El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo implementar la configuración de traducción de direcciones de red (NAT) requerida en el Cisco Adaptive Security Appliance (ASA) para la implementación de interfaces de red duales de Expressway-E.
Sugerencia: Esta implementación es la opción recomendada para la implementación de Expressway-E, en lugar de la implementación de NIC única con reflexión de NAT.
Cisco recomienda que tenga conocimiento sobre estos temas:
Configuración básica de Cisco ASA y NAT
Configuración básica de Cisco Expressway-E y Expressway-C
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Dispositivos Cisco ASA serie 5500 y 5500-X que ejecutan la versión de software 8.0 y posteriores.
Cisco Expressway versión X8.0 y posterior.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Nota: A través de todo el documento, los dispositivos de Expressway se denominan Expressway-E y Expressway-C. Sin embargo, la misma configuración se aplica a los dispositivos VCS y VCS Control de Video Communication Server (VCS) Expressway.
Por diseño, Cisco Expressway-E se puede colocar en una zona desmilitarizada (DMZ) o con una interfaz orientada a Internet, mientras se puede comunicar con Cisco Expressway-C en una red privada. Cuando Cisco Expressway-E se coloca en una DMZ, estas son las ventajas adicionales:
Consejo: Para obtener más detalles sobre la implementación de TelePresence, refiérase a Cisco Expressway-E y Expressway-C - Guía de implementación de configuración básica y Colocación de Cisco VCS Expressway en una DMZ en lugar de en Internet pública.
Esta imagen muestra un ejemplo de implementación para Expressway-E con interfaces de red duales y NAT estática. Expressway-C actúa como el cliente transversal. Hay dos firewalls (FW A y FWB). Normalmente, en esta configuración de DMZ, FW A no puede enrutar el tráfico a FW B, y los dispositivos como Expressway-E son necesarios para validar y reenviar el tráfico de la subred de FW A a la subred de FW B (y viceversa).
Esta implementación consta de estos componentes.
Subred DMZ 1 - 10.0.10.0/24
Subred DMZ 2 - 10.0.20.0/24
Subred LAN - 10.0.30.0/24
Especificaciones de esta implementación:
Si Expressway-E está configurado para utilizar ambas interfaces LAN, las interfaces LAN1 y LAN2 deben estar ubicadas en subredes no superpuestas para asegurarse de que el tráfico se envíe a la interfaz correcta.
Cuando se agrupan los dispositivos de Expressway con la opción Advanced Networking configurada, cada par de clúster debe configurarse con su propia dirección de interfaz LAN1. Además, la agrupación en clúster se debe configurar en una interfaz que no tenga habilitado el modo NAT estático. Por lo tanto, se recomienda que utilice LAN2 como la interfaz externa, en la cual puede aplicar y configurar NAT estática cuando sea aplicable.
Los parámetros de configuración de la interfaz LAN externa en la página de configuración IP controlan qué interfaz de red utiliza Transversal Usando relés alrededor de NAT (TURN). En una configuración de interfaz de red dual Expressway-E, esto se configura normalmente en la interfaz LAN externa de Expressway-E.
Expressway-E debe configurarse con una dirección de gateway predeterminada de 10.0.10.1 para este escenario. Esto significa que todo el tráfico enviado a través de LAN2 se envía, de forma predeterminada, a la dirección IP 10.0.10.1.
Si FW B traduce el tráfico enviado desde la subred 10.0.30.0/24 a la interfaz LAN1 de Expressway-E (por ejemplo, tráfico de cliente transversal de Expressway-C o tráfico de administración del servidor TMS), este tráfico aparece cuando proviene de la interfaz externa FWB (10.0.20.1) cuando llega a la LAN1 de Expressway-E. Expressway-E puede responder a este tráfico a través de su interfaz LAN1, ya que el origen aparente de ese tráfico se encuentra en la misma subred.
Si NAT está habilitado en FW B, el tráfico enviado desde Expressway-C a Expressway-E LAN1 se muestra a medida que proviene de 10.0.30.2. Si Expressway no tiene una ruta estática agregada para la subred 10.0.30.0/24, envía las respuestas para este tráfico a su gateway predeterminada (10.0.10.1) desde LAN2, ya que no sabe que la subred 10.0.30.0/24 se encuentra detrás del firewall interno (FW B). Por lo tanto, es necesario agregar una ruta estática, ejecute el comando CLI xCommand RouteAdd a través de una sesión SSH a Expressway.
En este ejemplo en particular, Expressway-E debe saber que puede alcanzar la subred 10.0.30.0/24 detrás de FW B, a la que se puede acceder a través de la interfaz LAN1. Para lograrlo, ejecute el comando:
xCommand RouteAdd Address: 10.0.30.0 PrefixLength: 24 Gateway: 10.0.20.1 Interface: LAN1
Nota: SLa configuración de ruta estática se puede aplicar a través de la GUI de Expressway-E, así como en la sección Sistema/Red > Interfaces/Rutas Estáticas.
En este ejemplo, el parámetro Interface también se puede establecer en Auto ya que la dirección de gateway (10.0.20.1) sólo se puede alcanzar a través de LAN1.
Si la NAT no está habilitada en FW B y Expressway-E necesita comunicarse con dispositivos en subredes (distintas de 10.0.30.0/24) que también se encuentran detrás del FW B, se deben agregar rutas estáticas para estos dispositivos/subredes.
Nota: Esto incluye Conexiones SSH y HTTPS desde estaciones de trabajo de administración de red o para servicios de red como NTP, DNS, LDAP/AD o Syslog.
El comando y la sintaxis xCommand RouteAdd se describen con todo detalle en la Guía del administrador de VCS.
Esta sección describe cómo configurar la NAT estática necesaria para la implementación de la interfaz de red dual de Expressway-E en el ASA. Se incluyen algunas recomendaciones de configuración adicionales de ASA Modular Policy Framework (MPF) para gestionar el tráfico SIP/H323.
En este ejemplo, la asignación de dirección IP es la siguiente.
Dirección IP de Expressway-C: 10.0.30.2/24
Gateway predeterminado de Expressway-C: 10.0.30.1 (FW-B)
Direcciones IP de Expressway-E:
En LAN2: 10.0.10.2/24
En LAN1: 10.0.20.2/24
Gateway predeterminado de Expressway-E: 10.0.10.1 (FW-A)
Dirección IP de TMS: 10.0.30.3/24
Como se explica en la sección Información de fondo de este documento, el FW-A tiene una traducción NAT estática para permitir que Expressway-E sea accesible desde Internet con la dirección IP pública 64.100.0.10. Esta última es NATed a la dirección IP LAN2 de Expressway-E 10.0.10.2/24. Dicho esto, esta es la configuración NAT estática FW-A necesaria.
Para las versiones 8.3 y posteriores de ASA:
! To use PAT with specific ports range: object network obj-10.0.10.2
host 10.0.10.2
object service obj-udp_3478-3483 service udp source range 3478 3483 object service obj-udp_24000-29999 service udp source range 24000 29999 object service obj-udp_36002-59999 service udp source range 36002 59999 object service obj-tcp_5222 service tcp source eq 5222 object service obj-tcp_8443 service tcp source eq 8443 object service obj-tcp_5061 service tcp source eq 5061 object service obj-udp_5061 service udp source eq 5061 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_3478-3483 obj-udp_3478-3483 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_24000-29999 obj-udp_24000-29999 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_36002-59999 obj-udp_36002-59999 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_5222 obj-tcp_5222 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_8443 obj-tcp_8443 nat (inside,outside) source static obj-10.0.10.2 interface service obj-tcp_5061 obj-tcp_5061 nat (inside,outside) source static obj-10.0.10.2 interface service obj-udp_5061 obj-udp_5061 OR ! To use with static one-to-one NAT: object network obj-10.0.10.2 nat (inside,outside) static interface
Precaución: Cuando aplica los comandos estáticos PAT, recibe este mensaje de error en la interfaz de línea de comandos ASA, "ERROR: NAT no puede reservar puertos". Después de esto, proceda a borrar las entradas xlate en el ASA, para esto, ejecute el comando clearxlatelocal x.x.x.x, desde donde x.x.x.x corresponde a la dirección IP externa de ASA. Este comando borra todas las traducciones asociadas con esta dirección IP y las ejecuta con precaución en entornos de producción.
Para las versiones 8.2 y anteriores de ASA:
! Static PAT for a Range of Ports is Not Possible - A configuration line is required per port. This example shows only when Static one-to-one NAT is used. static (inside,outside) interface 10.0.10.2 netmask 255.255.255.255
Según Unified Communication: Expressway (DMZ) a la documentación pública de Internet, la lista de puertos TCP y UDP que Expressway-E requiere permitir en FW-A, son como se muestra en la imagen:
Ésta es la configuración ACL requerida como entrante en la interfaz exterior FW-A.
Para las versiones 8.3 y posteriores de ASA:
access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222 access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443 access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 access-list outside-in extended permit udp any host 10.0.10.2 lt 3484 access-list outside-in extended permit udp any host 10.0.10.2 gt 23999 access-list outside-in extended permit udp any host 10.0.10.2 lt 30000 access-list outside-in extended permit udp any host 10.0.10.2 gt 36001 access-list outside-in extended permit udp any host 10.0.10.2 lt 60000 access-list outside-in extended permit udp any host 10.0.10.2 eq 5061 access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061 access-group outside-in in interface outside
Para las versiones 8.2 y anteriores de ASA:
access-list outside-in extended permit tcp any host 64.100.0.10 eq 5222 access-list outside-in extended permit tcp any host 64.100.0.10 eq 8443 access-list outside-in extended permit udp any host 64.100.0.10 gt 3477 access-list outside-in extended permit udp any host 64.100.0.10 lt 3484 access-list outside-in extended permit udp any host 64.100.0.10 gt 23999 access-list outside-in extended permit udp any host 64.100.0.10 lt 30000 access-list outside-in extended permit udp any host 64.100.0.10 gt 36001 access-list outside-in extended permit udp any host 64.100.0.10 lt 60000 access-list outside-in extended permit udp any host 64.100.0.10 eq 5061 access-list outside-in extended permit tcp any host 64.100.0.10 eq 5061 access-group outside-in in interface outside
Como se explica en la sección Información de Fondo de este documento, FW B puede requerir una configuración NAT dinámica o PAT para permitir que la subred interna 10.0.30.0/24 se traduzca a la dirección IP 10.0.20.1 cuando vaya a la interfaz exterior del FW B.
Para las versiones 8.3 y posteriores de ASA:
object network obj-10.0.30.0 subnet 10.0.30.0 255.255.255.0 nat (inside,outside) dynamic interface
Para las versiones 8.2 y anteriores de ASA:
nat (inside) 1 10.0.30.0 255.255.255.0 global (outside) 1 interface
Sugerencia: asegúrese de que todos los puertos TCP y UDP requeridos permitan que Expressway-C funcione correctamente y estén abiertos en el FW B, tal como se especifica en este documento de Cisco: Uso de puertos IP de Cisco Expressway para firewall transversal
Utilize esta sección para confirmar que su configuración funcione correctamente.
Packet Tracer se puede utilizar en el ASA para confirmar que la traducción NAT estática de Expressway-E funciona según sea necesario.
FW-A#packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5222 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/5222 to 10.0.10.2/5222 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 13, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
FW-A# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 8443 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/8443 to 10.0.10.2/8443 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 14, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
FW-1# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5061 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/5061 to 10.0.10.2/5061 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 15, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 24000 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/24000 to 10.0.10.2/24000 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 16, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 36002 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: NAT divert to egress interface inside Untranslate 64.100.0.10/36002 to 10.0.10.2/36002 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group outside-in in interface outside access-list outside-in extended permit udp any host 10.0.10.2 gt 3477 Additional Information: Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: rpf-check Result: ALLOW Config: object network obj-10.0.10.2 nat (inside,outside) static interface Additional Information: Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 17, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allow
Las capturas de paquetes se pueden realizar tanto en las interfaces de entrada como de salida de ASA.
FW-A# sh cap capture capout interface outside match ip host 64.100.0.100 host 64.100.0.10 capture capin interface inside match ip host 64.100.0.100 host 10.0.10.2
Capturas de paquetes para 64.100.0.10 en TCP/5222:
FW-A# sh cap capout 2 packets captured 1: 21:39:33.646954 64.100.0.100.21144 > 64.100.0.10.5222: S 4178032747:4178032747(0) win 4128 <mss 1460> 2: 21:39:35.577652 64.100.0.100.21144 > 64.100.0.10.5222: S 4178032747:4178032747(0) win 4128 <mss 1460> 2 packets shown FW-A# sh cap capin 2 packets captured 1: 21:39:33.647290 64.100.0.100.21144 > 10.0.10.2.5222: S 646610520:646610520(0) win 4128 <mss 1380> 2: 21:39:35.577683 64.100.0.100.21144 > 10.0.10.2.5222: S 646610520:646610520(0) win 4128 <mss 1380> 2 packets shown
Capturas de paquetes para 64.100.0.10 en TCP/5061:
FW-A# sh cap capout 2 packets captured 1: 21:42:14.920576 64.100.0.100.50820 > 64.100.0.10.5061: S 2023539318:2023539318(0) win 4128 <mss 1460> 2: 21:42:16.992380 64.100.0.100.50820 > 64.100.0.10.5061: S 2023539318:2023539318(0) win 4128 <mss 1460> 2 packets shown
FW-A# sh cap capin 2 packets captured 1: 21:42:14.920866 64.100.0.100.50820 > 10.0.10.2.5061: S 2082904361:2082904361(0) win 4128 <mss 1380> 2: 21:42:16.992410 64.100.0.100.50820 > 10.0.10.2.5061: S 2082904361:2082904361(0) win 4128 <mss 1380> 2 packets shown
La captura de ASA ASP captura las caídas de paquetes de un ASA. La opción all, captura todas las razones posibles por las que ASA descartó un paquete. Esto puede reducirse si hay alguna razón sospechosa. Para obtener una lista de las razones que utiliza un ASA para clasificar estas caídas, ejecute el comando show asp drop.
capture asp type asp-drop all
show cap asp
OR
show cap asp | i 64.100.0.10
show cap asp | i 10.0.10.2
Consejo: La captura de ASA ASP se utiliza en esta situación para confirmar si el ASA descarta paquetes debido a una configuración de ACL o NAT perdida, que requeriría abrir un puerto TCP o UDP específico para Expressway-E.
Consejo: El tamaño predeterminado del búfer para cada captura ASA es de 512 KB. Si el ASA descarta demasiados paquetes, el búfer se llena rápidamente. El tamaño del búfer se puede aumentar con la opción buffer.
Asegúrese de que la inspección de SIP/H.323 esté completamente inhabilitada en los firewalls involucrados.
Se recomienda inhabilitar la inspección de SIP y H.323 en firewalls que gestionan el tráfico de red hacia o desde Expressway-E. Cuando se activa, la inspección de SIP/H.323 suele afectar negativamente a la funcionalidad transversal NAT/firewall incorporado de Expressway.
Este es un ejemplo de cómo inhabilitar las inspecciones SIP y H.323 en el ASA:
policy-map global_policy class inspection_default no inspect h323 h225 no inspect h323 ras no inspect sip
Una solución alternativa para implementar Expressway-E con interfaces de red duales/NIC duales es implementar Expressway-E pero con una configuración de reflexión de NAT y NIC única en los firewalls. El siguiente enlace muestra más detalles sobre esta implementación Configure NAT Reflection en ASA para dispositivos de VCS Expressway TelePresence.
Consejo: La implementación recomendada para VCS Expressway son las interfaces de red duales/implementación de NIC VCS Expressway dual descritas en este documento.