Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document explique comment configurer le Port Redirection(Forwarding) et les caractéristiques extérieures de Traduction d'adresses de réseau (NAT) dans la version de logiciel 9.x de l'appliance de sécurité adaptable (ASA), avec l'utilisation du CLI ou de l'Adaptive Security Device Manager (ASDM).
Référez-vous au guide de configuration du Pare-feu ASDM de gamme de Cisco ASA pour information les informations complémentaires.
Référez-vous à configurer la Gestion Access afin de permettre le périphérique à configurer par l'ASDM.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.
Si vous voulez que les hôtes internes partagent une annonce publique simple pour la traduction, utilisez la translation d'adresses d'adresse du port (PAT). Une des configurations PAT les plus simples comporte la traduction de tous les hôtes internes pour ressembler à l'adresse IP extérieure d'interface. C'est la configuration PAT typique qui est utilisée quand le nombre d'adresses IP routable fournies par l'ISP est limité seulement à quelques uns, ou peut-être juste un.
Terminez-vous ces étapes afin de permettre à des hôtes internes l'accès aux réseaux extérieurs avec PAT :
C'est le CLI équivalent sorti pour cette configuration PAT :
object network obj_172.16.11.0
subnet 172.16.11.0 255.255.255.0
nat (inside,outside) dynamic interface
Vous pourriez permettre à un groupe d'hôtes internes/de réseaux pour accéder au monde extérieur avec la configuration des règles NAT dynamiques. À la différence de PAT, NAT dynamique alloue des adresses traduites d'un groupe d'adresses. En conséquence, un hôte est tracé à sa propre adresse IP traduite et deux hôtes ne peuvent pas partager la même adresse IP traduite.
Afin d'accomplir ceci, vous devez sélectionner la vraie adresse des hôtes/des réseaux pour donner l'accès et ils alors doivent être tracés à un groupe d'adresses IP traduites.
Terminez-vous ces étapes afin de permettre à des hôtes internes l'accès aux réseaux extérieurs avec NAT :
C'est le CLI équivalent sorti pour cette configuration ASDM :
object network obj-my-range
range 203.0.113.10 203.0.113.20
object network obj_172.16.11.0
subnet 172.16.11.0 255.255.255.0
nat(inside,outside) dynamic obj-my-range
Selon cette configuration, les hôtes dans le réseau de 172.16.11.0 obtiendront traduit à n'importe quelle adresse IP du groupe NAT, 203.0.113.10 - 203.0.113.20. Si le groupe tracé a moins d'adresses que le vrai groupe, vous pourriez manquer d'adresses. En conséquence, vous pourriez essayer d'implémenter NAT dynamique avec PAT dynamique de sauvegarde ou vous pourriez essayer de développer le groupe existant.
C'est le CLI équivalent sorti pour cette configuration ASDM :
object network obj-my-range
range 203.0.113.10 203.0.113.20
object network obj-pat-ip
host 203.0.113.21
object-group network nat-pat-group
network-object object obj-my-range
network-object object obj-pat-ip
object network obj_172.16.11.0
subnet 172.16.11.0 255.255.255.0
nat (inside,outside) dynamic nat-pat-group
Ceci peut être réalisé par l'application d'une traduction NAT statique et d'une règle d'accès de permettre ces hôtes. Vous êtes requis de configurer ceci toutes les fois qu'un utilisateur externe voudrait accéder à n'importe quel serveur qui se repose dans votre réseau interne. Le serveur dans le réseau interne aura une adresse IP privée qui n'est pas routable sur l'Internet. En conséquence, vous devez traduire cette adresse IP privée à une adresse IP publique par une règle NAT statique. Supposez que vous avez un serveur interne (172.16.11.5). Afin de faire ce travail, vous devez traduire cette adresse IP du serveur privée à une adresse IP publique. Cet exemple décrit comment implémenter le NAT statique bidirectionnel pour traduire 172.16.11.5 à 203.0.113.5.
C'est le CLI équivalent sorti pour cette configuration NAT :
object network obj_172.16.11.5
host 172.16.11.5
nat (inside,outside) static 203.0.113.5
Exempt NAT est une fonctionnalité utile où l'essai intérieur d'utilisateurs en accéder à un hôte/serveur ou du distant VPN hébergent/serveurs hébergés derrière n'importe quelle autre interface de l'ASA sans fin d'un NAT. Afin de réaliser ceci, le serveur interne, qui a une adresse IP privée, sera identité traduite à elle-même et qui consécutivement est permis pour accéder à la destination qui exécute un NAT.
Dans cet exemple, l'hôte interne 172.16.11.15 doit accéder au serveur VPN distant 172.20.21.15.
Terminez-vous ces étapes afin de permettre à des hôtes internes l'accès au réseau VPN distant avec la fin d'un NAT :
C'est le CLI équivalent sorti pour le NAT configuration NAT exemptent ou d'identités :
object network obj_172.16.11.15
host 172.16.11.15
object network obj_172.20.21.15
host 172.20.21.15
nat (inside,outside) source static obj_172.16.11.15 obj_172.16.11.15
destination static obj_172.20.21.15 obj_172.20.21.15 no-proxy-arp route-lookup
La transmission du port ou la redirection de port est une fonctionnalité utile où l'essai d'utilisateurs externes accéder à un serveur interne sur un port spécifique. Afin de réaliser ceci, le serveur interne, qui a une adresse IP privée, sera traduit à une adresse IP publique qui consécutivement est permis l'accès pour le port spécifique.
Dans cet exemple, l'utilisateur externe veut accéder au serveur SMTP, 203.0.115.15 au port 25. Ceci est accompli dans deux étapes :
Quand les essais d'utilisateur externe pour accéder au serveur, 203.0.115.15 au port 25, ce trafic est réorientés au serveur de messagerie interne, 172.16.11 15 au port 25.
C'est le CLI équivalent sorti pour cette configuration NAT :
object network obj_172.16.11.15
host 172.16.11.15
nat (inside,outside) static 203.0.115.15 service tcp smtp smtp
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
L'analyseur de Cisco CLI (clients enregistrés seulement) prend en charge certaines commandes show. Employez l'analyseur de Cisco CLI afin de visualiser une analyse de sortie de commande show.
Accédez à un site Web par l'intermédiaire du HTTP avec un navigateur Web. Cet exemple utilise un site qui est hébergé chez 198.51.100.100. Si la connexion est réussie, cette sortie peut être vue sur l'ASA CLI.
ASA(config)# show connection address 172.16.11.5
6 in use, 98 most used
TCP outside 198.51.100.100:80 inside 172.16.11.5:58799, idle 0:00:06, bytes 937,
flags UIO
L'ASA est un pare-feu dynamique, et le trafic de retour du web server est permis de retour par le Pare-feu parce qu'il apparie une connexion dans la table de connexion de Pare-feu. Trafiquez qu'apparie une connexion qui préexiste est autorisée par le Pare-feu sans être bloqué par un ACL d'interface.
Dans la sortie précédente, le client sur l'interface interne a établi une connexion à l'hôte de 198.51.100.100 hors fonction de l'interface extérieure. Ce rapport est établi avec le protocole TCP et a été de veille pendant six secondes. Les indicateurs de connexion indiquent l'état actuel de cette connexion. Plus d'informations sur des indicateurs de connexion peuvent être trouvées dans des indicateurs de connexion TCP ASA.
ASA(config)# show log | in 172.16.11.5
Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
172.16.11.5/58799 to outside:203.0.113.2/58799
Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:172.16.11.5/58799 (203.0.113.2/58799)
Le Pare-feu ASA génère des Syslog pendant le fonctionnement normal. Les Syslog s'étendent dans la verbosité basée sur la configuration de journalisation. La sortie affiche deux Syslog qui sont vus au niveau six, ou le de niveau « informationnel ».
Dans cet exemple, il y a deux Syslog générés. Le premier est un message de log qui indique que le Pare-feu a établi une traduction, spécifiquement une traduction dynamique de TCP (PAT). Il indique l'adresse IP source et le port et l'adresse IP et le port traduits pendant que le trafic traverse de l'intérieur aux interfaces extérieures.
Le deuxième Syslog indique que le Pare-feu a établi une connexion dans sa table de connexion pour ce trafic spécifique entre le client et serveur. Si le Pare-feu était configuré afin de bloquer cette tentative de connexion, ou un autre facteur empêchait la création de cette connexion (des contraintes de ressource ou une mauvaise configuration possible), le Pare-feu ne génèrerait pas un log qui indique que la connexion a été établie. Au lieu de cela il se connecterait une raison pour que la connexion soit refusée ou une indication au sujet de quel facteur a empêché la connexion de l'création.
ASA(config)# packet-tracer input inside tcp 172.16.11.5 1234 198.51.100.100 80
--Omitted--
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
La fonctionnalité de traceur de paquet sur l'ASA te permet pour spécifier un paquet simulé et pour voir tous les divers étapes, contrôles, et fonctions par lesquelles le Pare-feu passe quand il traite le trafic. Avec cet outil, il est utile d'identifier un exemple du trafic que vous croyez devriez être laissé traverser le Pare-feu, et l'utilise que 5-tupple afin de simuler le trafic. Dans l'exemple précédent, le traceur de paquet est utilisé afin de simuler une tentative de connexion qui répond à ces critères :
Notez qu'il n'y avait aucune mention de l'interface dehors dans la commande. C'est par conception de traceur de paquet. L'outil vous indique comment les processus de Pare-feu qui type de tentative de connexion, qui inclut comment elle la conduirait, et hors de quelle interface. Plus d'informations sur le traceur de paquet peuvent être trouvées en paquets de suivi avec Packet Tracer.
Appliquez la capture
ASA# capture capin interface inside match tcp host 172.16.11.5 host 198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100
ASA#show capture capin
3 packets captured
1: 11:31:23.432655 172.16.11.5.58799 > 198.51.100.100.80: S 780523448:
780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712518 198.51.100.100.80 > 172.16.11.5.58799: S 2123396067:
2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712884 172.16.11.5.58799 > 198.51.100.100.80: . ack 2123396068
win 32768
ASA#show capture capout
3 packets captured
1: 11:31:23.432869 203.0.113.2.58799 > 198.51.100.100.80: S 1633080465:
1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712472 198.51.100.100.80 > 203.0.113.2.58799: S 95714629:
95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712914 203.0.113.2.58799 > 198.51.100.100.80: . ack 95714630
win 32768/pre>
Le Pare-feu ASA peut capturer le trafic qui écrit ou laisse ses interfaces. Cette fonctionnalité de capture est fantastique parce qu'elle peut définitivement prouver si le trafic arrive à, ou des feuilles de, un Pare-feu. L'exemple précédent a affiché la configuration de deux captures nommées capin et capout sur les interfaces internes et externes respectivement. Les ordres de capture ont utilisé le mot clé de correspondance, qui te permet pour être spécifique au sujet de quel trafic vous voulez capturer.
Pour le capin de capture, vous avez indiqué que vous avez voulu apparier le trafic vu sur l'interface interne (d'entrée ou de sortie) cet hôte 198.51.100.100 de 172.16.11.5 d'hôte TCP de correspondances. En d'autres termes, vous voulez capturer n'importe quel trafic TCP qui est envoyé de l'hôte 172.16.11.5 pour héberger 198.51.100.100 ou vice versa. L'utilisation du mot clé de correspondance permet au Pare-feu pour capturer ce trafic bidirectionnel. L'ordre de capture défini pour l'interface extérieure ne met pas en référence l'adresse IP de client interne parce que les attitudes PAT de Pare-feu sur cette adresse IP de client. En conséquence, vous ne pouvez pas être assortie avec cette adresse IP de client. Au lieu de cela, cet exemple en emploie afin d'indiquer que toutes les adresses IP possibles apparieraient cette condition.
Après que vous configuriez les captures, vous tenteriez alors d'établir une connexion de nouveau, et poursuivez pour visualiser les captures avec la commande de <capture_name> de show capture. Dans cet exemple, vous pouvez voir que le client pouvait se connecter au serveur comme évident par la prise de contact à trois voies de TCP vue dans les captures.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.