تكوين NAT 64 على جدار الحماية الآمن المدار من قبل FMC

خيارات التنزيل

  • PDF     (936.0 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (761.8 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (653.2 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١١ أغسطس ٢٠٢٣
معرّف المستند:220726

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين NAT64 على الدفاع ضد تهديد FirePOWER (FTD) المدار بواسطة مركز إدارة طاقة الحريق (FMC).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة حول الدفاع الآمن عن تهديد جدار الحماية ومركز إدارة جدار الحماية الآمن.

    المكونات المستخدمة

    • مركز إدارة Firepower 7. 0. 4.
    • برنامج الدفاع ضد تهديد Firepower 7. 0. 4.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    الرسم التخطيطي للشبكة

    Network Diagram

    تكوين كائنات الشبكة

    •  كائن شبكة IPv6 للإشارة إلى الشبكة الفرعية الداخلية لعميل IPv6. 

        على واجهة المستخدم الرسومية FMC، انتقل إلى كائنات > إدارة الكائن > تحديد شبكة من القائمة اليسرى > إضافة شبكة > إضافة كائن.

       

    على سبيل المثال، يتم إنشاء كائن الشبكة المحلي_IPv6_subnet باستخدام الشبكة الفرعية FC00:0:1:/96 لبروتوكول IPv6.

    Edit Network Object

    • كائن شبكة IPv4 لترجمة عملاء IPv6 إلى IPv4.

       في واجهة المستخدم الرسومية FMC، انتقل إلى كائنات > إدارة الكائن > تحديد شبكة من القائمة اليسرى > إضافة شبكة > إضافة مجموعة.

    على سبيل المثال، يتم إنشاء كائن الشبكة 6_mapped_to_4 باستخدام مضيف IPv4 192.168.0.107.

    طبقا لمقدار الأجهزة المضيفة ل IPv6 التي سيتم تعيينها في IPv4، يمكنك إستخدام شبكة كائن واحد، أو مجموعة شبكة مع العديد من IPv4، أو مجرد NAT إلى واجهة المخرج.

    Add New Network Group

    • كائن شبكة IPv4 للإشارة إلى مضيفي IPv4 الخارجيين على الإنترنت.

        على واجهة المستخدم الرسومية FMC، انتقل إلى كائنات > إدارة الكائن > تحديد شبكة من القائمة اليسرى > إضافة شبكة > إضافة كائن.

    على سبيل المثال، يتم إنشاء كائن الشبكة Any_IPv4 باستخدام الشبكة الفرعية ل IPv4 0.0.0.0/0.

    IPv4 Outside Network

    • كائن شبكة IPv6 لترجمة مضيف IPv4 الخارجي إلى مجال IPv6 الخاص بنا.

        على واجهة المستخدم الرسومية FMC، انتقل إلى كائنات > إدارة الكائن > تحديد شبكة من القائمة اليسرى > إضافة شبكة > إضافة كائن.

    على سبيل المثال، يتم إنشاء كائن الشبكة 4_mapped_to_6 باستخدام الشبكة الفرعية IPv6 FC00:0:0:F:/96.

    IPv6 Internal Mapped

    تكوين الواجهات على FTD ل IPv4/IPv6

    انتقل إلى الأجهزة > إدارة الأجهزة > تحرير FTD > الواجهات وتكوين الواجهات الداخلية والخارجية.

    مثال:

        واجهة إيثرنت 1/1 

        الاسم: من الداخل

        Security Zone: Inside_Zone 

        إذا لم يتم إنشاء منطقة الأمان، يمكنك إنشاؤها في القائمة المنسدلة منطقة الأمان > جديد.

        عنوان IPv6: FC00:0:0:1::1/96

    Inside Interface

    IPv6 Interface Configuration

    IPv6 Interface Configuration 2

        واجهة إيثرنت 1/2 

        الاسم: خارج

        المنطقة الأمنية: خارج_zone 

        إذا لم يتم إنشاء منطقة الأمان، يمكنك إنشاؤها في القائمة المنسدلة منطقة الأمان > جديد.

        عنوان IPv4: 192.168.0.106/24

    Outside Interface

    IPv4 Interface Configuration

    تكوين المسار الافتراضي

    انتقل إلى الأجهزة > إدارة الأجهزة > تحرير FTD > التوجيه > التوجيه الثابت > إضافة مسار.

    على سبيل المثال، المسار الثابت الافتراضي على الواجهة الخارجية مع البوابة 192.168.0.254.

    Gateway

    Default Route

    تكوين سياسة NAT 

    على واجهة المستخدم الرسومية FMC، انتقل إلى الأجهزة > NAT > سياسة جديدة > NAT للدفاع عن التهديد وأنشئ سياسة nat.

    على سبيل المثال، يتم إنشاء نهج NAT FTD_NAT_POLICY وتخصيصه لاختبار FTD FTD_LAB.

    NAT Policy

    تكوين قواعد NAT

    NAT الصادر. 

    على واجهة المستخدم الرسومية FMC، انتقل إلى الأجهزة > NAT > تحديد سياسة NAT > إضافة قاعدة وإنشاء قاعدة NAT لترجمة شبكة IPv6 الداخلية إلى تجمع IPv4 خارجي. 

    على سبيل المثال، تتم ترجمة كائن الشبكة المحلي_IPv6_subnet ديناميكيا إلى كائن الشبكة 6_mapped_to_4.

    قاعدة nat: قاعدة nat التلقائية

    النوع: ديناميكي

    كائنات واجهة المصدر: inside_zone

    كائنات الواجهة الوجهة: outside_zone

    المصدر الأصلي: Local_IPv6_subnet

    المصدر المترجم: 6_mapped_to_4

    NAT Rule Zone

    NAT Rule Networks

    NAT الوارد.

    على واجهة المستخدم الرسومية FMC، انتقل إلى الأجهزة > NAT > تحديد سياسة NAT > إضافة قاعدة وإنشاء قاعدة NAT لترجمة حركة مرور IPv4 الخارجية إلى تجمع شبكة IPv6 داخلي. وهذا يسمح بالاتصال الداخلي بشبكة IPv6 الفرعية المحلية لديك. 

    بالإضافة إلى ذلك، قم بتمكين إعادة كتابة DNS على هذه القاعدة حتى يمكن تحويل الردود من خادم DNS الخارجي من سجلات (IPv4) إلى AAA (IPv6).

    على سبيل المثال، تتم ترجمة Any_IPv4 خارج الشبكة بشكل ثابت إلى الشبكة الفرعية IPv6 2100:6400:/96 المحددة في الكائن 4_mapped_to_6.

    قاعدة NAT: قاعدة NAT التلقائية

    النوع: ثابت

    كائنات الواجهة المصدر: outside_zone

    كائنات الواجهة الوجهة: inside_zone

    المصدر الأصلي: Any_IPv4

    المصدر المترجم: 4_mapped_to_6

    ترجمة ردود DNS التي تطابق هذه القاعدة: نعم (تمكين خانة الاختيار)

    NAT Rule 2 Zone

    NAT Rule 2 Network

    NAT Rule 2 Advanced Options

    Final NAT Policy

    تابع نشر التغييرات على FTD.

    التحقق

    • عرض أسماء الواجهة وتكوين IP.
    > show nameif
    Interface Name Security
    Ethernet1/1 inside 0
    Ethernet1/2 Outside 0

    > show ipv6 interface brief

    inside [up/up]
    fe80::12b3:d6ff:fe20:eb48
    fc00:0:0:1::1


    > show ip
    System IP Addresses:
    Interface    Name      IP address     Subnet mask 
    Ethernet1/2  Outside   192.168.0.106  255.255.255.0
    • تأكيد اتصال IPv6 من واجهة FTD الداخلية للعميل.

    مضيف IPv6 داخلي IP FC00:0:1::100.

    FTD Inside Interface fc00:0:1::1.

    > ping fc00:0:0:1::100
    Please use 'CTRL+C' to cancel/abort...
    Sending 5, 100-byte ICMP Echos to fc00:0:0:1::100, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    • عرض تكوين NAT على واجهة سطر الأوامر (CLI) الخاصة ب FTD.
    > show running-config nat
    !
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    • التقاط حركة المرور.

    على سبيل المثال، يعد التقاط حركة مرور البيانات من المضيف الداخلي للإصدار السادس من بروتوكول الإنترنت (IP) المتوافق مع المعيار FC00:0:1::100 إلى خادم DNS هو FC00::f:0:0:ac10:a64 UDP 53.

    هنا، يكون خادم DNS الوجهة هو fc00::f:0:0:ac10:a64. آخر 32 بت هي ac10:0a64. هذه وحدات بت هي مكافئة للنظام الثماني لكل نظام ثماني ل 172،16،10،100. يترجم جدار الحماية من 6 إلى 4 خادم DNS ل IPv6 القناة الليفية 00::f:0:0:ac10:a64 إلى ما يعادله من IPv4 172.16.10.100.

    > capture test interface inside trace match udp host fc00:0:0:1::100 any6 eq 53


    > show capture test 
    2 packets captured
     1: 00:35:13.598052 fc00:0:0:1::100.61513 > fc00::f:0:0:ac10:a64.53: udp  
     2: 00:35:13.638882 fc00::f:0:0:ac10:a64.53 > fc00:0:0:1::100.61513: udp  


    > show capture test packet-number 1

    [...]
    Phase: 3
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    Additional Information:
    NAT divert to egress interface Outside(vrfid:0)
    Untranslate fc00::f:0:0:ac10:a64/53 to 172.16.10.100/53 <<<< Destination NAT

    [...]
    Phase: 6
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    Additional Information:
    Dynamic translate fc00:0:0:1::100/61513 to 192.168.0.107/61513 <<<<<<<< Source NAT


    > capture test2 interface Outside trace match udp any any eq 53

    2 packets captured

     1: 00:35:13.598152 192.168.0.107.61513 > 172.16.10.100.53: udp 
     2: 00:35:13.638782 172.16.10.100.53 > 192.168.0.107.61513: udp



    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    11-Aug-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Benjamin Cabrera Romero
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات