Configureer NAT 64 op beveiligde firewall die door FMC wordt beheerd

Downloadopties

  • PDF     (930.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (765.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (656.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:11 augustus 2023
Document-id:220726

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u NAT64 kunt configureren bij Firepower Threat Defence (FTD), beheerd door Fire Power Management Center (FMC).

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben over Secure Firewall Threat Defence en Secure Firewall Management Center.

    Gebruikte componenten

    • Firepower Management Center 7.0.4
    • Verdediging van vuurkracht 7.0.4.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Network Diagram

    Netwerkobjecten configureren

    •  IPv6-netwerkobject voor verwijzing naar het interne IPv6-clientsubsysteem. 

        In de FMC GUI, navigeer naar Objecten > Objectbeheer > Selecteer Netwerk uit linkermenu > Netwerk toevoegen > Object toevoegen.

       

    Zo wordt bijvoorbeeld Network Object Local_IPv6_Subnet gemaakt met het IPv6-subnetbestand FC00:0:0:1::/96.

    Edit Network Object

    • IPv4-netwerkobject om IPv6-clients naar IPv4 te vertalen.

       Ga in de FMC GUI naar Objecten > Objectbeheer > Netwerk selecteren in het linkermenu > Netwerk toevoegen > Groep toevoegen.

    Zo is bijvoorbeeld Network Object 6_mapped_to_4 gemaakt met IPv4 host 192.168.0.107.

    Afhankelijk van de hoeveelheid IPv6-hosts die in IPv4 moeten worden toegewezen, kunt u een netwerk met één object, een netwerkgroep met meerdere IPv4, of alleen NAT gebruiken voor de uitgaande interface.

    Add New Network Group

    • IPv4 Network Object voor verwijzing naar de externe IPv4-hosts op internet.

        In de FMC GUI, navigeer naar Objecten > Objectbeheer > Selecteer Netwerk uit linkermenu > Netwerk toevoegen > Object toevoegen.

    Netwerkobject Any_IPv4 wordt bijvoorbeeld gemaakt met het IPv4-subnetnummer 0.0.0.0/0.

    IPv4 Outside Network

    • IPv6 Network Object om externe IPv4-host naar ons IPv6-domein te vertalen.

        Op FMC GUI, navigeer naar Objecten > Objectbeheer > Selecteer Netwerk uit linkermenu > Netwerk toevoegen > Object toevoegen.

    Zo is bijvoorbeeld Network Object 4_mapped_to_6 gemaakt met IPv6-subnetwerkkaart FC00:0:0:F:/96.

    IPv6 Internal Mapped

    Interfaces op FTD voor IPv4/IPv6 configureren

    Navigeren naar Apparaten > Apparaatbeheer > FTD bewerken > Interfaces en Inside en Outside interfaces configureren.

    Voorbeeld:

        Interface Ethernet 1/1 

        Naam: Inside

        Security Zone: binnen_zone 

        Als de security zone niet is gemaakt, kunt u deze maken in het vervolgkeuzemenu Security Zone > Nieuw.

        IPv6-adres: FC00:0:0:1:1/96

    Inside Interface

    IPv6 Interface Configuration

    IPv6 Interface Configuration 2

        Interface Ethernet 1/2 

        Naam: Buiten

        Security Zone: buiten_zone 

        Als security zone niet is gemaakt, kunt u deze maken in het Security Zone vervolgkeuzemenu > Nieuw.

        IPv4-adres: 192.168.0.106/24

    Outside Interface

    IPv4 Interface Configuration

    Standaardroute configureren

    Navigeer naar Apparaten > Apparaatbeheer > FTD bewerken > Routing > Statische routing > Add Route.

    Bijvoorbeeld, standaard statische route op de buiteninterface met gateway 192.168.0.254.

    Gateway

    Default Route

    NAT-beleid configureren 

    Ga in de FMC GUI naar Apparaten > NAT > Nieuw Beleid > Threat Defense NAT en voer een NAT-beleid in.

    Zo wordt NAT-beleid FTD_NAT_Policy gemaakt en toegewezen aan de test FTD_LAB.

    NAT Policy

    NAT-regels configureren

    Uitgaande NAT. 

    Ga in de FMC GUI naar Apparaten > NAT > Selecteer het NAT-beleid > Regel toevoegen en creëer NAT-regel om het interne IPv6-netwerk naar de externe IPv4-pool te vertalen. 

    Zo is bijvoorbeeld Network Object Local_IPv6_subnet dynamisch vertaald naar Network Object 6_mapped_to_4.

    NAT-regel: automatische NAT-regel

    Type: Dynamisch

    Source Interface Objects: Inside_Zone

    Bestemmingsinterface-objecten: Outside_Zone

    Oorspronkelijke bron: Local_IPv6_Subnet

    Vertaalde bron: 6_mapped_to_4

    NAT Rule Zone

    NAT Rule Networks

    Inkomende NAT.

    Ga in de FMC GUI naar Apparaten > NAT > Selecteer het NAT-beleid > Regel toevoegen en creëer NAT-regel om extern IPv4-verkeer naar interne IPv6-netwerkpool te vertalen. Dit maakt interne communicatie met uw lokale IPv6-subnetverbinding mogelijk. 

    Schakel bovendien DNS-herschrijving in op deze regel zodat antwoorden van de externe DNS-server kunnen worden geconverteerd van A-records (IPv4) naar AAA-records (IPv6).

    Bijvoorbeeld, buiten netwerk Any_IPv4 wordt statisch vertaald naar IPv6-subnetwerkknooppunt 2100:6400::/96 gedefinieerd in het object 4_mapped_to_6.

    NAT-regel: Auto NAT-regel

    Type: Statisch

    Bron interface-objecten: Outside_Zone

    Bestemmingsinterface-objecten: Inside_Zone

    Oorspronkelijke bron: Any_IPv4

    Vertaalde bron: 4_mapped_to_6

    Vertaal DNS antwoorden die overeenkomen met deze regel: Ja (Schakel selectievakje in)

    NAT Rule 2 Zone

    NAT Rule 2 Network

    NAT Rule 2 Advanced Options

    Final NAT Policy

    Vervolg de implementatie van wijzigingen in het FTD.

    Verificatie

    • Geef interfacenamen en IP-configuratie weer.
    > show nameif
    Interface Name Security
    Ethernet1/1 inside 0
    Ethernet1/2 Outside 0

    > show ipv6 interface brief

    inside [up/up]
    fe80::12b3:d6ff:fe20:eb48
    fc00:0:0:1::1


    > show ip
    System IP Addresses:
    Interface    Name      IP address     Subnet mask 
    Ethernet1/2  Outside   192.168.0.106  255.255.255.0
    • Bevestig IPv6-connectiviteit van FTD-binnenkant van interface naar client.

    IPv6 interne host-IP fc00:0:0:1:100.

    FTD Inside interface fc00:0:0:1:1.

    > ping fc00:0:0:1::100
    Please use 'CTRL+C' to cancel/abort...
    Sending 5, 100-byte ICMP Echos to fc00:0:0:1::100, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    • Geef NAT-configuratie op de FTD CLI weer.
    > show running-config nat
    !
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    • Leg verkeer vast.

    Neem bijvoorbeeld verkeer op van interne IPv6-host fc00:0:0:1::100 naar DNS-server is fc00::f:0:0:ac10:a64 UDP 53.

    Hier is de doelDNS-server fc00::f:0:ac10:a64. De laatste 32 bits zijn ac10:0a64. Deze bits zijn het octet-voor-octet equivalent aan 172,16,10,100. Firewall 6-to-4 vertaalt IPv6 DNS-server fc00:f:0:0:ac10:a64 naar het equivalent van IPv4 172.16.10.100.

    > capture test interface inside trace match udp host fc00:0:0:1::100 any6 eq 53


    > show capture test 
    2 packets captured
     1: 00:35:13.598052 fc00:0:0:1::100.61513 > fc00::f:0:0:ac10:a64.53: udp  
     2: 00:35:13.638882 fc00::f:0:0:ac10:a64.53 > fc00:0:0:1::100.61513: udp  


    > show capture test packet-number 1

    [...]
    Phase: 3
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    Additional Information:
    NAT divert to egress interface Outside(vrfid:0)
    Untranslate fc00::f:0:0:ac10:a64/53 to 172.16.10.100/53 <<<< Destination NAT

    [...]
    Phase: 6
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    Additional Information:
    Dynamic translate fc00:0:0:1::100/61513 to 192.168.0.107/61513 <<<<<<<< Source NAT


    > capture test2 interface Outside trace match udp any any eq 53

    2 packets captured

     1: 00:35:13.598152 192.168.0.107.61513 > 172.16.10.100.53: udp 
     2: 00:35:13.638782 172.16.10.100.53 > 192.168.0.107.61513: udp



    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    11-Aug-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Benjamin Cabrera Romero
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten