WebEx : Cisco Expressway

Настройте отражение NAT о ASA для устройств TelePresence

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как внедрить конфигурацию отражения Технологии NAT на устройствах адаптивной защиты Cisco (ASA) для специальных сценариев Cisco TelePresence, которые требуют этого вида конфигурации NAT на Межсетевом экране (FW).

Внесенный Кристианом Эрнандесом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Cisco ASA основная конфигурация NAT

  •  Контроль за сервером Video Communication Server (VCS) Cisco TelePresence и базовая конфигурация Скоростной автомагистрали VCS

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  •  Устройства Cisco ASA 5500 и 5500-X Series, которые работают под управлением ПО версии 8.3 и позже

  • VCS Cisco X версий 8.5

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

 Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco. 

Общие сведения

Согласно документации Cisco TelePresence, существует два вида сценариев TelePresence, где конфигурация отражения NAT требуется на FW, чтобы позволить Контролю за VCS связываться со Скоростной автомагистралью VCS через открытый IP - адрес Скоростной автомагистрали VCS.

Первый сценарий включает De-Militarized Zone (DMZ) одиночной подсети, который использует одиночный интерфейс LAN (локальной сети) Скоростной автомагистрали VCS, и второй сценарий включает DMZ FW с 3 портами, который использует одиночный интерфейс LAN (локальной сети) Скоростной автомагистрали VCS.

Совет: Для получения большего количества подробных данных о реализации TelePresence обратитесь к Базовой конфигурации Сервера Передачи видеоданных Cisco TelePresence (Контроль со Скоростной автомагистралью) руководство по развертыванию.

DMZ одиночной подсети с одиночным интерфейсом LAN (локальной сети) скоростной автомагистрали VCS

В этом сценарии FW A может направить трафик к FW B (и наоборот). Скоростная автомагистраль VCS позволяет видеотрафику быть переданным через FW B без сокращения трафика на FW B от внешней стороны до внутренних интерфейсов. Скоростная автомагистраль VCS также обрабатывает пересечение FW на своей общедоступной стороне.

Например:

Эти развертывания используют эти компоненты:

  • DMZ одиночной подсети (10.0.10.0/24), который содержит:

    • Внутренний интерфейс FW (10.0.10.1)
    • Внешний интерфейс FW B (10.0.10.2)
    • Интерфейс LAN1 Скоростной автомагистрали VCS (10.0.10.3)
  • Подсеть LAN (10.0.30.0/24), который содержит:

    • Внутренний интерфейс FW B (10.0.30.1)
    • Интерфейс LAN1 Контроля за VCS (10.0.30.2)
    • Сетевой интерфейс Сервера управления Cisco TelePresence (TMS) (10.0.30.3)

Статический непосредственный NAT был настроен на FW A, который выполняет NAT для общего адреса 64.100.0.10 к IP-адресу LAN1 Скоростной автомагистрали VCS. Статический NAT режим был включен для интерфейса LAN1 на Скоростной автомагистрали VCS со статическим NAT IP-адресом 64.100.0.10.

Примечание: Необходимо ввести Полное доменное имя (FQDN) Скоростной автомагистрали VCS. Это замечено по за пределами сети, поскольку адрес партнера (peer) на Контроле за VCS защищает пересекающуюся зону. Причина для этого состоит в том, что в статическом NAT режиме, Скоростная автомагистраль VCS запрашивает, чтобы входящая сигнализация и трафик данных были переданы его внешнему FQDN, а не его частному названию. Это также означает, что внешний FW должен позволить трафик от Контроля за VCS до Скоростной автомагистрали VCS внешний FQDN. Это известно как отражение NAT и не могло бы поддерживаться всеми типами FW.

В данном примере FW Необходимость позволяет отражение NAT трафика, который прибывает из Контроля за VCS, который предназначен для внешнего IP - адреса (64.100.0.10) из Скоростной автомагистрали VCS. Пересекающаяся зона на Контроле за VCS должна иметь 64.100.0.10 как адрес партнера (peer).

Скоростная автомагистраль VCS должна быть настроена со шлюзом по умолчанию 10.0.10.1. Требуются ли статические маршруты в этом сценарии, зависит от возможностей и параметров настройки FW A и FW B. Связь от Контроля за VCS до Скоростной автомагистрали VCS происходит через 64.100.0.10 IP-адреса Скоростной автомагистрали VCS; и ответному трафику от Скоростной автомагистрали VCS до Контроля за VCS, возможно, придется пройти через шлюз по умолчанию.

Если статический маршрут добавлен к Скоростной автомагистрали VCS так, чтобы трафик ответа прошел от Скоростной автомагистрали VCS и непосредственно через FW B к 10.0.30.0/24 подсети, это означает, что происходит асимметричная маршрутизация. Это не могло бы работать, зависящее от возможностей FW.

Скоростная автомагистраль VCS может быть добавлена к TMS Cisco с IP-адресом 10.0.10.3 (или с IP-адресом 64.100.0.10, если FW A позволяет это), так как на связь управления TMS Cisco не влияют статические NAT параметры настройки режима на Скоростной автомагистрали VCS.

DMZ FW с 3 портами с одиночным интерфейсом LAN (локальной сети) скоростной автомагистрали VCS

Вот пример этого сценария:

В этих развертываниях FW с 3 портами используется для создания:

  • Подсеть DMZ (10.0.10.0/24), который содержит:

    • Интерфейс DMZ FW (10.0.10.1)
    • Интерфейс LAN1 Скоростной автомагистрали VCS (10.0.10.2)
  • Подсеть LAN (10.0.30.0/24), который содержит:

    • Интерфейс LAN (локальной сети) FW (10.0.30.1)
    • Интерфейс LAN1 Контроля за VCS (10.0.30.2)
    • Сетевой интерфейс TMS Cisco (10.0.30.3)

Статический непосредственный NAT был настроен на FW A, который выполняет NAT открытого IP - адреса 64.100.0.10 к IP-адресу LAN1 Скоростной автомагистрали VCS. Статический NAT режим был включен для интерфейса LAN1 на Скоростной автомагистрали VCS со статическим NAT IP-адресом 64.100.0.10.

Скоростная автомагистраль VCS должна быть настроена со шлюзом по умолчанию 10.0.10.1. Так как этот шлюз должен использоваться для всего трафика, который покидает Скоростную автомагистраль VCS, никакие статические маршруты не требуются в этом типе развертываний.

Пересекающаяся клиентская зона на Контроле за VCS должна быть настроена с адресом партнера (peer), который совпадает со статическим NAT адресом Скоростной автомагистрали VCS (64.100.0.10 в данном примере) по тем же причинам как описанные в предыдущем сценарии.

Примечание: Это означает, что FW Необходимость позволяет трафик от Контроля за VCS с IP - адресом назначения 64.100.0.10. Это также известно как отражение NAT, и нужно обратить внимание, что это не поддерживается всеми типами FW.

Скоростная автомагистраль VCS может быть добавлена к TMS Cisco с IP-адресом 10.0.10.2 (или с IP-адресом 64.100.0.10, если FW A позволяет это), так как на связь управления TMS Cisco не влияют статические NAT параметры настройки режима на Скоростной автомагистрали VCS.

Настройка

В этом разделе описывается настроить отражение NAT для двух других сценариев реализации TelePresence.

DMZ одиночной подсети с одиночным интерфейсом LAN (локальной сети) скоростной автомагистрали VCS

Для первого сценария необходимо применить эту конфигурацию отражения NAT на FW для разрешения отражения NAT входящего трафика от Контроля за VCS, который предназначен для внешнего адреса (64.100.0.10) из Скоростной автомагистрали VCS:

В данном примере IP-адрес Контроля за VCS является 10.0.30.2/24, и IP-адрес Скоростной автомагистрали VCS является 10.0.10.3/24.

Если вы предполагаете, что IP-адрес Контроля за VCS 10.0.30.2 преобразован в IP-адрес 10.0.10.2, когда это перемещается от внутренней части до внешнего интерфейса FW B, то конфигурацию отражения NAT, которую необходимо внедрить на FW B, показывают в следующих примерах.

Для Версий ASA 8.3 и позже:

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.3
host 10.0.10.3

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,outside) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.3

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Для Версий ASA 8.2 и ранее:

access-list IN-OUT-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,outside) interface access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.0.10.3 host 10.0.10.2
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE

Примечание: Это является дополнительным для перевода IP - адреса источника пакетов для этого трафика. Главная цель этой трансляции отражения NAT должна позволить Контролю за VCS достигать скоростной автомагистрали VCS, но использовать открытый IP - адрес скоростной автомагистрали VCS вместо его закрытого IP - адреса.

DMZ FW с 3 портами с одиночным интерфейсом LAN (локальной сети) скоростной автомагистрали VCS

Для второго сценария необходимо применить эту конфигурацию отражения NAT на FW для разрешения отражения NAT входящего трафика от Контроля за VCS, который предназначен для внешнего IP - адреса (64.100.0.10) из Скоростной автомагистрали VCS:

В данном примере IP-адрес Контроля за VCS является 10.0.30.2/24, и IP-адрес Скоростной автомагистрали VCS является 10.0.10.2/24.

Если вы предполагаете, что IP-адрес Контроля за VCS 10.0.30.2 преобразован в IP-адрес 10.0.10.1, когда это перемещается с Внутренней части на интерфейс DMZ FW A, то конфигурацию отражения NAT, которую необходимо внедрить на FW A, показывают в следующих примерах.

Для Версий ASA 8.3 и позже: 

object network obj-10.0.30.2
host 10.0.30.2

object network obj-10.0.10.2
host 10.0.10.2

object network obj-64.100.0.10
host 64.100.0.10

nat (inside,DMZ) source static obj-10.0.30.2 interface destination static
obj-64.100.0.10 obj-10.0.10.2

NOTE: After this NAT is applied you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the DMZ interface is being redirected.
WARNING: Users may not be able to access any service enabled on the DMZ interface.

Для Версий ASA 8.2 и ранее:

access-list IN-DMZ-INTERFACE extended permit ip host 10.0.30.2 host 64.100.0.10
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 10.0.10.2 host 10.0.10.1
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE

Примечание: Это является дополнительным для перевода IP - адреса источника пакетов для этого трафика. Главная цель этой трансляции отражения NAT должна позволить Контролю за VCS достигать скоростной автомагистрали VCS, но использовать открытый IP - адрес скоростной автомагистрали VCS вместо его закрытого IP - адреса.

Проверка.

Этот раздел предоставляет пакетные выходные данные трассировщика, которые можно использовать для подтверждения корректной конфигурации отражения NAT в обоих из сценариев TelePresence.

DMZ одиночной подсети с одиночным интерфейсом LAN (локальной сети) скоростной автомагистрали VCS

Вот является FW B пакетными выходными данными трассировщика для Версий ASA 8.3 и позже:

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/80 to 10.0.10.3/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.2/1234

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,outside) source static obj-10.0.30.2 obj-10.0.10.2 destination static
obj-64.100.0.10 obj-10.0.10.3
Additional Information:

Phase: 9
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 421, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Вот является FW B пакетными выходными данными трассировщика для Версий ASA 8.2 и ранее: 

FW-B# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface outside
Untranslate 64.100.0.10/0 to 10.0.10.3/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) interface access-list IN-OUT-INTERFACE
match ip inside host 10.0.30.2 outside host 64.100.0.10
static translation to 10.0.10.2
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (outside,inside) 64.100.0.10 access-list OUT-IN-INTERFACE
match ip outside host 10.0.10.3 inside host 10.0.10.2
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 316, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

DMZ FW с 3 портами с одиночным интерфейсом LAN (локальной сети) скоростной автомагистрали VCS

Вот является FW пакетными выходными данными трассировщика для Версий ASA 8.3 и позже: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/80 to 10.0.10.2/80

Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:
Static translate 10.0.30.2/1234 to 10.0.10.1/1234

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,DMZ) source static obj-10.0.30.2 obj-10.0.10.1 destination static
obj-64.100.0.10 obj-10.0.10.2
Additional Information:

Phase: 8
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 424, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Вот является FW пакетными выходными данными трассировщика для Версий ASA 8.2 и ранее: 

FW-A# packet-tracer input inside tcp 10.0.30.2 1234 64.100.0.10 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface DMZ
Untranslate 64.100.0.10/0 to 10.0.10.2/0 using netmask 255.255.255.255

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: SSM-DIVERT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.0.30.2/0 to 10.0.10.1/0 using netmask 255.255.255.255

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,DMZ) interface access-list IN-DMZ-INTERFACE
match ip inside host 10.0.30.2 DMZ host 64.100.0.10
static translation to 10.0.10.1
translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 8
Type: SSM_SERVICE
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 10
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (DMZ,inside) 64.100.0.10 access-list DMZ-IN-INTERFACE
match ip DMZ host 10.0.10.2 inside host 10.0.10.1
static translation to 64.100.0.10
translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 750, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow

Устранение неполадок

Можно настроить захваты пакета на интерфейсах ASA для подтверждения источника и целевого преобразования пакета, когда пакеты вводят и оставляют интерфейсы FW, которые включены.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.