.1.3-172.16.1.61  netmask 255.255.255.192
global (outside) 1 172.16.1.62  netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Estos comandos le indican a PIX que traduzca la dirección de origen de 172.16.1.3 a 172.16.1.61 para los primeros 59 usuarios internos que traspasen el PIX. Una vez que se agoten estas direcciones, PIX traduce todas las direcciones de origen siguientes en 172.16.1.62 hasta que se libere una de las direcciones de la agrupación NAT.

Nota: en la sentencia NAT se utiliza un esquema de direccionamiento inverso. Esta sentencia le indica a PIX que debe traducir todas las direcciones de origen internas cuando salga de Internet. La dirección de este comando puede ser más específica si así lo desea.

Sentencias múltiples de NAT con NAT 0 Access-List

Diagrama de la red

19-4.gif

En este ejemplo, el ISP vuelve a proporcionar un rango de direcciones al administrador de red, de 172.16.1.1 a 172.16.1.63. El administrador de red decide asignar 172.16.1.1 a la interfaz interna del router de Internet y 172.16.1.2 a la interfaz externa del PIX.

Sin embargo, en este escenario, se coloca otro segmento LAN privado fuera del router de Internet. El administrador de red prefiere no desperdiciar direcciones de la agrupación global cuando los hosts de estas dos redes se comuniquen entre sí. No obstante, sigue necesitando traducir la dirección de origen para todos los usuarios internos (10.0.0.0/8) cuando salga de Internet.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Esta configuración no traduce aquellas direcciones con una dirección de origen de 10.0.0.0/8 y una dirección de destino de 192.168.1.0/24. Traduce la dirección de origen del tráfico iniciado en el interior de la red 10.0.0.0/8 y que tiene como destino cualquier ubicación que no sea 192.168.1.0/24, a una dirección dentro del rango de 172.16.1.3 a 172.16.1.62.

Si tiene el resultado de un comando write terminal del dispositivo Cisco, podrá utilizar la herramienta intérprete de resultados ( sólo para clientes registrados) .

Uso de la política NAT

Diagrama de la red

19-2.gif

Cuando se utiliza una lista de acceso con el comando nat para cualquier ID de NAT que no sea 0, se habilita la política NAT.

La política NAT le permite identificar el tráfico local para la traducción de direcciones por medio de la especificación de las direcciones (o los puertos) de origen y de destino en una lista de acceso. La NAT común utiliza direcciones/puertos de origen únicamente. La política NAT utiliza tanto direcciones/puertos de origen como de destino.

Nota: todos los tipos de NAT admiten la política NAT, salvo para la exención de NAT (nat 0 access-list). La exención de NAT utiliza listas de control de acceso para identificar las direcciones locales, pero se diferencia de la política NAT en que los puertos no se tienen en cuenta.

Con la política NAT, es posible crear sentencias NAT o sentencias estáticas múltiples que identifiquen la misma dirección local siempre que la combinación del puerto de origen y del puerto de destino sea única para cada sentencia. A continuación, se pueden asociar distintas direcciones globales a cada par de puerto de origen y puerto de destino.

En este ejemplo, el administrador de red tiene que proporcionar acceso para la dirección IP de destino 172.30.1.11 para el puerto 80 (Web) y el puerto 23 (Telnet), pero debe utilizar dos direcciones IP diferentes como dirección de origen. 172.16.1.3 se utiliza como dirección de origen para la Web y 172.16.1.4 para Telnet, y debe convertir todas las direcciones internas, que se encuentran dentro del rango 10.0.0.0/8. El administrador de red puede hacerlo con:

access-list WEB permit tcp 10.0.0.0 255.0.0.0
172.30.1.11  255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 172.30.1.11
255.255.255.255 eq 23

nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 172.16.1.3  255.255.255.192
global (outside) 2 172.16.1.4  255.255.255.192

Puede utilizar la herramienta intérprete de resultados ( sólo para clientes registrados) para ver los posibles problemas y soluciones.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 15243