تكوين HairPin على ASA

المقدمة

يصف هذا المستند الخطوات اللازمة لتكوين علامة تعريف بنجاح على جهاز أمان قابل للتكيف (ASA) من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين NAT على ASA
• تكوين قائمة التحكم في الوصول على ASA

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• برنامج جهاز الأمان القابل للتكيف من Cisco، الإصدار 9.18(4)22

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

ترجمة عنوان الشبكة (NAT)، المعروفة أيضا باسم انعكاس NAT أو الاسترجاع NAT، هي تقنية تستخدم في توجيه الشبكة حيث يمكن لجهاز على الشبكة الخاصة الوصول إلى جهاز آخر على الشبكة الخاصة نفسها عبر عنوان IP عام.

يتم إستخدام هذا عند إستضافة خادم خلف موجه، وتريد تمكين الأجهزة الموجودة على نفس الشبكة المحلية الخاصة بالخادم للوصول إليها باستخدام عنوان IP العام (العنوان الذي تم تعيينه للموجه من قبل موفر خدمة الإنترنت) تماما كما هو الحال بالنسبة لأي جهاز خارجي.

يتم إستخدام مصطلح شرطة لأن حركة المرور من العميل تجعلها إلى الموجه (أو جدار الحماية الذي ينفذ NAT) ثم يتم إرجاعها مرة أخرى كدبوس شعر إلى الشبكة الداخلية بعد الترجمة للوصول إلى عنوان IP الخاص للخادم.

على سبيل المثال، لديك خادم ويب على الشبكة المحلية له عنوان IP خاص. أنت تريد الوصول إلى هذا الخادم باستخدام عنوان IP العام أو اسم المجال الذي يحل إلى عنوان IP العام، حتى عندما تكون على الشبكة المحلية نفسها.

بدون NAT ل HairPin، لن يفهم الموجه هذا الطلب لأنه يتوقع أن تأتي طلبات عنوان IP العام من خارج الشبكة.

يحل NAT للسماكة هذه المشكلة عن طريق السماح للموجه بالتعرف على أنه، على الرغم من أنه يتم تقديم الطلب إلى IP عام، فإنه يحتاج إلى توجيهه إلى جهاز على الشبكة المحلية.

الرسم التخطيطي للشبكة

التكوينات

الخطوة 1. إنشاء الكائنات

• الشبكة الداخلية:192.168.14.10
• خادم الويب: 192.168.14.25
• خادم الويب العام: 10.88.243.25
• المنفذ: 80

ciscoasa(config)# object network Local_Client
ciscoasa(config-network-object)# host 192.168.14.10
ciscoasa(config)# object network Web_Server
ciscoasa(config-network-object)# host 192.168.14.25
ciscoasa(config)# object network P_Web_Server
ciscoasa(config-network-object)# host 10.88.243.25
ciscoasa(config)# object service HTTP
ciscoasa(config-service-object)# service tcp destination eq 80

الخطوة 2. إنشاء NAT

ciscoasa(config-service-object)# nat (Inside,Inside) source dynamic Local_Client interface destination static P_Web_Server Web_Server service HTTP HTTP

التحقق من الصحة

من العميل المحلي يتم telnet غاية IP مع de غاية ميناء:

إذا انتهت مهلة هذه الرسالة "telnet غير قادر على الاتصال بالمضيف البعيد: الاتصال"، فقد حدث خطأ عند نقطة ما أثناء التكوين.

ولكن إذا كان يقول متصلا، فإنه يعمل!

استكشاف الأخطاء وإصلاحها

إذا كنت تواجه مشاكل مع ترجمة عنوان الشبكة (NAT)، فاستخدم هذا الدليل خطوة بخطوة لاستكشاف الأخطاء وإصلاحها وحل المشاكل الشائعة.

الخطوة 1: التحقق من تكوين قواعد NAT

• راجع قواعد NAT: تأكد من تكوين جميع قواعد NAT بشكل صحيح. فحصت أن المصدر والوجهة عنوان، as well as ميناء، دقيق.
• تعيين الواجهة: تأكد من تعيين كل من واجهات المصدر والوجهة بشكل صحيح في قاعدة NAT. قد يؤدي التعيين غير الصحيح إلى عدم ترجمة حركة المرور أو توجيهها بشكل صحيح.
• أولوية قاعدة NAT: تحقق من أولوية قاعدة NAT أعلى من أي قاعدة أخرى قد تطابق حركة المرور نفسها. تتم معالجة القواعد بالترتيب التسلسلي، لذلك القاعدة الأعلى لها الأولوية.

الخطوة 2: التحقق من قواعد التحكم في الوصول (ACL)

• مراجعة قوائم التحكم في الوصول (ACL): تحقق من قوائم التحكم في الوصول للتأكد من أنها مناسبة للسماح بحركة المرور NAT. يجب تكوين قوائم التحكم في الوصول (ACL) للتعرف على عناوين IP المترجمة.
• ترتيب القواعد: تأكد من أن قائمة التحكم في الوصول بالترتيب الصحيح. مثل قواعد NAT، تتم معالجة قوائم التحكم في الوصول (ACL) من الأعلى إلى الأسفل، والقاعدة الأولى التي تطابق حركة المرور هي التي يتم تطبيقها.
• أذونات حركة المرور: تحقق من وجود قائمة تحكم وصول مناسبة للسماح بحركة المرور من الشبكة الداخلية إلى الوجهة المترجمة. إذا كانت إحدى القواعد مفقودة أو تم تكوينها بشكل غير صحيح، يمكن حظر حركة المرور المطلوبة.

الخطوة 3: التشخيصات الإضافية

• إستخدام أدوات التشخيص: إستخدام أدوات التشخيص المتوفرة لمراقبة حركة مرور البيانات التي تمر عبر الجهاز وتصحيح أخطائها. ويتضمن ذلك عرض سجلات الوقت الفعلي وأحداث الاتصال.
• إعادة تشغيل الاتصالات: في بعض الحالات، لا تتعرف الاتصالات الموجودة على التغييرات التي تم إجراؤها على قواعد NAT أو قوائم التحكم في الوصول (ACL) حتى يتم إعادة تشغيلها. فكر في مسح الاتصالات الموجودة لإجبار القواعد الجديدة على تطبيقها.

ciscoasa(config)# clear xlate

• دققت ترجمة: يستعمل أمر مثل عرض xlate وعرض nat على الأمر خط إن أنت تعمل مع أداة أن يدقق أن nat ترجمة يكون أنجزت كما هو متوقع.

ciscoasa(config)# show xlate

ciscoasa(config)# show nat