Безопасность : Устройства защиты Cisco PIX серии 500

NAT и использование оператора PAT на примере конфигурации межсетевого экрана ASA Cisco Secure

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (4 апреля 2008) | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет конфигурации Технологии NAT и Преобразования адресов портов (PAT) базовых примеров на Межсетевом экране Устройства адаптивной защиты (ASA) Cisco Secure. Кроме того, в этом документе приведены упрощенные схемы сети. Консультируйтесь с документацией ASA для версии программного обеспечения ASA для более подробной информации.

Данный документ содержит анализ конкретного устройства Cisco.

Обратитесь к конфигурации NAT на ASA на ASA 5500/5500x Устройства безопасности Серии для получения дополнительной информации.

Внесенный Динкэром Шармой и Магнусом Мортенсеном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с Межсетевым экраном ASA Cisco Secure.

Используемые компоненты

Сведения в этом документе основываются на Версии 8.4.2 Программного обеспечения межсетевого экрана ASA Cisco Secure и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка- Несколько операторов NAT с ручным и автоматическим NAT

Схема сети

В данном примере интернет-провайдер предоставляет менеджера сети блоком IP-адреса 209.165.201.0/27, который колеблется от 209.165.201.1 до 209.165.201.30. Менеджер сети решает назначить 209.165.201.1 на внутренний интерфейс на Интернет-маршрутизаторе, и 209.165.201.2 к внешнему интерфейсу ASA.

Администратору сети уже назначили адрес Класса C на сеть, 198.51.100.0/24, и имеет некоторые рабочие станции, которые используют эти адреса для доступа к Интернету. Эти рабочие станции не требуют никакой переадресации, потому что у них уже есть допустимые адреса. Однако новым рабочим станциям назначаются адреса сети 10.0.0.0/8, которые требуют преобразования (поскольку 10.x.x.x является одним из немаршрутизируемых адресных пространств согласно RFC 1918 ). 

Для размещения этой организации сети администратор сети должен использовать два выражения NAT и один глобальный пул в конфигурации ASA:

global (outside) 1 209.165.201.3-209.165.201.30 netmask 255.255.255.224
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Эта конфигурация не преобразовывает адрес источника никакого исходящего трафика от 198.51.100.0/24 сети. Это преобразовывает адрес источника в 10.0.0.0/8 сети в адрес из диапазона 209.165.201.3 до 209.165.201.30.

Примечание: Когда у вас есть интерфейс с политикой NAT и если нет никакого глобального пула к другому интерфейсу, необходимо использовать nat 0 для устанавливания исключения NAT.

Версия ASA 8.3 и позже

Вот настройка.

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0

object network obj-198.51.100.0/24
subnet 198.51.100.0 255.255.255.0

object network obj-natted
range 209.165.201.3 209.165.201.30

object network any-1
subnet 0.0.0.0 0.0.0.0

Using the Manual Nat statements:

nat (inside,outside) source static obj-198.51.100.0/24 obj-198.51.100.0/24
destination static any-1 any-1

nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-natted

Using the Auto Nat statements:

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic obj-natted

object network obj-198.51.100.0/24
subnet 198.51.100.0 255.255.255.0
nat (inside,outside) static obj-198.51.100.0/24

Настройка- Несколько глобальных пулов

Схема сети

В данном примере у менеджера сети есть два диапазона IP-адресов, которые зарегистрированы в Интернете. Диспетчер сети должен преобразовывать все внутренние адреса из диапазона 10.0.0.0/8 в зарегистрированные адреса. Диапазоны IP-адресов, которые должен использовать менеджер сети, 209.165.201.1 до 209.165.201.30 и 209.165.200.225 - 209.165.200.254. Диспетчер сети может сделать это следующим образом:

global (outside) 1 209.165.201.3-209.165.201.30 netmask 255.255.255.224
global (outside) 1 209.165.200.225-209.165.200.254 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Примечание: Схема адресации с помощью подстановочных знаков используется в выражении NAT. Этот оператор говорит ASA преобразовывать любой адрес внутреннего ресурса, когда это выходит в Интернет. При необходимости в этой команде можно указывать более конкретный адрес.

Версия ASA 8.3 и позже

Вот настройка.

object network obj-natted
range 209.165.201.3 209.165.201.30

object network obj-natted-2
range 209.165.200.225 209.165.200.254

object network any-1
subnet 0.0.0.0 0.0.0.0

Using the Manual Nat statements:

nat (inside,outside) source dynamic any-1 obj-natted
nat (inside,outside) source dynamic any-1 obj-natted-2

Using the Auto Nat statements:

object network any-1
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted

object network any-2
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted-2

Настройка- NAT соединения и операторы PAT

Схема сети

В данном примере интернет-провайдер предоставляет менеджера сети диапазоном адресов от 209.165.201.1 до 209.165.201.30 для компании для использования. Менеджер сети решил использовать 209.165.201.1 для внутреннего интерфейса на Интернет-маршрутизаторе и 209.165.201.2 для внешнего интерфейса на ASA. Вас тогда оставляют с 209.165.201.3 до 209.165.201.30 использовать для пула NAT. Однако менеджер сети знает, что в любой момент может быть больше чем 28 человек, которые пытаются выйти из ASA. Менеджер сети решил взять 209.165.201.30 и сделать его Адресом PAT так, чтобы несколько пользователей могли совместно использовать один адрес в то же время.

Эти команды дают ASA команду преобразовывать адрес источника в 209.165.201.3 до 209.165.201.29 для первых 27 внутренних пользователей, которые пройдут по ASA. После того, как эти адреса исчерпаны, тогда ASA преобразовывает все последующие адреса источника в 209.165.201.30, пока один из адресов в пуле NAT не становится свободным.

Примечание: Схема адресации с помощью подстановочных знаков используется в выражении NAT. Этот оператор говорит ASA преобразовывать любой адрес внутреннего ресурса, когда это выходит в Интернет. При необходимости в этой команде можно указывать более конкретный адрес.

Версия ASA 8.3 и позже

Вот настройка.

Using the Manual Nat statements:
object network any-1
subnet 0.0.0.0 0.0.0.0

object network obj-natted
range 209.165.201.3 209.165.201.30

object network obj-natted-2
subnet 209.165.201.30 255.255.255.224

nat (inside,outside) source dynamic 0.0.0.0/0 obj-natted
nat (inside,outside) source dynamic 0.0.0.0/0 obj-natted-2

Using the Auto Nat statements:

object network any-1
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted

object network any-2
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic obj-natted-2

Настройка- Несколько операторов NAT с ручными операторами

Схема сети

В данном примере интернет-провайдер снова предоставляет менеджера сети диапазоном адресов от 209.165.201.1 до 209.165.201.30. Менеджер сети решает назначить 209.165.201.1 на внутренний интерфейс на Интернет-маршрутизаторе и 209.165.201.2 к внешнему интерфейсу ASA.

Однако в этом случае другой сегмент частной локальной сети размещен за Интернет-маршрутизатором. Диспетчер сети предпочитает не использовать адреса из глобального пула, если узлы в этих двух сетях обмениваются данными между собой. Диспетчеру сети по-прежнему необходимо преобразовывать адрес источника для всех внутренних пользователей (10.0.0.0/8) при их подключении к Интернету.

Эта конфигурация не преобразовывает те адреса с адресом источника 10.0.0.0/8 и адресом назначения (DA) 198.51.100.0/24. Это преобразовывает адрес источника от любого трафика, инициировал из 10.0.0.0/8 сети и предназначил для где угодно кроме 198.51.100.0/24 в адрес из диапазона 209.165.201.3 до 209.165.201.30.

При наличии результата выполнения команды write terminal для устройства Cisco можно использовать средство интерпретации выходных данных (только для зарегистрированных пользователей).

Версия ASA 8.3 и позже

Вот настройка.

Using the Manual Nat statements:

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0

object network obj-198.51.100.0/24
subnet 198.51.100.0 255.255.255.0

object network obj-natted
range 209.165.201.3 209.165.201.30

nat (inside,outside) source static obj-10.0.0.0/8 obj-10.0.0.0/8 destination
static obj-198.51.100.0/24 obj-198.51.100.0/24

nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-natted

Using the Auto Nat statements:

object network obj-natted
range 209.165.201.3 209.165.201.30
nat (inside,outside) source static obj-10.0.0.0/8 obj-10.0.0.0/8 destination
static obj-198.51.100.0/24 obj-198.51.100.0/24

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0
nat (inside,outside) dynamic obj-natted

Настройка- Использование политики NAT

Схема сети

При использовании списка доступа с туземной командой для любого КОДА NAT кроме 0 вы включаете NAT политики.

NAT политики позволяет вам определять локальный трафик для переадресации спецификацией адресов источника и назначения (или порты) в списке доступа. Обычное NAT использует адреса/порты только источника. Policy NAT использует адреса/порты источника и назначения.

Примечание: Политику NAT поддерживают все типы NAT кроме исключений NAT (nat 0 access-list). Освобождение NAT использует Список контроля доступа (ACL), чтобы определить локальные адреса, но отличается от NAT политики, потому что не рассматривают порты.

Используя policy NAT можно создавать несколько NAT или статических инструкций, которые идентифицируют один и тот же локальный адрес, пока комбинация источник/порт и назначение/порт остается уникальной для каждой инструкции. Затем можно сопоставить разные глобальные адреса каждой паре источник/порт и назначение/порт.

В этом примере диспетчер сети должен предоставить доступ IP-адресу назначения 172.30.1.11 к порту 80 (web) и порту 23 (Telnet), но должен использовать два разных IP-адреса в качестве адреса источника. 209.165.201.3 используется в качестве адреса источника для сети, и 209.165.201.4 используется для Telnet и должен преобразовать все внутренние адреса, которые находятся в диапазоне 10.0.0.0/8. Диспетчер сети может сделать это следующим образом:

access-list WEB permit tcp 10.0.0.0 255.0.0.0 
172.30.1.11 255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 172.30.1.11
255.255.255.255 eq 23

nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 209.165.201.3 255.255.255.224
global (outside) 2 209.165.201.4 255.255.255.224

Версия ASA 8.3 и позже

Вот настройка.

Using the Manual Nat statements:

object network obj-10.0.0.0/8
subnet 10.0.0.0 255.0.0.0

object network obj-172.30.1.11
host 172.30.1.11

object network obj-209.165.201.3
host 209.165.201.3

object network obj-209.165.201.4
host 209.165.201.4

object service obj-23
service tcp destination eq telnet

object service obj-80
service tcp destination eq telnet

nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-209.165.201.3 destination
static obj-172.30.1.11 obj-172.30.1.11 service obj-80 obj-80
nat (inside,outside) source dynamic obj-10.0.0.0/8 obj-209.165.201.4 destination
static obj-172.30.1.11 obj-172.30.1.11 service obj-23 obj-23

Примечание: Для получения дополнительной информации о конфигурации NAT и PAT на Версии ASA 8.4, обратитесь к информации О NAT.

Для получения дополнительной информации о конфигурации списков доступа на Версии ASA 8.4, обратитесь к информации О Списках доступа.

Проверка.

Попытайтесь обратиться к веб-сайту через HTTP с web-браузером. Данный пример использует сайт, который размещен в 198.51.100.100. Если соединение успешно, выходные данные в следующем разделе могут быть замечены на CLI ASA.

Соединение

ASA(config)# show connection address 10.0.0.2
16 in use, 19 most used
TCP outside 198.51.100.100:80 inside 10.0.0.2:57431, idle 0:00:06, bytes 9137,
flags UIO

ASA является самонастраивающимся межсетевым экраном, и ответный трафик от Web-сервера позволен назад через межсетевой экран, потому что это совпадает с соединением в таблице подключений межсетевого экрана. Трафик, который совпадает с соединением, которое существует ранее, позволен через межсетевой экран, не будучи заблокированным интерфейсным ACL.

В предыдущих выходных данных клиент на внутреннем интерфейсе установил соединение с этими 198.51.100.100 хостами прочь внешнего интерфейса. Это соединение сделано с протоколом TCP и было простаивающим в течение шести секунд. Флаги соединения указывают на текущее состояние этого соединения. Дополнительные сведения о флагах соединения могут быть найдены во Флагах TCP - подключения ASA.

Syslog

ASA(config)# show log | in 10.0.0.2

Jun 28 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
10.0.0.2/57431 to outside:209.165.201.3/57431

Jun 28 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:10.0.0.2/57431 (209.165.201.3/57431)

Межсетевой экран ASA генерирует системные журналы во время нормальной работы. Системные журналы располагаются в многословии на основе конфигурации журнала. Выходные данные показывают два системных журнала, которые замечены на уровне шесть или 'информационном' уровне.

В данном примере существует два генерируемые системных журнала. Первым является сообщение журнала, которое указывает, что межсетевой экран создал трансляцию, в частности динамическую трансляцию TCP (PAT). Это указывает на IP - адрес источника и порт и преобразованный IP-адрес и порт, поскольку трафик пересекает от внутренней части до внешних интерфейсов.

Второй системный журнал указывает, что межсетевой экран создал соединение в своей таблице подключений для этого определенного трафика между клиентом и сервером. Если бы межсетевой экран был настроен для блокирования этой попытки подключения, или некоторый другой фактор запретил создание этого соединения (ограничения ресурса или вероятная неверная конфигурация), то межсетевой экран не генерировал бы журнал, который указывает, что было создано соединение. Вместо этого это регистрировало бы причину для соединения, которое будет запрещено или индикация о том, какой фактор запретил соединению то, чтобы быть созданным.

Преобразования NAT (Xlate) 

ASA(config)# show xlate local 10.0.0.2
3 1in use, 810 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
TCP PAT from inside:10.0.0.2/58799 to outside:209.165.201.3/57431 flags ri idle
0:12:22 timeout 0:00:30

Как часть этой конфигурации, PAT настроен для перевода IP-адресов внутреннего хоста в адреса, которые маршрутизируемы в Интернете. Чтобы подтвердить, что эти трансляции созданы, можно проверить xlate (трансляция) таблица. Команда show xlate, когда объединено с ключевым словом local и IP-адресом внутреннего хоста, показывает весь подарок записей в таблице преобразования для того хоста. Предыдущие выходные данные показывают, что существует трансляция, в настоящее время созданная для этого хоста между внутренними и внешними интерфейсами. IP внутреннего хоста и порт преобразованы в эти 10.165.200.226 адреса на конфигурацию.

Перечисленные флаги, r i, указывают, что трансляция является динамичной и portmap. Дополнительные сведения о других конфигурациях NAT могут быть найдены в информации О NAT.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 15243