PIX/ASA 7.x en FWSM: NAT- en PAT-verklaringen

Inleiding

Dit document bevat voorbeelden van configuraties voor basis-netwerkadresomzetting (NAT) en poortadresomzetting (PAT) op de Cisco PIX/ASA security applicaties. Er worden vereenvoudigde netwerkdiagrammen geleverd. Raadpleeg de PIX/ASA-documentatie voor uw PIX/ASA-softwareversie voor meer informatie.

Raadpleeg NAT-, global-, statische-, conduit- en toegangslijst-opdrachten en poortomleiding (doorsturen) op PIX om meer te weten te komen over de NAT-, global-, statische-, conduit- en toegangslijst-opdrachten en poortomleiding (doorsturen) op PIX 5.x en hoger.

Raadpleeg NAT- en PAT-verklaringen gebruiken in de Cisco Secure PIX-firewall om meer te weten te komen over de voorbeelden van basis-NAT- en PAT-configuraties in de Cisco Secure PIX-firewall.

Raadpleeg Informatie over NAT voor meer informatie over NAT-configuratie in ASA versie 8.3 en hoger.

Opmerking: NAT in transparante modus wordt ondersteund door PIX/ASA versie 8.x. Raadpleeg NAT in Transparent Mode voor meer informatie.

Voorwaarden

Vereisten

Lezers van dit document moeten informatie hebben over de Cisco PIX/ASA security applicatie.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco PIX 500 Series security applicatie versie 7.0 en hoger.

Opmerking: dit document is opnieuw gecertificeerd met PIX/ASA versie 8.x.

Opmerking: de opdrachten in dit document zijn van toepassing op Firewall Service Module (FWSM).

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

De opdracht NAT-besturing

De opdracht NAT-Control op de PIX/ASA specificeert dat al het verkeer via de firewall een specifieke vertaalingang (NAT-verklaring met een bijbehorende wereldwijde of statische verklaring) moet hebben om dat verkeer door de firewall te laten lopen. De opdracht NAT-Control zorgt ervoor dat het vertaalgedrag gelijk is aan eerdere versies van PIX-firewall dan 7.0. De standaardconfiguratie van PIX/ASA versie 7.0 en hoger is de specificatie van de opdracht geen NAT-besturing. Met PIX/ASA versie 7.0 en hoger kunt u dit gedrag wijzigen wanneer u de opdracht NAT-Control uitgeeft.

Met NAT-control uitgeschakeld stuurt de PIX/ASA pakketten door van een interface met hogere beveiliging naar een lagere interface zonder een specifieke vertaalingang in de configuratie. Om verkeer van een lagere veiligheidsinterface tot een hogere over te gaan, gebruikt u toegangslijsten om verkeer toe te laten. PIX/ASA stuurt het verkeer vervolgens door. Dit document concentreert zich op het gedrag van het PIX/ASA security applicatie met NAT-control ingeschakeld.

Opmerking: Als u de NAT-control-verklaring in PIX/ASA wilt verwijderen of uitschakelen, moet u alle NAT-verklaringen uit het security apparaat verwijderen. In het algemeen moet u de NAT verwijderen voordat u de NAT-besturing uitschakelt. U moet de NAT-instructie in PIX/ASA opnieuw configureren om te werken zoals verwacht.

Meervoudige NAT-verklaringen met NAT 0

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

In dit voorbeeld biedt de ISP de netwerkbeheerder een adressenbereik van 172.16.199.1 tot 172.16.199.63. De netwerkbeheerder besluit 172.16.199.1 toe te wijzen aan de interface aan de binnenkant van de internetrouter en 172.16.199.2 aan de buiteninterface van de PIX/ASA.

De netwerkbeheerder had al een Class C-adres toegewezen aan het netwerk, 192.168.200.0/24, en heeft een aantal werkstations die deze adressen gebruiken om toegang tot internet te krijgen. Deze werkstations hoeven niet te worden vertaald. Nieuwe werkstations krijgen echter adressen toegewezen in het 10.0.0.0/8-netwerk en deze moeten worden vertaald.

Om dit netwerkontwerp aan te passen moet de netwerkbeheerder twee NAT-verklaringen en één wereldwijde pool in de PIX/ASA-configuratie gebruiken, zoals wordt getoond in deze uitvoer:

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 192.168.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Deze configuratie vertaalt het bronadres van geen uitgaand verkeer van het 192.168.200.0/24 netwerk. Het vertaalt een bronadres in het 10.0.0.0/8 netwerk in een adres van 172.16.199.3 tot 172.16.199.62.

Bij deze stappen wordt uitgelegd hoe u dezelfde configuratie kunt toepassen met behulp van Adaptive Security Device Manager (ASDM).

Opmerking: Voer alle configuratiewijzigingen uit via de CLI of de ASDM. Het gebruik van zowel CLI als ASDM voor configuratiewijzigingen veroorzaakt zeer grillig gedrag in termen van wat door ASDM wordt toegepast. Dit is geen bug, maar doet zich voor vanwege de werking van ASDM.

Opmerking: wanneer u ASDM opent, importeert het de huidige configuratie uit de PIX/ASA en werkt het vanuit die configuratie wanneer u wijzigingen aanbrengt en toepast. Als de PIX/ASA gewijzigd wordt terwijl de ASDM-sessie geopend is, dan werkt ASDM niet meer met wat het "denkt" is de huidige configuratie van de PIX/ASA. Zorg ervoor dat alle ASDM-sessies worden gesloten als u via CLI wijzigingen in de configuratie aanbrengt. Open de ASDM opnieuw wanneer u via GUI wilt werken.

1. Start ASDM, blader naar het tabblad Configuration en klik op NAT.

2. Klik op Add om een nieuwe regel te maken.

   

   Er verschijnt een nieuw venster waarin de gebruiker NAT-opties voor deze NAT-ingang kan wijzigen. Dit bijvoorbeeld, voer NAT op pakketten uit die op de binneninterface aankomen die van het specifieke 10.0.0.0/24 netwerk afkomstig zijn.

   PIX/ASA vertaalt deze pakketten naar een Dynamische IP-pool op de buiteninterface. Nadat u de informatie hebt ingevoerd die beschrijft welk verkeer naar NAT wordt verzonden, definieert u een pool van IP-adressen voor het vertaalde verkeer.

3. Klik op Pools beheren om een nieuwe IP-pool toe te voegen.

   

4. Kies buiten en klik op Toevoegen.

   

5. Specificeer het IP bereik voor de pool en geef de pool een uniek integer id nummer.

   

6. Voer de gewenste waarden in en klik op OK.

   De nieuwe pool wordt gedefinieerd voor de buiteninterface.

   

7. Nadat u de pool hebt gedefinieerd, klikt u op OK om terug te keren naar het configuratievenster van de NAT-regel.

   Zorg ervoor dat u de juiste pool kiest die u zojuist hebt gemaakt onder de vervolgkeuzelijst Adresgroep.

   

   U hebt nu een NAT-vertaling gemaakt via het security applicatie. U moet echter nog steeds de NAT-ingang maken die aangeeft welk verkeer niet naar NAT moet worden verwerkt.

8. Klik op Translation Exemption Rules boven in het venster en klik vervolgens op Add om een nieuwe regel te maken.

   

9. Kies de binnenkant interface als de bron, en specificeer 192.168.200.0/24 subnet. Laat de standaardwaarden voor "Bij verbinding maken" staan.

   

   De NAT-regels zijn nu gedefinieerd.

10. Klik op Toepassen om de wijzigingen toe te passen op de huidige configuratie van het security apparaat.

    Deze output toont de daadwerkelijke toevoegingen die op de configuratie PIX/ASA worden toegepast. Ze zijn iets anders dan de opdrachten die ingevoerd zijn via de handmatige methode, maar ze zijn gelijk.

    access-list inside_nat0_outbound extended permit 
    ip 192.168.200.0 255.255.255.0 any
    
    global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192
    
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 10.0.0.0 255.255.255.0

Meervoudige wereldwijde pools

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

In dit voorbeeld beschikt de netwerkbeheerder over twee IP-adresreeksen die op het internet worden geregistreerd. De netwerkbeheerder moet alle interne adressen, die binnen het bereik 10.0.0.0/8 liggen, omzetten in geregistreerde adressen. Het IP-adressenbereik dat de netwerkbeheerder moet gebruiken, is 172.16.199.1 t/m 172.16.199.62 en 192.168.150.1 t/m 192.168.150.254. De netwerkbeheerder kan dit doen met:

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

global (outside) 1 192.168.150.1-192.168.150.254 netmask 255.255.255.0 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

In dynamische NAT is de specifiekere verklaring de verklaring die voorrang krijgt wanneer u dezelfde interface gebruikt op wereldwijde carriers.

nat (inside) 1 10.0.0.0 255.0.0.0
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 1 172.16.1.1
global (outside) 2 192.168.1.1

Als u het binnennetwerk hebt als 10.1.0.0, krijgt NAT global 2 voorrang boven 1 omdat het specifieker is voor vertaling.

Opmerking: in de NAT-verklaring wordt een adresseringsschema met jokerteken gebruikt. Deze verklaring vertelt PIX/ASA om het even welk intern bronadres te vertalen wanneer het naar Internet uitgaat. Het adres in deze opdracht kan desgewenst specifieker zijn.

Wereldwijde verklaringen mengen met NAT en PAT

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

In dit voorbeeld, voorziet ISP de netwerkmanager van een waaier van adressen van 172.16.199.1 tot 172.16.199.63 voor het gebruik van het bedrijf. De netwerkbeheerder besluit 172.16.199.1 te gebruiken voor de interne interface op de internetrouter en 172.16.199.2 voor de externe interface op de PIX/ASA. U blijft achter met 172.16.199.3 tot 172.16.199.62 om te gebruiken voor het NAT zwembad. De netwerkbeheerder weet echter dat er op elk moment meer dan zestig mensen kunnen proberen om uit de PIX/ASA te stappen. Daarom besluit de netwerkbeheerder om 172.16.199.62 te nemen en er een PAT-adres van te maken, zodat meerdere gebruikers tegelijkertijd één adres kunnen delen.

global (outside) 1 172.16.199.3-172.16.199.61 netmask 255.255.255.192

global (outside) 1 172.16.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Deze opdrachten geven de PIX/ASA de opdracht om het bronadres te vertalen naar 172.16.199.3 tot 172.16.199.61 voor de eerste 59 interne gebruikers die over de PIX/ASA gaan. Nadat deze adressen uitgeput zijn, vertaalt de PIX vervolgens alle volgende bronadressen naar 172.16.199.62 tot een van de adressen in de NAT-pool vrij wordt.

Opmerking: in de NAT-verklaring wordt een adresseringsschema met jokerteken gebruikt. Deze verklaring vertelt PIX/ASA om het even welk intern bronadres te vertalen wanneer het naar Internet uitgaat. Het adres in deze opdracht kan desgewenst specifieker zijn.

Meervoudige NAT-verklaringen met NAT 300 access-list

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

In dit voorbeeld biedt de ISP de netwerkbeheerder een adressenbereik van 172.16.199.1 tot en met 172.16.199.63. De netwerkbeheerder besluit 172.16.199.1 toe te wijzen aan de interne interface op de internetrouter en 172.16.199.2 aan de externe interface van de PIX/ASA.

In dit scenario wordt echter een ander privaat LAN-segment buiten de internetrouter geplaatst. De netwerkbeheerder zou liever geen adressen van de globale pool verspillen wanneer hosts in deze twee netwerken met elkaar praten. De netwerkbeheerder moet nog steeds het bronadres van alle interne gebruikers (10.0.0.0/8) vertalen wanneer zij naar het internet gaan.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Deze configuratie vertaalt die adressen niet met een bronadres van 10.0.0.0/8 en een bestemmingsadres van 192.168.1.0/24. Het vertaalt het bronadres van om het even welk verkeer dat binnen het 10.0.0.0/8 netwerk in werking wordt gesteld en voor om het even waar anders dan 192.168.1.0/24 in een adres van de waaier 172.16.199.3 door 172.16.199.62 wordt bestemd.

Als u de uitvoer van een schrijfterminal-opdracht vanaf uw Cisco-apparaat hebt, kunt u de Output Interpreter Tool gebruiken (alleen geregistreerde klanten).

Use Policy NAT

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

Wanneer u een toegangslijst met de NAT-opdracht gebruikt voor een NAT-id anders dan 0, schakelt u beleid NAT in.

Opmerking: Policy NAT is toegevoegd in versie 6.3.2.

Beleid NAT staat u toe om lokaal verkeer voor adresomzetting te identificeren wanneer u de bron en bestemmingsadressen (of poorten) in een toegangslijst specificeert. Regelmatig NAT gebruikt alleen bronadressen/poorten, terwijl NAT-beleid zowel bron- als doeladressen/poorten gebruikt.

Opmerking: Alle typen NAT-ondersteuningsbeleid NAT behalve de NAT-vrijstelling (NAT 0-toegangslijst). NAT-vrijstelling gebruikt een toegangscontrolelijst om de lokale adressen te identificeren, maar verschilt van het NAT-beleid in die zin dat de poorten niet in aanmerking worden genomen.

Met beleid NAT, kunt u meerdere NAT of statische verklaringen maken die hetzelfde lokale adres identificeren zolang de combinatie bron/poort en bestemming/poort uniek is voor elke verklaring. U kunt dan verschillende globale adressen aan elk bron/haven en bestemming/poortpaar aanpassen.

In dit voorbeeld biedt de netwerkbeheerder toegang voor IP-adres van bestemming 192.168.201.11 voor poort 80 (web) en poort 23 (Telnet), maar moet hij twee verschillende IP-adressen als bronadres gebruiken. IP-adres 172.16.199.3 wordt gebruikt als bronadres voor het web. IP-adres 172.16.199.4 wordt gebruikt voor Telnet en moet alle interne adressen converteren die zich in het bereik 10.0.0.0/8 bevinden. De netwerkbeheerder kan dit doen met:

access-list WEB permit tcp 10.0.0.0 255.0.0.0 192.168.201.11 
255.255.255.255 eq 80

access-list TELNET permit tcp 10.0.0.0 255.0.0.0 192.168.201.11 
255.255.255.255 eq 23 

nat (inside) 1 access-list WEB

nat (inside) 2 access-list TELNET

global (outside) 1 172.16.199.3 netmask 255.255.255.192

global (outside) 2 172.16.199.4 netmask 255.255.255.192

U kunt Output Interpreter Tool gebruiken (geregistreerde klanten alleen) om potentiële problemen en fixes weer te geven.

Statische NAT

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

Een statische NAT-configuratie maakt een één-op-één-omzetting en vertaalt een specifiek adres naar een ander adres. Dit type van configuratie leidt tot een permanente ingang in de NAT lijst zolang de configuratie aanwezig is en zowel binnen als buitengastheren toelaat om een verbinding in werking te stellen. Dit is vooral nuttig voor hosts die toepassingsservices leveren zoals mail, web, FTP en andere. In dit voorbeeld, statische NAT verklaringen worden gevormd om gebruikers binnen en gebruikers op de buitenkant toe te staan om tot de Webserver op DMZ toegang te hebben.

Deze output toont hoe een statische verklaring wordt geconstrueerd. Let op de volgorde van de toegewezen en echte IP-adressen.

static (real_interface,mapped_interface) mapped_ip real_ip netmask mask

Hier is de statische vertaling gemaakt om gebruikers in de interface toegang te geven tot de server op de DMZ. Het maakt een koppeling tussen een adres aan de binnenkant en het adres van de server op de DMZ. Gebruikers van binnen kunnen dan via het binnenadres toegang krijgen tot de server op de DMZ.

static (DMZ,inside) 10.0.0.10 192.168.100.10 netmask 255.255.255.255

Hier is de statische vertaling gemaakt om gebruikers op de buiteninterface toegang te geven tot de server op de DMZ. Het maakt een koppeling tussen een adres aan de buitenkant en het adres van de server op de DMZ. Gebruikers aan de buitenkant kunnen dan toegang krijgen tot de server op de DMZ via het buitenadres.

static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255

Opmerking: omdat de externe interface een lager beveiligingsniveau heeft dan de DMZ, moet er ook een toegangslijst gemaakt worden om gebruikers aan de buitenzijde toegang te geven tot de server op de DMZ. De toegangslijst moet gebruikers toegang verlenen tot het toegewezen adres in de statische vertaling. Het verdient aanbeveling deze toegangslijst zo specifiek mogelijk te maken. In dit geval wordt elke host alleen toegang tot poorten 80 (www/http) en 443 (https) op de webserver toegestaan.

access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https

De toegangslijst moet dan op de buiteninterface worden toegepast.

access-group OUTSIDE in interface outside

Raadpleeg uitgebreide toegangslijsten en toegangsgroepen voor meer informatie over de opdrachten toegangslijsten en toegangsgroepen.

Hoe NAT te omzeilen

In deze paragraaf wordt beschreven hoe NAT kan worden omzeild. U zou NAT kunnen willen mijden wanneer u NAT controle toelaat. U kunt NAT van de Identiteit, Statische Identiteit NAT, of NAT vrijstelling gebruiken om NAT te mijden.

Identiteit NAT configureren

Identity NAT vertaalt het echte IP-adres naar hetzelfde IP-adres. Alleen "vertaalde" hosts kunnen NAT-vertalingen maken en het reagerende verkeer wordt weer toegestaan.

Opmerking: als u de NAT-configuratie wijzigt en u niet wilt wachten tot bestaande vertalingen zijn uitgelezen voordat de nieuwe NAT-informatie wordt gebruikt, gebruikt u de opdracht wissen om de vertaaltabel te wissen. Alle huidige verbindingen waarin vertalingen worden gebruikt, worden echter losgekoppeld wanneer u de vertaaltabel reinigt.

Om identiteit NAT te configureren voert u deze opdracht in:

hostname(config)#nat (real_interface) 0 real_ip
	 [mask [dns] [outside] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
	 udp_max_conns] 

Als u bijvoorbeeld identiteit NAT voor het interne 10.1.1.0/24-netwerk wilt gebruiken, voert u deze opdracht in:

hostname(config)#nat (inside) 0 10.1.1.0
	 255.255.255.0 

Raadpleeg de Opdrachtreferentie voor Cisco security applicatie, versie 7.2 voor meer informatie over de NAT-opdracht.

Statische identiteit-NAT configureren

Statische identiteit NAT vertaalt het echte IP-adres naar hetzelfde IP-adres. De vertaling is altijd actief, en zowel "vertaald" als externe hosts kunnen verbindingen genereren. Met de statische identiteit NAT kunt u reguliere NAT of beleids-NAT gebruiken. Het beleid NAT laat u de echte en bestemmingsadressen identificeren wanneer het bepalen van de echte te vertalen adressen (zie de sectie van het Beleid NAT van het Gebruik voor meer informatie over beleid NAT). Bijvoorbeeld, kunt u beleid statische identiteit NAT voor een binnenadres gebruiken wanneer het tot de buiteninterface toegang heeft en de bestemming server A is, maar gebruik een normale vertaling wanneer het toegang tot van de buitenserver B.

Opmerking: als u een statische opdracht verwijdert, worden de huidige verbindingen die de vertaling gebruiken, niet beïnvloed. Om deze verbindingen te verwijderen, voert u de duidelijke opdracht Local Host in. U kunt geen statische vertalingen uit de vertaallijst met het duidelijke bevel ontruimen; u moet het statische bevel in plaats daarvan verwijderen. Alleen dynamische vertalingen die door de NAT en global commando's gemaakt zijn, kunnen verwijderd worden met de clear xlate opdracht.

Om beleid statische identiteit NAT te configureren voert u deze opdracht in:

hostname(config)#static
	 (real_interface,mapped_interface) real_ip access-list acl_id [dns]
	 [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]

Gebruik de uitgebreide opdracht toegangslijst om de uitgebreide toegangslijst te maken. Deze toegangslijst dient alleen ACE's met een vergunning te bevatten. Zorg ervoor dat het bronadres in de toegangslijst overeenkomt met de real_ip in deze opdracht. Policy NAT neemt de inactieve of tijdbereiksleutelwoorden niet in overweging; alle ACE's worden beschouwd als actief voor beleid NAT-configuratie. Zie Policy NAT-sectie gebruiken voor meer informatie.

Om regelmatige statische identiteit NAT te configureren, voert u deze opdracht in:

hostname(config)#static
	 (real_interface,mapped_interface) real_ip real_ip [netmask mask] [dns]
	 [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
	 udp_max_conns]

Specificeer hetzelfde IP adres voor beide real_ip argumenten.

Netwerkdiagram

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918-adressen die in een laboratoriumomgeving zijn gebruikt.

Met deze opdracht wordt bijvoorbeeld statische identiteit NAT voor een binnenste IP-adres (10.1.1.2) gebruikt wanneer dit door de buitenkant wordt benaderd:

hostname(config)#static (inside,outside) 10.1.1.2
	 10.1.1.2 netmask 255.255.255.255

Raadpleeg de Opdrachtreferentie voor Cisco security applicatie, versie 7.2 voor meer informatie over de statische opdracht.

Deze opdracht maakt gebruik van statische identiteit NAT voor een buitenadres (172.16.199.1) wanneer dit door de binnenkant wordt benaderd:

hostname(config)#static (outside,inside) 172.16.199.1
	 172.16.199.1 netmask 255.255.255.255

Dit bevel brengt statisch een volledige Subnet in kaart:

 hostname(config)#static (inside,dmz) 10.1.1.2 10.1.1.2
	 netmask 255.255.255.0 

Dit statische identiteitsbeleid NAT voorbeeld toont één enkel echt adres dat identiteit NAT gebruikt wanneer het toegang tot één bestemmingsadres en een vertaling wanneer het toegang tot een andere:

hostname(config)#access-list NET1 permit ip host
	 10.1.1.3 172.16.199.0 255.255.255.224

hostname(config)#access-list NET2 permit ip host
	 10.1.1.3 172.16.199.224 255.255.255.224 

hostname(config)#static (inside,outside) 10.1.1.3
	 access-list NET1 

hostname(config)#static (inside,outside) 172.16.199.1
	 access-list NET2

N.B.: Raadpleeg voor meer informatie over de statische opdracht Cisco ASA 5580 adaptieve security applicatie Opdrachtreferentie, versie 8.1.

N.B.: Raadpleeg de Configuratiehandleiding voor Cisco ASA 5580 adaptieve security applicatie commando-lijn, versie 8.1 voor meer informatie over toegangslijsten.

NAT-vrijstelling configureren

NAT-vrijstelling stelt adressen vrij van vertaling en stelt zowel echte als externe hosts in staat om verbindingen te genereren. NAT-vrijstelling laat u de echte en doeladressen specificeren bij het bepalen van het echte verkeer dat moet worden vrijgesteld (vergelijkbaar met beleid NAT), zodat u meer controle hebt met NAT-vrijstelling dan met identiteit NAT. In tegenstelling tot beleid NAT, NAT-vrijstelling neemt de havens in de toegangslijst echter niet in aanmerking. Gebruik statische identiteit NAT om poorten in de toegangslijst te overwegen.

Opmerking: Als u een NAT-vrijstellingsconfiguratie verwijdert, worden bestaande verbindingen die NAT-vrijstelling gebruiken, niet beïnvloed. Om deze verbindingen te verwijderen, voert u de duidelijke opdracht Local-Host in.

Voer deze opdracht in om NAT-vrijstelling te configureren:

hostname(config)#nat (real_interface) 0 access-list
	 acl_name [outside] 

Maak de uitgebreide toegangslijst aan met de uitgebreide opdracht toegangslijst. Deze toegangslijst kan zowel vergunning ACE's omvatten als ACE's ontkennen. Specificeer niet de echte en bestemmingshavens in de toegangslijst; NAT-vrijstelling heeft geen betrekking op de havens. NAT-vrijstelling houdt ook geen rekening met de inactieve trefwoorden of tijdbereiktrefwoorden; alle ACE’s worden geacht actief te zijn voor NAT-vrijstellingsconfiguratie.

Standaard stelt deze opdracht verkeer van binnen naar buiten vrij. Als u verkeer van buiten naar binnen wilt om NAT te omzeilen, voeg dan een extra NAT-opdracht toe en voer buiten in om de NAT-instantie te identificeren als buiten NAT. U zou buiten NAT vrijstelling kunnen willen gebruiken als u dynamische NAT voor de buiteninterface vormt en ander verkeer wilt vrijstellen.

Als u bijvoorbeeld een binnennetwerk wilt vrijstellen bij het openen van een doeladres, voert u deze opdracht in:

 hostname(config)#access-list EXEMPT permit ip 10.1.1.0
	 255.255.255.0 any 

hostname(config)# nat (inside) 0 access-list
	 EXEMPT 

Om dynamisch buiten NAT voor een DMZ-netwerk te gebruiken en een ander DMZ-netwerk vrij te stellen, voert u deze opdracht in:

 hostname(config)#nat (dmz) 1 10.1.1.0 255.255.255.0
	 outside dns 

hostname(config)#global (inside) 1
	 10.1.1.2

hostname(config)#access-list EXEMPT permit ip 10.1.1.0
	 255.255.255.0 any 

hostname(config)#nat (dmz) 0 access-list
	 EXEMPT

Om een binnenadres vrij te stellen wanneer het toegang tot van twee verschillende bestemmingsadressen, ga deze bevelen in:

hostname(config)#access-list NET1 permit ip 10.1.1.0
	 255.255.255.0 172.16.199.0 255.255.255.224

hostname(config)#access-list NET1 permit ip 10.1.1.0
	 255.255.255.0 172.16.199.224 255.255.255.224 

hostname(config)#nat (inside) 0 access-list NET1
	 

Verifiëren

Het verkeer dat door het veiligheidstoestel stroomt ondergaat zeer waarschijnlijk NAT. Raadpleeg PIX/ASA: Problemen met prestaties monitoren en oplossen om de vertalingen te controleren die op het security apparaat worden gebruikt.

De opdracht tellen tonen het huidige en maximale aantal vertalingen via de PIX. Een vertaling is het in kaart brengen van een intern adres aan een extern adres en kan een één-op-één afbeelding, zoals NAT, of een veel-op-één afbeelding, zoals PAT zijn. Deze opdracht is een subset van de opdracht show xlate, waarmee elke vertaling via de PIX wordt uitgevoerd. De opdrachtoutput laat vertalingen zien die "in gebruik" zijn, wat verwijst naar het aantal actieve vertalingen in de PIX wanneer de opdracht wordt uitgegeven; "meest gebruikte" verwijst naar de maximale vertalingen die ooit op de PIX zijn gezien sinds deze is ingeschakeld.

Problemen oplossen

Foutmelding ontvangen bij toevoegen van een statische poort voor poort 443

Probleem

U ontvangt deze foutmelding wanneer u een statische PAT voor poort 443 toevoegt:

[FOUT] statische (BINNEN, BUITEN) TCP-interface 443 192.168.1.87 443 netmasker 255.255.255.255 tcp 0 0 dup 0

kan poort 443 niet reserveren voor statisch PAT

FOUT: kan beleid downloaden niet

Oplossing

Deze foutmelding treedt op als ASDM of WEBVPN op de 443-poort wordt uitgevoerd. Meld u aan bij de firewall om dit probleem op te lossen en voltooi een van de volgende stappen:

• Als u de ASDM-poort wilt wijzigen in iets anders dan 443, voert u deze opdrachten uit:

  ASA(config)#no http server enable
  ASA(config)#http server enable 8080
  

• Als u de WEBVPN-poort wilt wijzigen in iets anders dan 443, voert u deze opdrachten uit:

  ASA(config)#webvpn
  ASA(config-webvpn)#enable outside
  ASA(config-webvpn)#port 65010
  

Nadat u deze opdrachten hebt uitgevoerd, moet u een NAT/PAT op poort 443 aan een andere server kunnen toevoegen. Wanneer u probeert ASDM te gebruiken om de ASA in de toekomst te beheren, specificeert u de nieuwe poort als 8080.

FOUT: toegewezen-adresconflict met bestaande statisch

Probleem

U ontvangt deze fout wanneer u een statische verklaring over ASA toevoegt:

FOUT: toegewezen-adresconflict met bestaande statisch

Oplossing

Controleer of een gegeven niet bestaat voor de statische bron die u wilt toevoegen.

Gerelateerde informatie

• Pagina met PIX-ondersteuning
• Referenties van PIX-opdrachten
• ASA-ondersteuningspagina
• ASA-opdrachtreferenties
• Requests for Comments (RFC’s)
• Technische ondersteuning en documentatie – Cisco Systems