Ejemplo de configuración de PAT dinámica de ASA 8.3(x) con dos redes internas e Internet

Opciones de descarga

  • PDF     (702.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (608.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:9 de marzo de 2010
ID del documento:111842

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona una configuración de ejemplo de PAT dinámica en un Cisco Adaptive Security Appliance (ASA) que ejecuta la versión de software 8.3(1). La PAT dinámica traduce múltiples direcciones reales a una sola dirección IP asignada mediante la traducción de la dirección de origen real y el puerto de origen a la dirección asignada y al puerto asignado único. Cada conexión requiere una sesión de traducción independiente porque el puerto de origen es diferente para cada conexión.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Asegúrese de que la red interna tenga dos redes ubicadas en el interior del ASA:

    • 192.168.0.0/24: red conectada directamente al ASA.

    • 192.168.1.0/24: red dentro del ASA, pero detrás de otro dispositivo (por ejemplo, un router).

  • Asegúrese de que los usuarios internos obtienen PAT de la siguiente manera:

    • Los hosts en la subred 192.168.1.0/24 obtendrán PAT a una dirección IP de repuesto dada por el ISP (10.1.5.5).

    • Cualquier otro host detrás del interior del ASA obtendrá PAT a la dirección IP de la interfaz exterior del ASA (10.1.5.1).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Adaptive Security Appliance (ASA) con versión 8.3(1)

  • ASDM versión 6.3(1)

Nota: Consulte Cómo Permitir el Acceso HTTPS para ASDM para permitir que el ASA sea configurado por el ASDM.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones del documento.

Configuración

Diagrama de la red

En este documento, se utiliza esta configuración de red:

asa-dynamic-pat-01.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.leavingcisco.com

Configuración CLI ASA

Este documento usa las configuraciones detalladas a continuación.

Configuración de PAT dinámica de ASA 
ASA#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.


!--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.1.5.1), for internet bound traffic.


ASA(config)#object network OBJ_GENERIC_ALL
ASA(config-obj)#subnet 0.0.0.0 0.0.0.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface


!--- The above statements are the equivalent of the !--- nat/global combination (as shown below) in v7.0(x), !--- v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code:


nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface



!--- Creates an object called OBJ_SPECIFIC_192-168-1-0. !--- Any host IP facing the the ‘inside’ interface of the ASA !--- with an address in the 192.168.1.0/24 subnet will get PAT !--- to the 10.1.5.5 address, for internet bound traffic.


ASA(config)#object network OBJ_SPECIFIC_192-168-1-0
ASA(config-obj)#subnet 192.168.1.0 255.255.255.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5


!--- The above statements are the equivalent of the nat/global !--- combination (as shown below) in v7.0(x), v7.1(x), v7.2(x), v8.0(x), !--- v8.1(x) and v8.2(x) ASA code:


nat (inside) 2 192.168.1.0 255.255.255.0
global (outside) 2 10.1.5.5

Configuración en ejecución de ASA 8.3(1) 
ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- Configure the outside interface.

!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.1.5.1 255.255.255.0

!--- Configure the inside interface.

!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
boot system disk0:/asa831-k8.bin

ftp mode passive

object network OBJ_SPECIFIC_192-168-1-0 
 subnet 192.168.1.0 255.255.255.0
object network OBJ_GENERIC_ALL 
 subnet 0.0.0.0 0.0.0.0

pager lines 24
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-631.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5

route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 10.1.5.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

Configuración de ASDM

Para completar esta configuración a través de la interfaz ASDM, debe:

  1. Agregue tres objetos de red; en este ejemplo se agregan estos objetos de red:

    • OBJ_GENERIC_ALL

    • OBJ_SPECIFIC_192-168-1-0

    • 10.1.5.5

  2. Cree dos reglas NAT/PAT; este ejemplo crea reglas NAT para estos objetos de red:

    • OBJ_GENERIC_ALL

    • OBJ_SPECIFIC_192-168-1-0

Agregar objetos de red

Complete estos pasos para agregar objetos de red:

  1. Inicie sesión en ASDM y elija Configuration > Firewall > Objects > Network Objects/Groups.

    asa-dynamic-pat-02.gif

  2. Elija Add > Network Object para agregar un objeto de red.

    asa-dynamic-pat-03.gif

    Aparecerá el cuadro de diálogo Agregar objeto de red.

    asa-dynamic-pat-04.gif

  3. Introduzca esta información en el cuadro de diálogo Agregar objeto de red:

    • Nombre del objeto de red. (Este ejemplo utiliza OBJ_GENERIC_ALL.)

    • Tipo de objeto de red. (En este ejemplo se utiliza Network.)

    • Dirección IP del objeto de red. (Este ejemplo utiliza 0.0.0.0.)

    • Máscara de red para el objeto de red. (Este ejemplo utiliza 0.0.0.0.)

  4. Click OK.

    Se crea el objeto de red y aparece en la lista Network Objects/Groups (Objetos/Grupos de red), como se muestra en esta imagen:

    asa-dynamic-pat-05.gif

  5. Repita los pasos anteriores para agregar un segundo objeto de red y haga clic en Aceptar.

    Este ejemplo utiliza estos valores:

    • Nombre: OBJ_SPECIFIC_192-168-1-0

    • Tipo: Red

    • Dirección IP: 192.168.1.0

    • Máscara de red: 255.255.255.0

    asa-dynamic-pat-06.gif

    El segundo objeto se crea y aparece en la lista Network Objects/Groups (Objetos/Grupos de red), como se muestra en esta imagen:

    asa-dynamic-pat-07.gif

  6. Repita los pasos anteriores para agregar un tercer objeto de red y haga clic en Aceptar.

    Este ejemplo utiliza estos valores:

    • Nombre: 10.1.5.5

    • Tipo: Host

    • Dirección IP: 10.1.5.5

    asa-dynamic-pat-08.gif

    Se crea el tercer objeto de red y aparece en la lista Network Objects/Groups (Objetos/grupos de red).

    asa-dynamic-pat-09.gif

    La lista Network Objects/Groups (Objetos/Grupos de red) ahora debe incluir los tres objetos necesarios para que las reglas NAT hagan referencia.

Crear reglas NAT/PAT

Complete estos pasos para crear reglas NAT/PAT:

  1. Cree la primera regla NAT/PAT:

    1. En ASDM, elija Configuration > Firewall > NAT Rules, y haga clic en Add.

      asa-dynamic-pat-10.gif

      Aparece el cuadro de diálogo Agregar regla NAT.

      asa-dynamic-pat-11.gif

    2. En el área Criterios de coincidencia: Paquete original del cuadro de diálogo Agregar regla NAT, elija interior en la lista desplegable Interfaz de origen.

      asa-dynamic-pat-12.gif

    3. Haga clic en el botón Examinar (...) situado a la derecha del campo de texto Dirección de origen.

      Aparecerá el cuadro de diálogo Examinar dirección de origen original.

      asa-dynamic-pat-13.gif

    4. En el cuadro de diálogo Examinar dirección de origen original, elija el primer objeto de red que haya creado. (Para este ejemplo, elija OBJ_GENERIC_ALL.)

    5. Haga clic en Original Source Address, y haga clic en OK.

      El objeto de red OBJ_GENERIC_ALL aparece ahora en el campo Dirección de Origen del área Criterios de Coincidencia: Paquete Original del cuadro de diálogo Agregar Regla NAT.

      asa-dynamic-pat-14.gif

    6. En el área Acción: paquete traducido del cuadro de diálogo Agregar regla NAT, elija PAT dinámica (Ocultar) en el cuadro de diálogo Tipo de NAT de origen.

      asa-dynamic-pat-15.gif

    7. Haga clic en el botón Examinar (...) situado a la derecha del campo Dirección de origen.

      asa-dynamic-pat-16.gif

      Aparecerá el cuadro de diálogo Examinar dirección de origen traducida.

      asa-dynamic-pat-17.gif

    8. En el cuadro de diálogo Examinar dirección de origen traducida, elija el objeto de interfaz externa. (Esta interfaz ya se ha creado porque forma parte de la configuración original.)

    9. Haga clic en Dirección de Origen Traducida, y haga clic en Aceptar.

      La interfaz externa ahora aparece en el campo Dirección de Origen en el área Acción: Paquete Traducido en el cuadro de diálogo Agregar Regla NAT.

      asa-dynamic-pat-18.gif

      Nota: El campo Destination Interface (Interfaz de destino) también cambia a la interfaz externa.

    10. Verifique que la primera regla PAT completada aparece de la siguiente manera:

      En el área Criterios de coincidencia: Paquete original, verifique estos valores:

      • Interfaz de origen = interna

      • Dirección de Origen = OBJ_GENERIC_ALL

      • Dirección de destino = cualquiera

      • Servicio = cualquiera

      En el área Acción: paquete traducido, verifique estos valores:

      • Tipo de NAT de origen = PAT dinámica (ocultar)

      • Dirección de origen = externa

      • Dirección de destino = Original

      • Servicio = Original

    11. Click OK.

      La primera regla NAT aparece en ASDM, como se muestra en esta imagen:

      asa-dynamic-pat-19.gif

  2. Cree la segunda regla NAT/PAT:

    1. En ASDM, elija Configuration > Firewall > NAT Rules, y haga clic en Add.

    2. En el área Criterios de coincidencia: Paquete original del cuadro de diálogo Agregar regla NAT, elija interior en la lista desplegable Interfaz de origen.

    3. Haga clic en el botón Examinar (...) situado a la derecha del campo Dirección de origen.

      Aparecerá el cuadro de diálogo Examinar dirección de origen original.

      asa-dynamic-pat-20.gif

    4. En el cuadro de diálogo Examinar dirección de origen original, elija el segundo objeto que ha creado. (Para este ejemplo, elija OBJ_SPECIFIC_192-168-1-0.)

    5. Haga clic en Original Source Address, y haga clic en OK.

      El objeto de red OBJ_SPECIFIC_192-168-1-0 aparece en el campo Dirección de Origen del área Criterios de Coincidencia: Paquete Original del cuadro de diálogo Agregar Regla NAT.

    6. En el área Acción: paquete traducido del cuadro de diálogo Agregar regla NAT, elija PAT dinámica (Ocultar) en el cuadro de diálogo Tipo de NAT de origen.

    7. Haga clic en el botón ... situado a la derecha del campo Dirección de origen.

      Aparecerá el cuadro de diálogo Examinar dirección de origen traducida.

      asa-dynamic-pat-21.gif

    8. En el cuadro de diálogo Examinar dirección de origen traducida, elija el objeto 10.1.5.5. (Esta interfaz ya se ha creado porque forma parte de la configuración original).

    9. Haga clic en Dirección de origen traducida y, a continuación, haga clic en Aceptar.

      El objeto de red 10.1.5.5 aparece en el campo Dirección de Origen en el área Acción: Paquete Traducido del cuadro de diálogo Agregar Regla NAT.

    10. En el área Criterios de Coincidencia: Paquete Original, elija outside en la lista desplegable Interfaz de Destino.

      Nota: Si no elige outside para esta opción, la interfaz de destino hará referencia a Any.

      asa-dynamic-pat-22.gif

    11. Verifique que la segunda regla NAT/PAT completa aparezca de la siguiente manera:

      En el área Criterios de coincidencia: Paquete original, verifique estos valores:

      • Interfaz de origen = interna

      • Dirección de Origen = OBJ_SPECIFIC_192-168-1-0

      • Dirección de destino = externa

      • Servicio = cualquiera

      En el área Acción: paquete traducido, verifique estos valores:

      • Tipo de NAT de origen = PAT dinámica (ocultar)

      • Dirección de origen = 10.1.5.5

      • Dirección de destino = Original

      • Servicio = Original

    12. Click OK.

      La configuración NAT completa aparece en ASDM, como se muestra en esta imagen:

      asa-dynamic-pat-23.gif

  3. Haga clic en el botón Apply para aplicar los cambios a la configuración en ejecución.

Con esto finaliza la configuración de PAT dinámica en un dispositivo de seguridad adaptable (ASA) de Cisco.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Verificación de la Regla PAT Genérica

  • show local-host: muestra los estados de red de los hosts locales. 

    ASA#show local-host

   Interface outside: 1 active, 2 maximum active, 0 denied
local host: <125.252.196.170>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited

!--- The TCP connection outside address corresponds !--- to the actual destination of 125.255.196.170:80

Conn:
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, 
          idle 0:00:03, bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
          bytes 11896, flags UIO
Interface inside: 1 active, 1 maximum active, 0 denied
local host: <192.168.0.5>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited


!--- The TCP PAT outside address corresponds to the !--- outside IP address of the ASA – 10.1.5.1.


  Xlate:
    TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
          ri idle 0:00:17 timeout 0:00:30
    TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
          ri idle 0:00:17 timeout 0:00:30

  Conn:
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, 
          bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
          bytes 11896, flags UIO

  • show conn: muestra el estado de conexión para el tipo de conexión designado.

    ASA#show conn
			2 in use, 3 most used
TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:06, 
          bytes 13758, flags UIO
TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:01, 
          bytes 13526, flags UIO

  • show xlate: muestra la información sobre las ranuras de traducción.

    ASA#show xlate
	4 in use, 7 most used
Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
          T - twice
TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
          ri idle 0:00:23 timeout 0:00:30
TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
          ri idle 0:00:23 timeout 0:00:30

Verificación de una Regla PAT Específica

  • show local-host: muestra los estados de red de los hosts locales. 

    ASA#show local-host
Interface outside: 1 active, 2 maximum active, 0 denied
local host: <125.252.196.170>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited

!--- The TCP connection outside address corresponds to !--- the actual destination of 125.255.196.170:80.

Conn:
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, 
          idle 0:00:07, bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, 
          idle 0:00:03, bytes 11896, flags UIO
Interface inside: 1 active, 1 maximum active, 0 denied
local host: <192.168.0.5>,
    TCP flow count/limit = 2/unlimited
    TCP embryonic count to host = 0
    TCP intercept watermark = unlimited
    UDP flow count/limit = 0/unlimited



!--- The TCP PAT outside address corresponds to an !--- outside IP address of 10.1.5.5.

Xlate:
    TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
          ri idle 0:00:17 timeout 0:00:30
    TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/23673 flags 
          ri idle 0:00:17 timeout 0:00:30

  Conn:
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
          bytes 13758, flags UIO
    TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
          bytes 11896, flags UIO

  • show conn: muestra el estado de conexión para el tipo de conexión designado.

    ASA#show conn
2 in use, 3 most used
TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
          bytes 13653, flags UIO
TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
          bytes 13349, flags UIO

  • show xlate: muestra la información sobre las ranuras de traducción.

    ASA#show xlate
3 in use, 9 most used
Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
          T - twice
TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
          ri idle 0:00:23 timeout 0:00:30
TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/29673 flags 
          ri idle 0:00:23 timeout 0:00:30

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
09-Mar-2010
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos