Ce document fournit un exemple de configuration pour la PAT dynamique sur un dispositif de sécurité adaptatif Cisco (ASA) qui exécute la version logicielle 8.3(1). La fonction PAT dynamique traduit plusieurs adresses réelles en une adresse IP mappée unique en traduisant l'adresse source réelle et le port source en adresse mappée et en port mappé unique. Chaque connexion exige une session de traduction distincte, parce que le port éphémère diffère pour chacune d'entre elles.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Assurez-vous que le réseau interne comporte deux réseaux situés à l'intérieur de l'ASA :
192.168.0.0/24 : réseau directement connecté à l'ASA.
192.168.1.0/24 : réseau situé à l'intérieur de l'ASA, mais derrière un autre périphérique (par exemple, un routeur).
Assurez-vous que les utilisateurs internes obtiennent la PAT comme suit :
Les hôtes du sous-réseau 192.168.1.0/24 reçoivent la PAT vers une adresse IP de secours fournie par le FAI (10.1.5.5).
Tout autre hôte derrière l'intérieur de l'ASA reçoit la PAT vers l'adresse IP de l'interface externe de l'ASA (10.1.5.1).
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Appareil de sécurité adaptatif Cisco (ASA) avec version 8.3(1)
ASDM version 6.3(1)
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM afin de permettre à l'ASA d'être configuré par l'ASDM.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Reportez-vous aux Conventions relatives aux conseils techniques Cisco pour obtenir des informations sur les conventions relatives aux documents.
Ce document utilise la configuration réseau suivante :
Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.
Ce document utilise les configurations présentées ci-dessous.
Configuration PAT dynamique ASA |
---|
ASA#configure terminal Enter configuration commands, one per line. End with CNTL/Z. !--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.1.5.1), for internet bound traffic. ASA(config)#object network OBJ_GENERIC_ALL ASA(config-obj)#subnet 0.0.0.0 0.0.0.0 ASA(config-obj)#exit ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface !--- The above statements are the equivalent of the !--- nat/global combination (as shown below) in v7.0(x), !--- v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code: nat (inside) 1 0.0.0.0 0.0.0.0 global (outside) 1 interface !--- Creates an object called OBJ_SPECIFIC_192-168-1-0. !--- Any host IP facing the the ‘inside’ interface of the ASA !--- with an address in the 192.168.1.0/24 subnet will get PAT !--- to the 10.1.5.5 address, for internet bound traffic. ASA(config)#object network OBJ_SPECIFIC_192-168-1-0 ASA(config-obj)#subnet 192.168.1.0 255.255.255.0 ASA(config-obj)#exit ASA(config)#nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5 !--- The above statements are the equivalent of the nat/global !--- combination (as shown below) in v7.0(x), v7.1(x), v7.2(x), v8.0(x), !--- v8.1(x) and v8.2(x) ASA code: nat (inside) 2 192.168.1.0 255.255.255.0 global (outside) 2 10.1.5.5 |
ASA 8.3(1) avec configuration en cours |
---|
ASA#show run : Saved : ASA Version 8.3(1) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! !--- Configure the outside interface. ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.1.5.1 255.255.255.0 !--- Configure the inside interface. ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address management-only ! boot system disk0:/asa831-k8.bin ftp mode passive object network OBJ_SPECIFIC_192-168-1-0 subnet 192.168.1.0 255.255.255.0 object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0 pager lines 24 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-631.bin no asdm history enable arp timeout 14400 nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5 route inside 192.168.1.0 255.255.255.0 192.168.0.254 1 route outside 0.0.0.0 0.0.0.0 10.1.5.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.0.0 255.255.254.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f : end |
Pour effectuer cette configuration via l'interface ASDM, vous devez :
Ajoutez trois objets réseau ; cet exemple ajoute les objets réseau suivants :
OBJ_GENERIC_ALL
OBJ_SPECIFIC_192-168-1-0
10.1.5.5
Créez deux règles NAT/PAT ; cet exemple crée des règles NAT pour ces objets réseau :
OBJ_GENERIC_ALL
OBJ_SPECIFIC_192-168-1-0
Ajouter des objets réseau
Complétez ces étapes afin d'ajouter des objets réseau :
Connectez-vous à ASDM et choisissez Configuration > Firewall > Objects > Network Objects/Groups.
Choisissez Add > Network Object afin d'ajouter un objet réseau.
La boîte de dialogue Ajouter un objet réseau s'affiche.
Entrez ces informations dans la boîte de dialogue Ajouter un objet réseau :
Nom de l'objet réseau. (Cet exemple utilise OBJ_GENERIC_ALL.)
Type d'objet réseau. (Cet exemple utilise Network.)
Adresse IP de l'objet réseau. (Cet exemple utilise 0.0.0.0.)
Masque réseau de l'objet réseau. (Cet exemple utilise 0.0.0.0.)
Click OK.
L'objet réseau est créé et apparaît dans la liste Objets/Groupes réseau, comme illustré dans cette image :
Répétez les étapes précédentes afin d'ajouter un deuxième objet réseau, et cliquez sur OK.
Cet exemple utilise ces valeurs :
Nom : OBJ_SPECIFIC_192-168-1-0
Type : Réseau
Adresse IP : 192.168.1.0
Masque réseau : 255.255.255.0
Le deuxième objet est créé et apparaît dans la liste Objets/Groupes réseau, comme illustré dans cette image :
Répétez les étapes précédentes afin d'ajouter un troisième objet réseau, et cliquez sur OK.
Cet exemple utilise ces valeurs :
Nom : 10.1.5.5
Type : Hôte
Adresse IP : 10.1.5.5
Le troisième objet réseau est créé et apparaît dans la liste Objets/Groupes réseau.
La liste Objets/Groupes réseau doit désormais inclure les trois objets requis nécessaires pour que les règles NAT puissent être référencées.
Créer des règles NAT/PAT
Complétez ces étapes afin de créer des règles NAT/PAT :
Créez la première règle NAT/PAT :
Dans ASDM, choisissez Configuration > Firewall > NAT Rules, et cliquez sur Add.
La boîte de dialogue Ajouter une règle NAT s'affiche.
Dans la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT, choisissez inside dans la liste déroulante Interface source.
Cliquez sur le bouton Parcourir (...) situé à droite du champ de texte Adresse source.
La boîte de dialogue Parcourir l'adresse source d'origine apparaît.
Dans la boîte de dialogue Parcourir l'adresse source d'origine, sélectionnez le premier objet réseau que vous avez créé. (Pour cet exemple, choisissez OBJ_GENERIC_ALL.)
Cliquez sur Original Source Address, puis sur OK.
L'objet réseau OBJ_GENERIC_ALL apparaît maintenant dans le champ Adresse source de la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT.
Dans la zone Action : Translated Packet de la boîte de dialogue Add NAT Rule, choisissez Dynamic PAT (Hide) dans la boîte de dialogue Source NAT Type.
Cliquez sur le bouton Parcourir (...) situé à droite du champ Adresse source.
La boîte de dialogue Parcourir l'adresse source traduite s'affiche.
Dans la boîte de dialogue Parcourir l'adresse source traduite, sélectionnez l'objet interface externe. (Cette interface a déjà été créée car elle fait partie de la configuration d'origine.)
Cliquez sur Translated Source Address, puis sur OK.
L'interface externe apparaît désormais dans le champ Adresse source de la zone Action : Paquet traduit de la boîte de dialogue Ajouter une règle NAT.
Remarque : le champ Interface de destination se transforme également en interface externe.
Vérifiez que la première règle PAT terminée s'affiche comme suit :
Dans la zone Critères de correspondance : Paquet d'origine, vérifiez les valeurs suivantes :
Interface source = interne
Adresse source = OBJ_GENERIC_ALL
Adresse de destination = quelconque
Service = tout
Dans la zone Action : Translated Packet, vérifiez les valeurs suivantes :
Type NAT source = PAT dynamique (Masquer)
Adresse source = externe
Adresse de destination = d'origine
Service = Original
Click OK.
La première règle NAT apparaît dans l'ASDM, comme illustré dans cette image :
Créez la deuxième règle NAT/PAT :
Dans ASDM, choisissez Configuration > Firewall > NAT Rules, et cliquez sur Add.
Dans la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT, choisissez inside dans la liste déroulante Interface source.
Cliquez sur le bouton Parcourir (...) situé à droite du champ Adresse source.
La boîte de dialogue Parcourir l'adresse source d'origine apparaît.
Dans la boîte de dialogue Parcourir l'adresse source d'origine, sélectionnez le deuxième objet que vous avez créé. (Pour cet exemple, choisissez OBJ_SPECIFIC_192-168-1-0.)
Cliquez sur Original Source Address, puis sur OK.
L'objet réseau OBJ_SPECIFIC_192-168-1-0 apparaît dans le champ Adresse source de la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT.
Dans la zone Action : Translated Packet de la boîte de dialogue Add NAT Rule, choisissez Dynamic PAT (Hide) dans la boîte de dialogue Source NAT Type.
Cliquez sur le bouton ... situé à droite du champ Adresse source.
La boîte de dialogue Parcourir l'adresse source traduite s'affiche.
Dans la boîte de dialogue Parcourir l'adresse source traduite, sélectionnez l'objet 10.1.5.5. (Cette interface a déjà été créée car elle fait partie de la configuration d'origine).
Cliquez sur Translated Source Address, puis sur OK.
L'objet réseau 10.1.5.5 apparaît dans le champ Adresse source de la zone Action : Paquet traduit de la boîte de dialogue Ajouter une règle NAT.
Dans la zone Match Criteria : Original Packet, choisissez outside dans la liste déroulante Destination Interface.
Remarque : si vous ne choisissez pas outside pour cette option, l'interface de destination référencera Any.
Vérifiez que la deuxième règle NAT/PAT terminée apparaît comme suit :
Dans la zone Critères de correspondance : Paquet d'origine, vérifiez les valeurs suivantes :
Interface source = interne
Adresse source = OBJ_SPECIFIC_192-168-1-0
Adresse de destination = externe
Service = tout
Dans la zone Action : Translated Packet, vérifiez les valeurs suivantes :
Type NAT source = PAT dynamique (Masquer)
Adresse source = 10.1.5.5
Adresse de destination = d'origine
Service = Original
Click OK.
La configuration NAT terminée apparaît dans l'ASDM, comme illustré dans cette image :
Cliquez sur le bouton Apply afin d'appliquer les modifications à la configuration en cours.
La configuration de la fonction PAT dynamique sur un appareil de sécurité adaptatif Cisco (ASA) est terminée.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show local-host : affiche les états réseau des hôtes locaux.
ASA#show local-host Interface outside: 1 active, 2 maximum active, 0 denied local host: <125.252.196.170>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited !--- The TCP connection outside address corresponds !--- to the actual destination of 125.255.196.170:80 Conn: TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, bytes 11896, flags UIO Interface inside: 1 active, 1 maximum active, 0 denied local host: <192.168.0.5>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited !--- The TCP PAT outside address corresponds to the !--- outside IP address of the ASA – 10.1.5.1. Xlate: TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags ri idle 0:00:17 timeout 0:00:30 TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags ri idle 0:00:17 timeout 0:00:30 Conn: TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, bytes 11896, flags UIO
show conn : affiche l'état de la connexion pour le type de connexion désigné.
ASA#show conn 2 in use, 3 most used TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:06, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:01, bytes 13526, flags UIO
show xlate : affiche les informations relatives aux logements de traduction.
ASA#show xlate 4 in use, 7 most used Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags ri idle 0:00:23 timeout 0:00:30 TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags ri idle 0:00:23 timeout 0:00:30
show local-host : affiche les états réseau des hôtes locaux.
ASA#show local-host Interface outside: 1 active, 2 maximum active, 0 denied local host: <125.252.196.170>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited !--- The TCP connection outside address corresponds to !--- the actual destination of 125.255.196.170:80. Conn: TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, bytes 11896, flags UIO Interface inside: 1 active, 1 maximum active, 0 denied local host: <192.168.0.5>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited !--- The TCP PAT outside address corresponds to an !--- outside IP address of 10.1.5.5. Xlate: TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags ri idle 0:00:17 timeout 0:00:30 TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/23673 flags ri idle 0:00:17 timeout 0:00:30 Conn: TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, bytes 11896, flags UIO
show conn : affiche l'état de la connexion pour le type de connexion désigné.
ASA#show conn 2 in use, 3 most used TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, bytes 13653, flags UIO TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, bytes 13349, flags UIO
show xlate : affiche les informations relatives aux logements de traduction.
ASA#show xlate 3 in use, 9 most used Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags ri idle 0:00:23 timeout 0:00:30 TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/29673 flags ri idle 0:00:23 timeout 0:00:30
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
09-Mar-2010 |
Première publication |