Configurazione di NAT 64 su Secure Firewall gestito da FMC

Opzioni per il download

  • PDF     (929.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (764.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (654.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:11 agosto 2023
ID documento:220726

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare NAT64 su Firepower Threat Defense (FTD) gestito da Fire Power Management Center (FMC).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza di Secure Firewall Threat Defense e Secure Firewall Management Center.

    Componenti usati

    • Firepower Management Center 7.0.4.1
    • Firepower Threat Defense 7.0.4.1

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Network Diagram

    Configura oggetti di rete

    •  Oggetto di rete IPv6 per fare riferimento alla subnet client IPv6 interna. 

        Nell'interfaccia utente di FMC, selezionare Oggetti > Gestione oggetti > Seleziona rete dal menu a sinistra > Aggiungi rete > Aggiungi oggetto.

       

    Ad esempio, l'oggetto di rete Local_IPv6_subnet viene creato con la subnet IPv6 FC00:0:0:1::/96.

    Edit Network Object

    • Oggetto di rete IPv4 per convertire i client IPv6 in IPv4.

       Dalla GUI di FMC, selezionare Oggetti > Gestione oggetti > Seleziona rete dal menu a sinistra > Aggiungi rete > Aggiungi gruppo.

    Ad esempio, l'oggetto di rete 6_mapped_to_4 viene creato con l'host IPv4 192.168.0.107.

    A seconda della quantità di host IPv6 da mappare in IPv4, è possibile utilizzare una rete a oggetto singolo, un gruppo di rete con più IPv4 o solo NAT per l'interfaccia in uscita.

    Add New Network Group

    • Oggetto di rete IPv4 per fare riferimento agli host IPv4 esterni su Internet.

        Nell'interfaccia utente di FMC, selezionare Oggetti > Gestione oggetti > Seleziona rete dal menu a sinistra > Aggiungi rete > Aggiungi oggetto.

    Ad esempio, l'oggetto di rete Any_IPv4 viene creato con la subnet IPv4 0.0.0.0/0.

    IPv4 Outside Network

    • Oggetto di rete IPv6 per convertire l'host IPv4 esterno nel dominio IPv6.

        Dalla GUI di FMC, selezionare Oggetti > Gestione oggetti > Seleziona rete dal menu a sinistra > Aggiungi rete > Aggiungi oggetto.

    Ad esempio, l'oggetto di rete 4_mapped_to_6 viene creato con la subnet IPv6 FC00:0:0:F::/96.

    IPv6 Internal Mapped

    Configurazione delle interfacce su FTD per IPv4/IPv6

    Selezionare Dispositivi > Gestione dispositivi > Modifica FTD > Interfacce e configurare le interfacce interne ed esterne.

    Esempio:

        Interfaccia Ethernet 1/1 

        Nome: Interno

        Area di protezione: Inside_Zone 

        Se l'area di protezione non viene creata, è possibile crearla nel menu a discesa Area di protezione > Nuovo.

        Indirizzo IPv6: FC00:0:0:1::1/96

    Inside Interface

    IPv6 Interface Configuration

    IPv6 Interface Configuration 2

        Interfaccia Ethernet 1/2 

        Nome: Esterno

        Area di sicurezza: Outside_Zone 

        Se l'area di protezione non viene creata, è possibile crearla nel menu a discesa Area di protezione > Nuovo.

        Indirizzo IPv4: 192.168.0.106/24

    Outside Interface

    IPv4 Interface Configuration

    Configura route predefinita

    Selezionare Dispositivi > Gestione dispositivi > Modifica FTD > Ciclo > Ciclo statico > Aggiungi ciclo.

    Ad esempio, il percorso statico predefinito sull'interfaccia esterna è il gateway 192.168.0.254.

    Gateway

    Default Route

    Configura criterio NAT 

    Dalla GUI del FMC, selezionare Devices > NAT > New Policy > Threat Defense NAT e creare una policy NAT.

    Ad esempio, il criterio NAT FTD_NAT_Policy viene creato e assegnato all'FTD FTD_LAB di test.

    NAT Policy

    Configura regole NAT

    NAT in uscita. 

    Nell'interfaccia utente di FMC, selezionare Dispositivi > NAT > Selezionare il criterio NAT > Aggiungi regola e creare la regola NAT per convertire la rete IPv6 interna in un pool IPv4 esterno. 

    Ad esempio, l'oggetto di rete Local_IPv6_subnet viene convertito dinamicamente in Oggetto di rete 6_mapped_to_4.

    Regola NAT: regola NAT automatica

    Tipo: dinamico

    Oggetti interfaccia di origine: Inside_Zone

    Oggetti interfaccia di destinazione: Outside_Zone

    Origine originale: Local_IPv6_subnet

    Origine tradotta: 6_mapped_to_4

    NAT Rule Zone

    NAT Rule Networks

    NAT in entrata.

    Nell'interfaccia utente di FMC, selezionare Dispositivi > NAT > Selezionare il criterio NAT > Aggiungi regola e creare la regola NAT per convertire il traffico IPv4 esterno nel pool di rete IPv6 interno. Ciò consente la comunicazione interna con la subnet IPv6 locale. 

    Abilitare inoltre la riscrittura DNS in questa regola in modo che le risposte dal server DNS esterno possano essere convertite dai record A (IPv4) a AAAA (IPv6).

    Ad esempio, la subnet Any_IPv4 della rete esterna viene convertita in modo statico nella subnet IPv6 2100:6400::/96 definita nell'oggetto 4_mapped_to_6.

    Regola NAT: regola NAT automatica

    Tipo: statico

    Oggetti interfaccia di origine: Outside_Zone

    Oggetti interfaccia di destinazione: Inside_Zone

    Originale: Any_IPv4

    Origine tradotta: 4_mapped_to_6

    Traduci le risposte DNS che soddisfano questa regola: Sì (casella di controllo Abilita)

    NAT Rule 2 Zone

    NAT Rule 2 Network

    NAT Rule 2 Advanced Options

    Final NAT Policy

    Continuare a distribuire le modifiche a FTD.

    Verifica

    • Visualizza i nomi delle interfacce e la configurazione IP.
    > show nameif
    Interface Name Security
    Ethernet1/1 inside 0
    Ethernet1/2 Outside 0

    > show ipv6 interface brief

    inside [up/up]
    fe80::12b3:d6ff:fe20:eb48
    fc00:0:0:1::1


    > show ip
    System IP Addresses:
    Interface    Name      IP address     Subnet mask 
    Ethernet1/2  Outside   192.168.0.106  255.255.255.0
    • Confermare la connettività IPv6 da FTD all'interno dell'interfaccia al client.

    Host interno IPv6 IP fc00:0:1::100.

    FTD Interfaccia interna fc00:0:0:1::1.

    > ping fc00:0:0:1::100
    Please use 'CTRL+C' to cancel/abort...
    Sending 5, 100-byte ICMP Echos to fc00:0:0:1::100, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    • Visualizzare la configurazione NAT sulla CLI FTD.
    > show running-config nat
    !
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    • Acquisire il traffico.

    Ad esempio, il traffico di acquisizione dall'host IPv6 interno fc00:0:0:1::100 al server DNS è fc00::f:0:0:ac10:a64 UDP 53.

    Il server DNS di destinazione è fc00::f:0:0:ac10:a64. Gli ultimi 32 bit sono ac10:0a64. Questi bit sono l'equivalente ottetto per ottetto di 172,16,10,100. Il firewall 6-4 converte il server DNS IPv6 fc00::f:0:0:ac10:a64 nell'equivalente IPv4 172.16.10.100.

    > capture test interface inside trace match udp host fc00:0:0:1::100 any6 eq 53


    > show capture test 
    2 packets captured
     1: 00:35:13.598052 fc00:0:0:1::100.61513 > fc00::f:0:0:ac10:a64.53: udp  
     2: 00:35:13.638882 fc00::f:0:0:ac10:a64.53 > fc00:0:0:1::100.61513: udp  


    > show capture test packet-number 1

    [...]
    Phase: 3
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    Additional Information:
    NAT divert to egress interface Outside(vrfid:0)
    Untranslate fc00::f:0:0:ac10:a64/53 to 172.16.10.100/53 <<<< Destination NAT

    [...]
    Phase: 6
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    Additional Information:
    Dynamic translate fc00:0:0:1::100/61513 to 192.168.0.107/61513 <<<<<<<< Source NAT


    > capture test2 interface Outside trace match udp any any eq 53

    2 packets captured

     1: 00:35:13.598152 192.168.0.107.61513 > 172.16.10.100.53: udp 
     2: 00:35:13.638782 172.16.10.100.53 > 192.168.0.107.61513: udp



    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    11-Aug-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Benjamin Cabrera Romero
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti