Dynamische ASA 8.3(x)-PAT mit zwei internen Netzwerken und Internetkonfigurationsbeispiel

Einleitung

Dieses Dokument enthält eine Beispielkonfiguration für dynamische PAT auf einer Cisco Adaptive Security Appliance (ASA) mit der Softwareversion 8.3(1). Dynamic PAT übersetzt mehrere reale Adressen in eine einzelne zugeordnete IP-Adresse, indem die reale Quelladresse und der reale Quellport in die zugeordnete Adresse und den eindeutig zugeordneten Port übersetzt werden. Für jede Verbindung ist eine separate Übersetzungssitzung erforderlich, da sich der Quellport für jede Verbindung unterscheidet.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

• Vergewissern Sie sich, dass sich im internen Netzwerk zwei Netzwerke im Inneren der ASA befinden:

  • 192.168.0.0/24 - Direkte Verbindung des Netzwerks mit der ASA

  • 192.168.1.0/24 - Netzwerk innerhalb der ASA, aber hinter einem anderen Gerät (z. B. einem Router).

• Stellen Sie sicher, dass die internen Benutzer die PAT wie folgt erhalten:

  • Hosts im Subnetz 192.168.1.0/24 erhalten PAT an eine vom ISP angegebene Ersatz-IP-Adresse (10.1.5.5).

  • Jeder andere Host innerhalb der ASA erhält PAT an die externe Schnittstellen-IP-Adresse der ASA (10.1.5.1).

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Adaptive Security Appliance (ASA) mit Version 8.3(1)

• ASDM Version 6.3(1)

Hinweis: Weitere Informationen dazu, wie die ASA vom ASDM konfiguriert werden kann, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfiguration

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht legal routbar. Es handelt sich um RFC 1918-Adressen, die in einer Laborumgebung verwendet wurden.

• CLI-Konfiguration der ASA

• ASDM-Konfiguration

CLI-Konfiguration der ASA

In diesem Dokument werden die unten dargestellten Konfigurationen verwendet.

ASA#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.


!--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.1.5.1), for internet bound traffic.


ASA(config)#object network OBJ_GENERIC_ALL
ASA(config-obj)#subnet 0.0.0.0 0.0.0.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface


!--- The above statements are the equivalent of the !--- nat/global combination (as shown below) in v7.0(x), !--- v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code:


nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface



!--- Creates an object called OBJ_SPECIFIC_192-168-1-0. !--- Any host IP facing the the ‘inside’ interface of the ASA !--- with an address in the 192.168.1.0/24 subnet will get PAT !--- to the 10.1.5.5 address, for internet bound traffic.


ASA(config)#object network OBJ_SPECIFIC_192-168-1-0
ASA(config-obj)#subnet 192.168.1.0 255.255.255.0
ASA(config-obj)#exit
ASA(config)#nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5


!--- The above statements are the equivalent of the nat/global !--- combination (as shown below) in v7.0(x), v7.1(x), v7.2(x), v8.0(x), !--- v8.1(x) and v8.2(x) ASA code:


nat (inside) 2 192.168.1.0 255.255.255.0
global (outside) 2 10.1.5.5

ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- Configure the outside interface.

!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.1.5.1 255.255.255.0

!--- Configure the inside interface.

!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
boot system disk0:/asa831-k8.bin

ftp mode passive

object network OBJ_SPECIFIC_192-168-1-0 
 subnet 192.168.1.0 255.255.255.0
object network OBJ_GENERIC_ALL 
 subnet 0.0.0.0 0.0.0.0

pager lines 24
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-631.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5

route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 10.1.5.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

ASDM-Konfiguration

Um diese Konfiguration über die ASDM-Schnittstelle abzuschließen, müssen Sie:

1. Fügen Sie drei Netzwerkobjekte hinzu. In diesem Beispiel werden folgende Netzwerkobjekte hinzugefügt:

   • OBJ_GENERIC_ALL

   • OBJ_SPECIFIC_192-168-1-0

   • 10.1.5.5

2. Erstellen Sie zwei NAT/PAT-Regeln. In diesem Beispiel werden NAT-Regeln für diese Netzwerkobjekte erstellt:

   • OBJ_GENERIC_ALL

   • OBJ_SPECIFIC_192-168-1-0

Netzwerkobjekte hinzufügen

Gehen Sie wie folgt vor, um Netzwerkobjekte hinzuzufügen:

1. Melden Sie sich bei ASDM an, und wählen Sie Configuration > Firewall > Objects/Groups (Konfiguration > Firewall > Objekte > Netzwerkobjekte/Gruppen).

   

2. Wählen Sie Hinzufügen > Netzwerkobjekt, um ein Netzwerkobjekt hinzuzufügen.

   

   Das Dialogfeld "Netzwerkobjekt hinzufügen" wird angezeigt.

   

3. Geben Sie im Dialogfeld Netzwerkobjekt hinzufügen folgende Informationen ein:

   • Name des Netzwerkobjekts. (In diesem Beispiel wird OBJ_GENERIC_ALL verwendet.)

   • Typ des Netzwerkobjekts. (In diesem Beispiel wird Netzwerk verwendet.)

   • IP-Adresse für das Netzwerkobjekt. (In diesem Beispiel wird 0.0.0.0 verwendet.)

   • Netzmaske für das Netzwerkobjekt. (In diesem Beispiel wird 0.0.0.0 verwendet.)

4. Klicken Sie auf OK.

   Das Netzwerkobjekt wird erstellt und in der Liste Netzwerkobjekte/Gruppen angezeigt, wie in der folgenden Abbildung dargestellt:

   

5. Wiederholen Sie die vorherigen Schritte, um ein zweites Netzwerkobjekt hinzuzufügen, und klicken Sie auf OK.

   In diesem Beispiel werden folgende Werte verwendet:

   • Name: OBJ_SPECIFIC_192-168-1-0

   • Typ: Netzwerk

   • IP-Adresse: 192.168.1.0

   • Netzmaske: 255.255.255.0

   

   Das zweite Objekt wird erstellt und in der Liste "Netzwerkobjekte/Gruppen" angezeigt, wie in der folgenden Abbildung dargestellt:

   

6. Wiederholen Sie die vorherigen Schritte, um ein drittes Netzwerkobjekt hinzuzufügen, und klicken Sie auf OK.

   In diesem Beispiel werden folgende Werte verwendet:

   • Name: 10.1.5.5

   • Typ: Host

   • IP-Adresse: 10.1.5.5

   

   Die dritten Netzwerkobjekte werden erstellt und in der Liste Netzwerkobjekte/Gruppen angezeigt.

   

   Die Liste der Netzwerkobjekte/Gruppen sollte nun die drei erforderlichen Objekte enthalten, auf die die NAT-Regeln verweisen sollen.

NAT/PAT-Regeln erstellen

Gehen Sie wie folgt vor, um NAT/PAT-Regeln zu erstellen:

1. Erstellen Sie die erste NAT/PAT-Regel:

   1. Wählen Sie in ASDM Configuration > Firewall > NAT Rules aus, und klicken Sie auf Add.

      

      Das Dialogfeld "NAT-Regel hinzufügen" wird angezeigt.

      

   2. Wählen Sie im Bereich "Match Criteria: Original Packet" des Dialogfelds Add NAT Rule (NAT-Regel hinzufügen) inside aus der Dropdown-Liste Source Interface (Quellschnittstelle) aus.

      

   3. Klicken Sie auf die Schaltfläche Durchsuchen (..) rechts neben dem Textfeld Quelladresse.

      Das Dialogfeld Ursprüngliche Quelladresse durchsuchen wird angezeigt.

      

   4. Wählen Sie im Dialogfeld Ursprüngliche Quelladresse durchsuchen das erste Netzwerkobjekt aus, das Sie erstellt haben. (Wählen Sie in diesem Beispiel OBJ_GENERIC_ALL.)

   5. Klicken Sie auf Ursprüngliche Quelladresse, und klicken Sie auf OK.

      Das Netzwerkobjekt OBJ_GENERIC_ALL wird nun im Feld Quelladresse im Bereich Zuordnungskriterien: Ursprüngliches Paket des Dialogfelds NAT-Regel hinzufügen angezeigt.

      

   6. Wählen Sie im Bereich Action: Translated Packet des Dialogfelds Add NAT Rule (Aktion: Übersetztes Paket) die Option Dynamic PAT (Ausblenden) aus dem Dialogfeld Source NAT Type (Quell-NAT-Typ).

      

   7. Klicken Sie auf die Schaltfläche Durchsuchen (..) rechts neben dem Feld Quelladresse.

      

      Das Dialogfeld "Übersetzte Quelladresse durchsuchen" wird angezeigt.

      

   8. Wählen Sie im Dialogfeld Browse Translated Source Address (Übersetzte Quelladresse durchsuchen) das externe Schnittstellenobjekt. (Diese Schnittstelle wurde bereits erstellt, da sie Teil der ursprünglichen Konfiguration ist.)

   9. Klicken Sie auf Übersetzte Quelladresse, und klicken Sie auf OK.

      Die externe Schnittstelle wird nun im Dialogfeld "Add NAT Rule" (NAT-Regel hinzufügen) im Bereich "Action: Translated Packet" (Aktion: Übersetztes Paket) im Feld "Source Address" (Quelladresse) angezeigt.

      

      Hinweis: Das Feld "Destination Interface" wechselt ebenfalls zur externen Schnittstelle.

   10. Vergewissern Sie sich, dass die erste ausgefüllte PAT-Regel wie folgt angezeigt wird:

       Überprüfen Sie im Bereich Match Criteria: Original Packet (Übereinstimmungskriterien: Originalpaket) folgende Werte:

       • Source Interface = inside

       • Quelladresse = OBJ_GENERIC_ALL

       • Zieladresse = any

       • Service = any

       Überprüfen Sie im Bereich Action: Translated Packet (Aktion: Übersetztes Paket) folgende Werte:

       • Quell-NAT-Typ = dynamische PAT (Ausblenden)

       • Quelladresse = außerhalb

       • Zieladresse = Original

       • Service = Original

   11. Klicken Sie auf OK.

       Die erste NAT-Regel wird im ASDM angezeigt, wie in der folgenden Abbildung dargestellt:

       

2. Erstellen Sie die zweite NAT/PAT-Regel:

   1. Wählen Sie in ASDM Configuration > Firewall > NAT Rules aus, und klicken Sie auf Add.

   2. Wählen Sie im Bereich "Match Criteria: Original Packet" des Dialogfelds Add NAT Rule (NAT-Regel hinzufügen) inside aus der Dropdown-Liste Source Interface (Quellschnittstelle) aus.

   3. Klicken Sie auf die Schaltfläche Durchsuchen (..) rechts neben dem Feld Quelladresse.

      Das Dialogfeld Ursprüngliche Quelladresse durchsuchen wird angezeigt.

      

   4. Wählen Sie im Dialogfeld Ursprüngliche Quelladresse durchsuchen das zweite von Ihnen erstellte Objekt aus. (Wählen Sie in diesem Beispiel OBJ_SPECIFIC_192-168-1-0.)

   5. Klicken Sie auf Ursprüngliche Quelladresse, und klicken Sie auf OK.

      Das Netzwerkobjekt OBJ_SPECIFIC_192-168-1-0 wird im Feld "Source Address" (Quelladresse) des Dialogfelds "Add NAT Rule" (NAT-Regel hinzufügen) im Bereich "Match Criteria: Original Packet" (Übereinstimmungskriterien: Ursprüngliches Paket) angezeigt.

   6. Wählen Sie im Bereich Action: Translated Packet des Dialogfelds Add NAT Rule (Aktion: Übersetztes Paket) die Option Dynamic PAT (Ausblenden) aus dem Dialogfeld Source NAT Type (Quell-NAT-Typ).

   7. Klicken Sie auf die Schaltfläche ... rechts neben dem Feld Quelladresse.

      Das Dialogfeld "Übersetzte Quelladresse durchsuchen" wird angezeigt.

      

   8. Wählen Sie im Dialogfeld Browse Translated Source Address (Übersetzte Quelladresse durchsuchen) das Objekt 10.1.5.5 aus. (Diese Schnittstelle wurde bereits erstellt, da sie Teil der ursprünglichen Konfiguration ist.)

   9. Klicken Sie auf Übersetzte Quelladresse, und klicken Sie dann auf OK.

      Das Netzwerkobjekt 10.1.5.5 wird im Feld Quelladresse im Bereich Aktion: Übersetztes Paket des Dialogfelds NAT-Regel hinzufügen angezeigt.

   10. Wählen Sie im Bereich Match Criteria: Original Packet (Übereinstimmungskriterien: Originalpaket) outside aus der Dropdown-Liste Destination Interface (Zielschnittstelle) aus.

       Hinweis: Wenn Sie für diese Option nicht outside auswählen, verweist die Zielschnittstelle auf Any (Beliebig).

       

   11. Überprüfen Sie, ob die zweite abgeschlossene NAT/PAT-Regel wie folgt angezeigt wird:

       Überprüfen Sie im Bereich Match Criteria: Original Packet (Übereinstimmungskriterien: Originalpaket) folgende Werte:

       • Source Interface = inside

       • Quelladresse = OBJ_SPECIFIC_192-168-1-0

       • Zieladresse = außerhalb

       • Service = any

       Überprüfen Sie im Bereich Action: Translated Packet (Aktion: Übersetztes Paket) folgende Werte:

       • Quell-NAT-Typ = dynamische PAT (Ausblenden)

       • Quelladresse = 10.1.5.5

       • Zieladresse = Original

       • Service = Original

   12. Klicken Sie auf OK.

       Die abgeschlossene NAT-Konfiguration wird im ASDM angezeigt, wie in der folgenden Abbildung dargestellt:

       

3. Klicken Sie auf die Schaltfläche Apply (Übernehmen), um die Änderungen auf die aktuelle Konfiguration anzuwenden.

Damit ist die Konfiguration der dynamischen PAT auf einer Cisco Adaptive Security Appliance (ASA) abgeschlossen.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Überprüfen der generischen PAT-Regel

• show local-host - Zeigt die Netzwerkstatus der lokalen Hosts an.

  ASA#show local-host
  
     Interface outside: 1 active, 2 maximum active, 0 denied
  local host: <125.252.196.170>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  !--- The TCP connection outside address corresponds !--- to the actual destination of 125.255.196.170:80
  
  Conn:
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, 
            idle 0:00:03, bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
            bytes 11896, flags UIO
  Interface inside: 1 active, 1 maximum active, 0 denied
  local host: <192.168.0.5>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  
  !--- The TCP PAT outside address corresponds to the !--- outside IP address of the ASA – 10.1.5.1.
  
  
    Xlate:
      TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
            ri idle 0:00:17 timeout 0:00:30
      TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
            ri idle 0:00:17 timeout 0:00:30
  
    Conn:
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, 
            bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, 
            bytes 11896, flags UIO

• show conn - Zeigt den Verbindungsstatus für den angegebenen Verbindungstyp an.

  ASA#show conn
  			2 in use, 3 most used
  TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:06, 
            bytes 13758, flags UIO
  TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:01, 
            bytes 13526, flags UIO

• show xlate - Zeigt die Informationen zu den Übersetzungssteckplätzen an.

  ASA#show xlate
  	4 in use, 7 most used
  Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
            T - twice
  TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags 
            ri idle 0:00:23 timeout 0:00:30
  TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags 
            ri idle 0:00:23 timeout 0:00:30

Überprüfen der spezifischen PAT-Regel

• show local-host - Zeigt die Netzwerkstatus der lokalen Hosts an.

  ASA#show local-host
  Interface outside: 1 active, 2 maximum active, 0 denied
  local host: <125.252.196.170>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  !--- The TCP connection outside address corresponds to !--- the actual destination of 125.255.196.170:80.
  
  Conn:
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, 
            idle 0:00:07, bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, 
            idle 0:00:03, bytes 11896, flags UIO
  Interface inside: 1 active, 1 maximum active, 0 denied
  local host: <192.168.0.5>,
      TCP flow count/limit = 2/unlimited
      TCP embryonic count to host = 0
      TCP intercept watermark = unlimited
      UDP flow count/limit = 0/unlimited
  
  
  
  !--- The TCP PAT outside address corresponds to an !--- outside IP address of 10.1.5.5.
  
  Xlate:
      TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
            ri idle 0:00:17 timeout 0:00:30
      TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/23673 flags 
            ri idle 0:00:17 timeout 0:00:30
  
    Conn:
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
            bytes 13758, flags UIO
      TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
            bytes 11896, flags UIO

• show conn - Zeigt den Verbindungsstatus für den angegebenen Verbindungstyp an.

  ASA#show conn
  2 in use, 3 most used
  TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, 
            bytes 13653, flags UIO
  TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, 
            bytes 13349, flags UIO

• show xlate - Zeigt die Informationen zu den Übersetzungssteckplätzen an.

  ASA#show xlate
  3 in use, 9 most used
  Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, 
            T - twice
  TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags 
            ri idle 0:00:23 timeout 0:00:30
  TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/29673 flags 
            ri idle 0:00:23 timeout 0:00:30

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

• Cisco Adaptive Security Device Manager
• Cisco Adaptive Security Appliances der Serie ASA 5500
• Requests for Comments (RFCs)
• Technischer Support und Dokumentation für Cisco Systeme