Exemple de configuration ASA 8.3(x) Dynamic PAT avec deux réseaux internes et Internet

Introduction

Ce document fournit un exemple de configuration pour la PAT dynamique sur un dispositif de sécurité adaptatif Cisco (ASA) qui exécute la version logicielle 8.3(1). La fonction PAT dynamique traduit plusieurs adresses réelles en une adresse IP mappée unique en traduisant l'adresse source réelle et le port source en adresse mappée et en port mappé unique. Chaque connexion exige une session de traduction distincte, parce que le port éphémère diffère pour chacune d'entre elles.

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Assurez-vous que le réseau interne comporte deux réseaux situés à l'intérieur de l'ASA :

  • 192.168.0.0/24 : réseau directement connecté à l'ASA.

  • 192.168.1.0/24 : réseau situé à l'intérieur de l'ASA, mais derrière un autre périphérique (par exemple, un routeur).

• Assurez-vous que les utilisateurs internes obtiennent la PAT comme suit :

  • Les hôtes du sous-réseau 192.168.1.0/24 reçoivent la PAT vers une adresse IP de secours fournie par le FAI (10.1.5.5).

  • Tout autre hôte derrière l'intérieur de l'ASA reçoit la PAT vers l'adresse IP de l'interface externe de l'ASA (10.1.5.1).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Appareil de sécurité adaptatif Cisco (ASA) avec version 8.3(1)

• ASDM version 6.3(1)

Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM afin de permettre à l'ASA d'être configuré par l'ASDM.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Reportez-vous aux Conventions relatives aux conseils techniques Cisco pour obtenir des informations sur les conventions relatives aux documents.

Configuration

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

• Configuration de l'interface de ligne de commande ASA

• Configuration ASDM

Configuration de l'interface de ligne de commande ASA

Ce document utilise les configurations présentées ci-dessous.

ASA#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.


!--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.1.5.1), for internet bound traffic.


ASA(config)#object network OBJ_GENERIC_ALL
ASA(config-obj)#subnet 0.0.0.0 0.0.0.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface


!--- The above statements are the equivalent of the !--- nat/global combination (as shown below) in v7.0(x), !--- v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code:


nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface



!--- Creates an object called OBJ_SPECIFIC_192-168-1-0. !--- Any host IP facing the the ‘inside’ interface of the ASA !--- with an address in the 192.168.1.0/24 subnet will get PAT !--- to the 10.1.5.5 address, for internet bound traffic.


ASA(config)#object network OBJ_SPECIFIC_192-168-1-0
ASA(config-obj)#subnet 192.168.1.0 255.255.255.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5


!--- The above statements are the equivalent of the nat/global !--- combination (as shown below) in v7.0(x), v7.1(x), v7.2(x), v8.0(x), !--- v8.1(x) and v8.2(x) ASA code:


nat (inside) 2 192.168.1.0 255.255.255.0
global (outside) 2 10.1.5.5

ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- Configure the outside interface.

!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.1.5.1 255.255.255.0

!--- Configure the inside interface.

!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
boot system disk0:/asa831-k8.bin

ftp mode passive

object network OBJ_SPECIFIC_192-168-1-0 
 subnet 192.168.1.0 255.255.255.0
object network OBJ_GENERIC_ALL 
 subnet 0.0.0.0 0.0.0.0

pager lines 24
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-631.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5

route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 10.1.5.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

Configuration ASDM

Pour effectuer cette configuration via l'interface ASDM, vous devez :

1. Ajoutez trois objets réseau ; cet exemple ajoute les objets réseau suivants :

   • OBJ_GENERIC_ALL

   • OBJ_SPECIFIC_192-168-1-0

   • 10.1.5.5

2. Créez deux règles NAT/PAT ; cet exemple crée des règles NAT pour ces objets réseau :

   • OBJ_GENERIC_ALL

   • OBJ_SPECIFIC_192-168-1-0

Ajouter des objets réseau

Complétez ces étapes afin d'ajouter des objets réseau :

1. Connectez-vous à ASDM et choisissez Configuration > Firewall > Objects > Network Objects/Groups.

   

2. Choisissez Add > Network Object afin d'ajouter un objet réseau.

   

   La boîte de dialogue Ajouter un objet réseau s'affiche.

   

3. Entrez ces informations dans la boîte de dialogue Ajouter un objet réseau :

   • Nom de l'objet réseau. (Cet exemple utilise OBJ_GENERIC_ALL.)

   • Type d'objet réseau. (Cet exemple utilise Network.)

   • Adresse IP de l'objet réseau. (Cet exemple utilise 0.0.0.0.)

   • Masque réseau de l'objet réseau. (Cet exemple utilise 0.0.0.0.)

4. Click OK.

   L'objet réseau est créé et apparaît dans la liste Objets/Groupes réseau, comme illustré dans cette image :

   

5. Répétez les étapes précédentes afin d'ajouter un deuxième objet réseau, et cliquez sur OK.

   Cet exemple utilise ces valeurs :

   • Nom : OBJ_SPECIFIC_192-168-1-0

   • Type : Réseau

   • Adresse IP : 192.168.1.0

   • Masque réseau : 255.255.255.0

   

   Le deuxième objet est créé et apparaît dans la liste Objets/Groupes réseau, comme illustré dans cette image :

   

6. Répétez les étapes précédentes afin d'ajouter un troisième objet réseau, et cliquez sur OK.

   Cet exemple utilise ces valeurs :

   • Nom : 10.1.5.5

   • Type : Hôte

   • Adresse IP : 10.1.5.5

   

   Le troisième objet réseau est créé et apparaît dans la liste Objets/Groupes réseau.

   

   La liste Objets/Groupes réseau doit désormais inclure les trois objets requis nécessaires pour que les règles NAT puissent être référencées.

Créer des règles NAT/PAT

Complétez ces étapes afin de créer des règles NAT/PAT :

1. Créez la première règle NAT/PAT :

   1. Dans ASDM, choisissez Configuration > Firewall > NAT Rules, et cliquez sur Add.

      

      La boîte de dialogue Ajouter une règle NAT s'affiche.

      

   2. Dans la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT, choisissez inside dans la liste déroulante Interface source.

      

   3. Cliquez sur le bouton Parcourir (...) situé à droite du champ de texte Adresse source.

      La boîte de dialogue Parcourir l'adresse source d'origine apparaît.

      

   4. Dans la boîte de dialogue Parcourir l'adresse source d'origine, sélectionnez le premier objet réseau que vous avez créé. (Pour cet exemple, choisissez OBJ_GENERIC_ALL.)

   5. Cliquez sur Original Source Address, puis sur OK.

      L'objet réseau OBJ_GENERIC_ALL apparaît maintenant dans le champ Adresse source de la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT.

      

   6. Dans la zone Action : Translated Packet de la boîte de dialogue Add NAT Rule, choisissez Dynamic PAT (Hide) dans la boîte de dialogue Source NAT Type.

      

   7. Cliquez sur le bouton Parcourir (...) situé à droite du champ Adresse source.

      

      La boîte de dialogue Parcourir l'adresse source traduite s'affiche.

      

   8. Dans la boîte de dialogue Parcourir l'adresse source traduite, sélectionnez l'objet interface externe. (Cette interface a déjà été créée car elle fait partie de la configuration d'origine.)

   9. Cliquez sur Translated Source Address, puis sur OK.

      L'interface externe apparaît désormais dans le champ Adresse source de la zone Action : Paquet traduit de la boîte de dialogue Ajouter une règle NAT.

      

      Remarque : le champ Interface de destination se transforme également en interface externe.

   10. Vérifiez que la première règle PAT terminée s'affiche comme suit :

       Dans la zone Critères de correspondance : Paquet d'origine, vérifiez les valeurs suivantes :

       • Interface source = interne

       • Adresse source = OBJ_GENERIC_ALL

       • Adresse de destination = quelconque

       • Service = tout

       Dans la zone Action : Translated Packet, vérifiez les valeurs suivantes :

       • Type NAT source = PAT dynamique (Masquer)

       • Adresse source = externe

       • Adresse de destination = d'origine

       • Service = Original

   11. Click OK.

       La première règle NAT apparaît dans l'ASDM, comme illustré dans cette image :

       

2. Créez la deuxième règle NAT/PAT :

   1. Dans ASDM, choisissez Configuration > Firewall > NAT Rules, et cliquez sur Add.

   2. Dans la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT, choisissez inside dans la liste déroulante Interface source.

   3. Cliquez sur le bouton Parcourir (...) situé à droite du champ Adresse source.

      La boîte de dialogue Parcourir l'adresse source d'origine apparaît.

      

   4. Dans la boîte de dialogue Parcourir l'adresse source d'origine, sélectionnez le deuxième objet que vous avez créé. (Pour cet exemple, choisissez OBJ_SPECIFIC_192-168-1-0.)

   5. Cliquez sur Original Source Address, puis sur OK.

      L'objet réseau OBJ_SPECIFIC_192-168-1-0 apparaît dans le champ Adresse source de la zone Critères de correspondance : Paquet d'origine de la boîte de dialogue Ajouter une règle NAT.

   6. Dans la zone Action : Translated Packet de la boîte de dialogue Add NAT Rule, choisissez Dynamic PAT (Hide) dans la boîte de dialogue Source NAT Type.

   7. Cliquez sur le bouton ... situé à droite du champ Adresse source.

      La boîte de dialogue Parcourir l'adresse source traduite s'affiche.

      

   8. Dans la boîte de dialogue Parcourir l'adresse source traduite, sélectionnez l'objet 10.1.5.5. (Cette interface a déjà été créée car elle fait partie de la configuration d'origine).

   9. Cliquez sur Translated Source Address, puis sur OK.

      L'objet réseau 10.1.5.5 apparaît dans le champ Adresse source de la zone Action : Paquet traduit de la boîte de dialogue Ajouter une règle NAT.

   10. Dans la zone Match Criteria : Original Packet, choisissez outside dans la liste déroulante Destination Interface.

       Remarque : si vous ne choisissez pas outside pour cette option, l'interface de destination référencera Any.

       

   11. Vérifiez que la deuxième règle NAT/PAT terminée apparaît comme suit :

       Dans la zone Critères de correspondance : Paquet d'origine, vérifiez les valeurs suivantes :

       • Interface source = interne

       • Adresse source = OBJ_SPECIFIC_192-168-1-0

       • Adresse de destination = externe

       • Service = tout

       Dans la zone Action : Translated Packet, vérifiez les valeurs suivantes :

       • Type NAT source = PAT dynamique (Masquer)

       • Adresse source = 10.1.5.5

       • Adresse de destination = d'origine

       • Service = Original

   12. Click OK.

       La configuration NAT terminée apparaît dans l'ASDM, comme illustré dans cette image :

       

3. Cliquez sur le bouton Apply afin d'appliquer les modifications à la configuration en cours.

La configuration de la fonction PAT dynamique sur un appareil de sécurité adaptatif Cisco (ASA) est terminée.

Vérifier

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Vérification de la règle PAT générique

• show local-host : affiche les états réseau des hôtes locaux.

  ASA#show local-host
  
     Interface outside: 1 active, 2 maximum active, 0 denied
  local host: <125.252.196.170>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  !--- The TCP connection outside address corresponds !--- to the actual destination of 125.255.196.170:80
  
  Conn:
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, 
            idle 0:00:03, bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
            bytes 11896, flags UIO
  Interface inside: 1 active, 1 maximum active, 0 denied
  local host: <192.168.0.5>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  
  !--- The TCP PAT outside address corresponds to the !--- outside IP address of the ASA – 10.1.5.1.
  
  
    Xlate:
      TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
            ri idle 0:00:17 timeout 0:00:30
      TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
            ri idle 0:00:17 timeout 0:00:30
  
    Conn:
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, 
            bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
            bytes 11896, flags UIO

• show conn : affiche l'état de la connexion pour le type de connexion désigné.

  ASA#show conn
  			2 in use, 3 most used
  TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:06, 
            bytes 13758, flags UIO
  TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:01, 
            bytes 13526, flags UIO

• show xlate : affiche les informations relatives aux logements de traduction.

  ASA#show xlate
  	4 in use, 7 most used
  Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
            T - twice
  TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
            ri idle 0:00:23 timeout 0:00:30
  TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
            ri idle 0:00:23 timeout 0:00:30

Vérification de la règle PAT spécifique

• show local-host : affiche les états réseau des hôtes locaux.

  ASA#show local-host
  Interface outside: 1 active, 2 maximum active, 0 denied
  local host: <125.252.196.170>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  !--- The TCP connection outside address corresponds to !--- the actual destination of 125.255.196.170:80.
  
  Conn:
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, 
            idle 0:00:07, bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, 
            idle 0:00:03, bytes 11896, flags UIO
  Interface inside: 1 active, 1 maximum active, 0 denied
  local host: <192.168.0.5>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  
  
  !--- The TCP PAT outside address corresponds to an !--- outside IP address of 10.1.5.5.
  
  Xlate:
      TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
            ri idle 0:00:17 timeout 0:00:30
      TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/23673 flags 
            ri idle 0:00:17 timeout 0:00:30
  
    Conn:
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
            bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
            bytes 11896, flags UIO

• show conn : affiche l'état de la connexion pour le type de connexion désigné.

  ASA#show conn
  2 in use, 3 most used
  TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
            bytes 13653, flags UIO
  TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
            bytes 13349, flags UIO

• show xlate : affiche les informations relatives aux logements de traduction.

  ASA#show xlate
  3 in use, 9 most used
  Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
            T - twice
  TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
            ri idle 0:00:23 timeout 0:00:30
  TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/29673 flags 
            ri idle 0:00:23 timeout 0:00:30

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

• Cisco Adaptive Security Device Manager
• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
• Demandes de commentaires (RFC)
• Assistance et documentation techniques - Cisco Systems