Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: Traducción de varias direcciones IP globales a una única dirección IP local por medio de NAT estática basada en políticas

20 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (30 Enero 2007) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Configuración
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se proporciona una configuración de ejemplo con la que se asigna una dirección IP local a dos o más direcciones IP globales, a través de la traducción de direcciones de red (NAT) estática basada en políticas en el software PIX/ASA 7.x.

Requisitos previos

Requisitos

Antes de implementar esta configuración, asegúrese de que cumple con el requisito siguiente:

  • Ha trabajado con comandos CLI de PIX/ASA 7.x y ha configurado antes NAT estática y listas de acceso.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • En este ejemplo concreto se utiliza ASA 5520. Sin embargo, las configuraciones de NAT basada en políticas funcionan en todos los dispositivos PIX o ASA que ejecutan la versión 7.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

Este ejemplo de configuración tiene un servidor Web interno en 192.168.100.50, ubicado tras el ASA. El requisito es que la interfaz de red externa pueda acceder al servidor a través de la dirección IP interna de 192.168.100.50 y su dirección externa de 172.16.171.125. Además, el requisito de la política de seguridad exige que sólo se pueda acceder a la dirección IP privada de 192.168.100.50 a través de la red 172.16.171.0/24. Asimismo, el tráfico al puerto 80 y el Protocolo de mensajes de control de Internet (ICMP) son los únicos protocolos cuya entrada se permite en el servidor Web interno. Dado que hay dos direcciones IP globales asignadas a una dirección IP local, es necesario utilizar NAT basada en políticas. De lo contrario, PIX/ASA rechazará los dos comandos estáticos de uno a uno con un error de superposición de direcciones.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

Este documento utiliza esta configuración de red:

pixasa-multi-ip-single-ip-1.gif

Configuración

En este documento se utiliza la siguiente configuración.

ciscoasa(config)#show run
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.171.124 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive



                     !--- policy_nat_web1 y policy_nat_web2 son dos listas de acceso que asocian
!--- la dirección de origen de la que queremos traducir. Se necesitan dos listas de acceso,
!--- aunque pueden ser idénticas.
                  


                  access-list policy_nat_web1 extended permit ip host 192.168.100.50 any
access-list policy_nat_web2 extended permit ip host 192.168.100.50 any


                  
                     !--- La lista de acceso inbound_outside define la política de seguridad, como se ha descrito anteriormente.
!--- Esta lista de acceso se aplica de forma entrante a la interfaz externa.
                  


                  access-list inbound_outside extended permit tcp 172.16.171.0 255.255.255.0
   host 192.168.100.50 eq www
access-list inbound_outside extended permit icmp 172.16.171.0 255.255.255.0
   host 192.168.100.50 echo-reply
access-list inbound_outside extended permit icmp 172.16.171.0 255.255.255.0
   host 192.168.100.50 echo
access-list inbound_outside extended permit tcp any host 172.16.171.125 eq www
access-list inbound_outside extended permit icmp any host 172.16.171.125 echo-reply
access-list inbound_outside extended permit icmp any host 172.16.171.125 echo
pager lines 24
logging asdm informational
mtu management 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400


                     !--- Este primer comando estático permite que los usuarios se comuniquen con
!--- la dirección IP global traducida del servidor Web. Puesto que este comando estático aparece primero
!--- en la configuración, con las conexiones iniciadas de forma saliente desde el servidor
!--- Web interno, ASA traduce la dirección de origen en 172.16.171.125.
                  


                  static (inside,outside) 172.16.171.125  access-list policy_nat_web1


                  
                     !--- El segundo comando estático permite que las redes accedan al servidor Web
!--- a través de su dirección IP privada de 192.168.100.50.
                  



                  static (inside,outside) 192.168.100.50  access-list policy_nat_web2


                  
                     !--- Aplique la lista de acceso inbound_outside a la interfaz externa.
                  


                  access-group inbound_outside in interface outside

route outside 0.0.0.0 0.0.0.0 172.16.171.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context

Verificación

En esta sección encontrará información que puede utilizar para comprobar que la configuración funciona correctamente.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

  1. En el router ascendente IOS® 172.16.171.1, compruebe que puede conectar con las dos direcciones IP globales del servidor Web a través del comando ping.

    router#ping 172.16.171.125
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.171.125, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
    router#ping 192.168.100.50
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.100.50, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
  2. En el ASA, compruebe que puede ver las traducciones contenidas en la tabla de traducciones (xlate).

    ciscoasa(config)#show xlate global 192.168.100.50
    2 in use, 28 most used
    Global 192.168.100.50 Local 192.168.100.50
    ciscoasa(config)#show xlate global 172.16.171.125
    2 in use, 28 most used
    Global 172.16.171.125 Local 192.168.100.50
                   

Resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración.

Si el ping o la conexión no son correctos, intente utilizar syslogs para determinar si hay algún problema con la configuración de la traducción. En una red de uso moderado (como en un entorno de prueba), el tamaño del búfer de registro suele ser suficiente para solucionarlo. De lo contrario, deberá enviar los syslogs a un servidor de syslogs externo. Permita el registro en el búfer en el nivel 6 a fin de comprobar si la configuración es correcta en dichas entradas de syslog.

ciscoasa(config)#logging buffered 6
ciscoasa(config)#logging on


            
               !--- Desde 172.16.171.120, inicie una conexión TCP al puerto 80 para las
!--- direcciones externa (172.16.171.125) e interna (192.168.100.50).
            

ciscoasa(config)#show log
Syslog logging: enabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Deny Conn when Queue Full: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level debugging, 4223 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled
    Mail logging: disabled
    ASDM logging: level informational, 4032 messages logged
%ASA-5-111008: User 'enable_15' executed the 'clear logging buffer' command.
%ASA-7-609001: Built local-host outside:172.16.171.120
%ASA-7-609001: Built local-host inside:192.168.100.50
%ASA-6-302013: Built inbound TCP connection 67 for outside:172.16.171.120/33687
(172.16.171.120/33687) to inside:192.168.100.50/80 (172.16.171.125/80)
%ASA-6-302013: Built inbound TCP connection 72 for outside:172.16.171.120/33689
(172.16.171.120/33689) to inside:192.168.100.50/80 (192.168.100.50/80)
         

Si observa errores de traducción en el registro, vuelva a comprobar las configuraciones de NAT. Si no detecta ningún syslog, utilice la función capture en el ASA para intentar capturar el tráfico en la interfaz. Para configurar una captura, primero debe especificar una lista de acceso que se asociará en un tipo concreto de tráfico o flujo TCP. A continuación, debe aplicar esta captura en una o varias interfaces, a fin de empezar a capturar paquetes.

            
               !--- Cree una lista de acceso de captura que asociar en el tráfico
!--- al puerto 80 hasta la dirección IP externa de 172.16.171.125.

!--- Nota: estos comandos aparecen en dos líneas por motivos de espacio. 
            

ciscoasa(config)#access-list acl_capout permit tcp host 172.16.171.120
     host 172.16.171.125 eq 80
ciscoasa(config)#access-list acl_capout permit tcp host 172.16.171.125
    eq 80 host 172.16.171.120
ciscoasa(config)#


               !--- Aplique el comando capture a la interfaz externa.
            

ciscoasa(config)#capture capout access-list acl_capout interface outside


            
               !--- Tras iniciar el tráfico, el resultado será similar a éste cuando vea la captura.
!--- Tenga en cuenta que el paquete 1 es el paquete SYN del cliente, mientras que el paquete 2
!--- es el de respuesta SYN-ACK desde el servidor interno. Si aplica un comando capture
!--- en la interfaz interna, en el paquete 2 debe aparecer la respuesta del servidor
!--- con la dirección origen de 192.168.100.50.

            
ciscoasa(config)#show capture capout
4 packets captured
   1: 13:17:59.157859 172.16.171.120.21505 > 172.16.171.125.80: S
      2696120951:2696120951(0) win 4128 <mss 1460>
   2: 13:17:59.159446 172.16.171.125.80 &gt; 172.16.171.120.21505: S
      1512093091:1512093091(0) ack 2696120952 win 4128 <mss 536>
   3: 13:17:59.159629 172.16.171.120.21505 > 172.16.171.125.80: .
      ack 1512093092 win 4128
   4: 13:17:59.159873 172.16.171.120.21505 > 172.16.171.125.80: .
      ack 1512093092 win 4128

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 77800