Протокол IP : Технология NAT

Настройте ASA для доступа почтового сервера SMTP в DMZ, внутри, и внешние сети

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) для доступа к серверу Протокола SMTP, который расположен в Демилитаризованной зоне (DMZ), внутренняя сеть или внешняя сеть.

Внесенный Aastha Bhardwaj, Divya Subramanian, Prapanch Ramamoorthy, и Динкэром Шармой, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco ASA, который работает под управлением ПО версии 9.1 или позже
  •  Series маршрутизатор Cisco 2800C с  выпуском 15.1 (4) M6 программного обеспечения Cisco IOS

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе описывается настроить ASA для достижения почтового сервера в сети DMZ, внутренней сети или внешней сети.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для получения дополнительных сведений о командах, которые используются в этом разделе.

Почтовый сервер в сети DMZ

Схема сети

Конфигурация, которая описана в этом разделе, использует эту сетевую установку:

Примечание: Схемы IP-адресации, которые используются в этом документе, не юридически маршрутизируемы в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Сетевая установка, которая используется в данном примере, имеет ASA с внутренней сетью в 10.1.1.0/24 и внешней сетью в 203.0.113.0/24. Почтовый сервер с IP-адресом 172.16.31.10 расположен в сети DMZ. Для почтового сервера, к которому обратится внутренняя сеть, необходимо настроить идентификационную Технологию NAT. 

Для внешних пользователей для доступа к почтовому серверу необходимо настроить статическое NAT и список доступа, который является outside_int в данном примере, чтобы разрешить внешним пользователям обращаться к почтовому серверу и связывать список доступа с внешним интерфейсом.

Конфигурация ASA

Это - конфигурация ASA для данного примера:

show run
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 2KFQnbNIdI.2KYOU encrypted
names

!--- Configure the dmz interface.

interface GigabitEthernet0/0
nameif dmz
security-level 50
ip address 172.16.31.1 255.255.255.0
!

!--- Configure the outside interface.


interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0

!--- Configure inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa912-k8.bin
ftp mode passive

!--- This access list allows hosts to access
!--- IP address 172.16.31.10 for the SMTP port from outside.


access-list outside_int extended permit tcp any4 host 172.16.31.10 eq smtp

object network obj1-10.1.1.0
 subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- This network static does not use address translation.
!--- Inside hosts appear on the DMZ with their own addresses.


object network obj-10.1.1.0
subnet 10.1.1.0 255.255.255.0
nat (inside,dmz) static obj-10.1.1.0

!--- This Auto-NAT uses address translation.
!--- Hosts that access the mail server from the outside
!--- use the 203.0.113.10 address.


object network obj-172.16.31.10
host 172.16.31.10
nat (dmz,outside) static 203.0.113.10

access-group outside_int in interface outside

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!

!--- The inspect esmtp command (included in the map) allows
!--- SMTP/ESMTP to inspect the application.


service-policy global_policy global

Конфигурация ESMTP TLS

При использовании шифрования Transport Layer Security (TLS) для переписки по электронной почте то функция контроля Расширенной версии простого протокола передачи электронной почты (ESMTP) (включил по умолчанию) в ASA отбрасывает пакеты. Чтобы позволить, что электронные почты с включенным TLS, отключают опцию проверки ESMTP как показано в следующем примере.

Примечание: Обратитесь к идентификатору ошибки Cisco CSCtn08326 (только зарегистрированные клиенты) для получения дополнительной информации.

ciscoasa(config)#policy-map global_policy
ciscoasa(config-pmap)#class inspection_default
ciscoasa(config-pmap-c)#no inspect esmtp
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

Почтовый сервер во внутренней сети

Схема сети

Конфигурация, которая описана в этом разделе, использует эту сетевую установку:

Сетевая установка, которая используется в данном примере, имеет ASA с внутренней сетью в 10.1.1.0/24 и внешней сетью в 203.0.113.0/24. Почтовый сервер с IP-адресом 10.1.2.10 расположен во внутренней сети.

Конфигурация ASA

Это - конфигурация ASA для данного примера:

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!

!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- Create an access list that permits Simple
!--- Mail Transfer Protocol (SMTP) traffic from anywhere
!--- to the host at 203.0.113.10 (our server). The name of this list is
!--- smtp. Add additional lines to this access list as required.
!--- Note: There is one and only one access list allowed per
!--- interface per direction, for example, inbound on the outside interface.
!--- Because of limitation, any additional lines that need placement in
!--- the access list need to be specified here. If the server
!--- in question is not SMTP, replace the occurrences of SMTP with
!--- www, DNS, POP3, or whatever else is required.


access-list smtp extended permit tcp any host 10.1.2.10 eq smtp

--Omitted--

!--- Specify that any traffic that originates inside from the
!--- 10.1.2.x network NATs (PAT) to 203.0.113.9 if
!--- such traffic passes through the outside interface.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic 203.0.113.9

!--- Define a static translation between 10.1.2.10 on the inside and
!--- 203.0.113.10 on the outside. These are the addresses to be used by
!--- the server located inside the ASA.


object network obj-10.1.2.10
host 10.1.2.10
nat (inside,outside) static 203.0.113.10

!--- Apply the access list named smtp inbound on the outside interface.

access-group smtp in interface outside

!--- Instruct the ASA to hand any traffic destined for 10.1.2.0
!--- to the router at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Set the default route to 203.0.113.2.
!--- The ASA assumes that this address is a router address.


route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

Почтовый сервер во внешней сети

Схема сети

Конфигурация, которая описана в этом разделе, использует эту сетевую установку:

Конфигурация ASA

Это - конфигурация ASA для данного примера:

ASA#show run
: Saved
:
ASA Version 9.1(2)
!
--Omitted--
!--- Define the IP address for the inside interface.

interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0

!--- Define the IP address for the outside interface.

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
!
--Omitted--

!--- This command indicates that all addresses in the 10.1.2.x range
!--- that pass from the inside (GigabitEthernet0/2) to a corresponding global
!--- destination are done with dynamic PAT.
!--- As outbound traffic is permitted by default on the ASA, no
!--- static commands are needed.


object network obj-10.1.2.0
subnet 10.1.2.0 255.255.255.0
nat (inside,outside) dynamic interface

!--- Creates a static route for the 10.1.2.x network.
!--- The ASA forwards packets with these addresses to the router
!--- at 10.1.1.2

route inside 10.1.2.0 255.255.255.0 10.1.1.2 1

!--- Sets the default route for the ASA Firewall at 203.0.113.2

route outside 0.0.0.0 0.0.0.0 203.0.113.2 1

--Omitted--

: end

Проверка.

Используйте информацию, которая предоставлена в этом разделе, чтобы проверить, что конфигурация работает должным образом.

Почтовый сервер в сети DMZ

Эхо-запрос TCP

Эхо - тесты (ping test) TCP соединение по TCP (по умолчанию является Протокол ICMP). Если целевое устройство передает пакет SYN-ACK, эхо-запрос TCP передает SYN - пакеты и считает эхо-запрос успешным. Можно выполнить самое большее два параллельных эхо-запроса TCP за один раз.

Например:

ciscoasa(config)# ping tcp
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Соединение

ASA является самонастраивающимся межсетевым экраном, и ответный трафик от почтового сервера позволен назад через Межсетевой экран, потому что это совпадает с соединением в таблице подключений Межсетевого экрана. Трафик, который совпадает с текущим соединением, позволен через Межсетевой экран, не будучи заблокированным интерфейсным Списком контроля доступа (ACL).

В следующем примере клиент на внешнем интерфейсе устанавливает соединение с 203.0.113.10 хостами интерфейса DMZ. Это соединение сделано с протоколом TCP и было простаивающим в течение двух секунд. Флаги соединения указывают на текущее состояние этого соединения:

ciscoasa(config)# show conn address 172.16.31.10
1 in use, 2 most used
TCP outside 203.0.113.2:16678 dmz 172.16.31.10:25, idle 0:00:02, bytes 921, flags UIO

Регистрация

Межсетевой экран ASA генерирует системные журналы во время нормальной работы. Системные журналы располагаются в многословии на основе конфигурации журнала. Эти выходные данные показывают два системных журнала, которые появляются на уровне шесть (информационный уровень) и уровне семь (уровень отладки):

ciscoasa(config)# show logging | i 172.16.31.10

%ASA-7-609001: Built local-host dmz:172.16.31.10

%ASA-6-302013: Built inbound TCP connection 11 for outside:203.0.113.2/16678
(203.0.113.2/16678) to dmz:172.16.31.10/25 (203.0.113.10/25)

Второй системный журнал в данном примере указывает, что Межсетевой экран создал соединение в своей таблице подключений для этого определенного трафика между клиентом и сервером. Если бы Межсетевой экран был настроен для блокирования этой попытки подключения, или некоторый другой фактор запретил создание этого соединения (ограничения ресурса или вероятная неверная конфигурация), то Межсетевой экран не генерировал бы журнал, который указывает, что было создано соединение. Вместо этого это регистрировало бы причину для соединения, которое будет запрещено или индикация о факторе, который запретил соединению то, чтобы быть созданным. 

Например, если бы ACL на внешней стороне не настроен для разрешения 172.16.31.10 на порту 25, то вы видели бы этот журнал, когда запрещен трафик:

%ASA-4-106100: access-list outside_int запретил tcp вне/203.0.113.2 (3756)->
  dmz/172.16.31.10 (25) соответствие-cnt 5 300-секундных интервалов

Когда ACL отсутствует или неверно настроенное как показано здесь, это произошло бы:

access-list outside_int extended permit tcp any4 host 172.16.31.10 eq http

access-list outside_int extended deny ip any4 any4

Преобразования NAT (Xlate)

Чтобы подтвердить, что трансляции созданы, можно проверить Xlate (трансляция) таблица. Команда show xlate, когда объединено с ключевым словом local и IP-адресом внутреннего хоста, показывает все записи, которые присутствуют в таблице преобразования для того хоста. Следующие выходные данные показывают, что существует трансляция, в настоящее время созданная для этого хоста между DMZ и внешними интерфейсами. IP-адрес сервера DMZ преобразован в эти 203.0.113.10 адресов на предыдущую конфигурацию. Флаги, которые перечислены (s в данном примере) указывают, что трансляция статична

ciscoasa(config)# show nat detail
Manual NAT Policies (Section 1)
1 (dmz) to (outside) source static obj-172.16.31.10 obj-203.0.113.10
   translate_hits = 7, untranslate_hits = 6
   Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32

Auto NAT Policies (Section 2)
1 (dmz) to (outside) source static obj-172.16.31.10 203.0.113.10
   translate_hits = 1, untranslate_hits = 5
   Source - Origin: 172.16.31.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
   translate_hits = 0, untranslate_hits = 0
   Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
   translate_hits = 0, untranslate_hits = 0
   Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24

ciscoasa(config)# show xlate
4 in use, 4 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
      s - static, T - twice, N - net-to-net
NAT from dmz:172.16.31.10 to outside:203.0.113.10
   flags s idle 0:10:48 timeout 0:00:00
NAT from inside:10.1.1.0/24 to dmz:10.1.1.0/24
   flags sI idle 79:56:17 timeout 0:00:00
NAT from dmz:172.16.31.10 to outside:203.0.113.10
   flags sT idle 0:01:02 timeout 0:00:00
NAT from outside:0.0.0.0/0 to dmz:0.0.0.0/0
   flags sIT idle 0:01:02 timeout 0:00:00

Почтовый сервер во внутренней сети

Эхо-запрос TCP

Вот выходные данные ping TCP в качестве примера:

ciscoasa(config)# PING TCP
Interface: outside
Target IP address: 203.0.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 203.0.113.2
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.0.113.10 port 25
from 203.0.113.2 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Соединение

Вот проверка примера подключения:

ciscoasa(config)# show conn address 10.1.2.10
1 in use, 2 most used
TCP outside 203.0.113.2:5672 inside 10.1.2.10:25, idle 0:00:05, bytes 871, flags UIO

Регистрация

Вот системный журнал в качестве примера:

%ASA-6-302013: Built inbound TCP connection 553 for outside:203.0.113.2/19198
(203.0.113.2/19198) to inside:10.1.2.10/25 (203.0.113.10/25)

Преобразования NAT (Xlate)

Вот некоторый пример, показывают туземную подробность и выходные данные команды show xlate:

ciscoasa(config)# show nat detail

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static obj-10.1.2.10 203.0.113.10
   translate_hits = 0, untranslate_hits = 15
   Source - Origin: 10.1.2.10/32, Translated: 203.0.113.10/32
2 (inside) to (dmz) source static obj-10.1.1.0 obj-10.1.1.0
   translate_hits = 0, untranslate_hits = 0
   Source - Origin: 10.1.1.0/24, Translated: 10.1.1.0/24
3 (inside) to (outside) source dynamic obj1-10.1.1.0 interface
   translate_hits = 0, untranslate_hits = 0
   Source - Origin: 10.1.1.0/24, Translated: 203.0.113.1/24
 
ciscoasa(config)# show xlate
 

NAT from inside:10.1.2.10 to outside:203.0.113.10
   flags s idle 0:00:03 timeout 0:00:00

Почтовый сервер во внешней сети

Эхо-запрос TCP 

Вот выходные данные ping TCP в качестве примера:

ciscoasa# PING TCP
Interface: inside
Target IP address: 203.1.113.10
Destination port: [80] 25
Specify source? [n]: y
Source IP address: 10.1.2.10
Source port: [0] 1234
Repeat count: [5] 5
Timeout in seconds: [2] 2
Type escape sequence to abort.
Sending 5 TCP SYN requests to 203.1.113.10 port 25
from 10.1.2.10 starting port 1234, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Соединение

Вот проверка примера подключения:

ciscoasa# show conn address 203.1.113.10
1 in use, 2 most used
TCP inside 10.1.2.10:13539 outside 203.1.113.10:25, idle 0:00:02, bytes 898, flags UIO

Регистрация

Вот системный журнал в качестве примера:

ciscoasa# show logging | i 203.1.113.10
 
%ASA-6-302013: Built outbound TCP connection 590 for outside:203.1.113.10/25
(203.1.113.10/25) to inside:10.1.2.10/1234 (203.0.113.1/1234)

Преобразования NAT (Xlate)

Вот выходные данные команды show xlate в качестве примера:

ciscoasa# show xlate | i 10.1.2.10

TCP PAT from inside:10.1.2.10/1234 to outside:203.0.113.1/1234 flags ri idle
0:00:04 timeout 0:00:30

Устранение неполадок

ASA предоставляет множественные программные средства, с которыми можно устранить неполадки подключения. Если проблема сохраняется после того, как вы проверяете конфигурацию и проверяете выходные данные, которые описаны в предыдущем разделе, эти программные средства и способы могли бы помочь вам определять причину сбоя подключения.

Почтовый сервер в сети DMZ

Средство трассировки пакетов

Пакетная функциональность трассировщика на ASA позволяет вам задавать моделируемый пакет и просматривать все различные шаги, проверки и функции, которые проходит через Межсетевой экран, когда это обрабатывает трафик. С этим программным средством полезно определить пример трафика, которому вы верите , должен быть позволен пройти через Межсетевой экран и использование, что пять-tupple для моделирования трафика. В следующем примере пакетный трассировщик используется для моделирования попытки подключения, которая соответствует этим критериям:

  • Моделируемый пакет поступает во внешнюю сторону.
  • Протокол, который используется, является TCP.
  • Моделируемый IP-адрес клиента 203.0.113.2.
  • Клиент передает трафик, который получен от порта 1234.
  • Трафик предназначен к серверу в IP-адресе 203.0.113.10.
  • Трафик предназначен для портирования 25.

Вот пакетные выходные данные трассировщика в качестве примера:

packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed

--Omitted--
 
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (dmz,outside) source static obj-172.16.31.10 obj-203.0.113.10
Additional Information:
NAT divert to egress interface dmz
Untranslate 203.0.113.10/25 to 172.16.31.10/25

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Вот пример на Cisco Adaptive Security Device Manager (ASDM):

Заметьте, что нет никакого упоминания об интерфейсе DMZ  в предыдущих выходных данных. Это пакетным дизайном трассировщика. Программное средство говорит вам, как Межсетевой экран обрабатывает ту попытку типа соединения, которая включает, как это направило бы его и из который интерфейс.

Совет: Для дополнительных сведений о пакетной функции трассировщика обратитесь к Пакетам Отслеживания с Пакетным разделом Трассировщика руководства по настройке Cisco ASA 5500 с помощью CLI, 8.4 и 8.6.

Захват пакета

Межсетевой экран ASA может перехватить трафик, который вводит или оставляет его интерфейсы. Эта функциональность перехвата очень полезна, потому что может окончательно оказаться, достигает ли трафик или уезжает от, Межсетевой экран. Следующий пример показывает конфигурацию двух перехватов, названных capd и capout на DMZ и внешних интерфейсах, соответственно. Команды перехвата используют ключевое слово соответствия, которое позволяет вам быть определенными о трафике, который вы хотите перехватить.

Для перехвата capd в данном примере, это обозначено, что вы хотите совпасть с трафиком, замеченным на интерфейсе DMZ (вход или выход), который совпадает , TCP размещают 172.16.31.10/размещать 203.0.113.2. Другими словами, вы хотите перехватить любой Трафик TCP, который передается от хоста 172.16.31.10 для хостинга 203.0.113.2, или наоборот. Использование ключевого слова соответствия позволяет Межсетевому экрану перехватывать тот трафик двунаправленным образом. Команда перехвата, которая определена для внешнего интерфейса, не ссылается на IP-адрес внутреннего сервера RADIUS, потому что Межсетевой экран проводит NAT на том IP-адресе почтового сервера. В результате вы не можете совпасть с тем IP-адресом сервера. Вместо этого следующий пример использует слово любой, чтобы указать, что все возможные IP-адреса совпали бы с тем условием.

После настройки перехватов необходимо тогда попытаться установить соединение снова и продолжить просматривать перехваты с командой <capture_name> show capture. В данном примере вы видите, что внешний хост смог соединиться с почтовым сервером, как очевидный трехэтапным установлением связи TCP, которое замечено в перехватах:

ASA# capture capd interface dmz match tcp host 172.16.31.10 any
ASA# capture capout interface outside match tcp any host 203.0.113.10

ASA#  show capture capd

3 packets captured

  1: 11:31:23.432655      203.0.113.2.65281 > 172.16.31.10.25: S 780523448:
  780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
  2: 11:31:23.712518      172.16.31.10.25 > 203.0.113.2.65281: S 2123396067:
  2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
  3: 11:31:23.712884      203.0.113.2.65281 > 172.16.31.10.25. ack 2123396068
  win 32768

ASA# show capture capout

3 packets captured

  1: 11:31:23.432869      203.0.113.2.65281 > 203.0.113.10.25: S 1633080465:
  1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
  2: 11:31:23.712472      203.0.113.10.25 > 203.0.113.2.65281: S 95714629:
  95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
  3: 11:31:23.712914       203.0.113.2.65281 > 203.0.113.10.25: . ack 95714630
  win 32768

Почтовый сервер во внутренней сети

Средство трассировки пакетов

Вот пакетные выходные данные трассировщика в качестве примера:

CLI : packet-tracer input outside tcp 203.0.113.2 1234 203.0.113.10 25 detailed
 
--Omitted--

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.1.2.10
 nat (inside,outside) static 203.0.113.10
Additional Information:
NAT divert to egress interface inside
Untranslate 203.0.113.10/25 to 10.1.2.10/25

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group smtp in interface outside
access-list smtp extended permit tcp any4 host 10.1.2.10 eq smtp
Additional Information:
 Forward Flow based lookup yields rule:
 in id=0x77dd2c50, priority=13, domain=permit, deny=false
       hits=1, user_data=0x735dc880, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
       src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
       dst ip/id=10.1.2.10, mask=255.255.255.255, port=25, tag=0, dscp=0x0
       input_ifc=outside, output_ifc=any

Почтовый сервер во внешней сети

Средство трассировки пакетов

Вот пакетные выходные данные трассировщика в качестве примера:

CLI :  packet-tracer input inside tcp 10.1.2.10 1234 203.1.113.10 25 detailed
 
--Omitted--
 
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 203.1.113.0 255.255.255.0 outside
 
Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-10.1.2.0
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.1.2.10/1234 to 203.0.113.1/1234
Forward Flow based lookup yields rule:
in id=0x778b14a8, priority=6, domain=nat, deny=false
hits=11, user_data=0x778b0f48, cs_id=0x0, flags=0x0, protocol=0
src ip/id=10.1.2.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=outside

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118958