Comunicación LAN entre hosts que buscan sus direcciones IP públicas detrás de un ASA

Opciones de descarga

PDF (408.8 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (334.2 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (246.5 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:19 de agosto de 2018

ID del documento:213531

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Problema: Comunicación LAN entre hosts que buscan sus direcciones IP públicas detrás de un ASA

Ejemplo 1. El PC-A host de origen está conectado a la interfaz ASA interna, mientras que el servidor de prueba del host de destino está conectado a la interfaz DMZ.

Ejemplo 2. Los hosts de origen y de destino PC-A y Test Server están conectados a la misma interfaz ASA interna.

Ejemplo 3. Los hosts de origen y de destino PC-A y Test Server están conectados a la interfaz ASA interna, pero detrás de otro dispositivo de capa 3 (podría ser un router o un switch multicapa).

Solución

Ejemplo 1. El PC-A host de origen está conectado a la interfaz ASA interna, mientras que el servidor de prueba del host de destino está conectado a la interfaz DMZ.

Configuración

Troubleshoot

Ejemplo 2. Los hosts de origen y de destino PC-A y Test Server están conectados a la misma interfaz ASA interna.

Configuración

Troubleshoot

Ejemplo 3. Los hosts de origen y de destino PC-A y Test Server están conectados a la interfaz ASA interna, pero detrás de otro dispositivo de capa 3 (podría ser un router o un switch multicapa).

Configuración

Troubleshoot

Información Relacionada

Introducción

Este documento describe diferentes implementaciones de red desde las que se requiere permitir la comunicación de red de área local (LAN) entre hosts que buscan sus direcciones IP públicas detrás de un dispositivo de seguridad adaptable (ASA).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración básica de NAT de Cisco ASA, versión 8.3 y posterior.
Configuración básica de NAT de Cisco ASA, versión 8.2 y posterior.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Series ASA5500 y ASA5500-X.
Cisco ASA versión 8.3 y posteriores.
Cisco ASA versión 8.2 y posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Problema: Comunicación LAN entre hosts que buscan sus direcciones IP públicas detrás de un ASA

En la siguiente sección, puede ver tres ejemplos de topología que muestran este requisito de comunicación para permitir la comunicación LAN entre hosts que buscan sus direcciones IP públicas detrás de un ASA.

Ejemplo 1. El PC-A host de origen está conectado a la interfaz ASA interna, mientras que el servidor de prueba del host de destino está conectado a la interfaz DMZ.

Ejemplo 2. Los hosts de origen y de destino PC-A y Test Server están conectados a la misma interfaz ASA interna.

Ejemplo 3. Los hosts de origen y de destino PC-A y Test Server están conectados a la interfaz ASA interna, pero detrás de otro dispositivo de capa 3 (podría ser un router o un switch multicapa).

Nota: El servidor de pruebas de las tres imágenes tiene una traducción estática de direcciones de red (NAT) configurada en el ASA, esta traducción NAT estática se aplica desde el exterior a la interfaz interna correspondiente para permitir que el servidor de pruebas pueda alcanzarse desde el exterior con la dirección IP pública 64.100.0.5, y luego se traduce a la dirección IP privada interna del servidor de pruebas.

Solución

Para permitir que el PC-A host de origen llegue al servidor de prueba de destino con su dirección IP pública en lugar de la privada, necesitamos aplicar una configuración NAT doble. La configuración NAT doble nos ayuda a traducir las direcciones IP de origen y de destino de los paquetes cuando el tráfico pasa a través del ASA.

Aquí los detalles de la configuración de dos nat requerida para cada topología:

Ejemplo 1. El PC-A host de origen está conectado a la interfaz ASA interna, mientras que el servidor de prueba del host de destino está conectado a la interfaz DMZ.

Configuración

Dos veces NAT para ASA versiones 8.3 y posteriores:

object network obj-10.1.1.5
 host 10.1.1.5

object network obj-172.16.1.5
 host 172.16.1.5

object network obj-64.100.0.5
 host 64.100.0.5

nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5

NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Dos veces NAT para ASA versiones 8.2 y anteriores:

access-list IN-DMZ-INTERFACE extended permit ip host 10.1.1.5 host 64.100.0.5
static (inside,dmz) interface access-list IN-DMZ-INTERFACE

access-list DMZ-IN-INTERFACE extended permit ip host 172.16.1.5 host 172.16.1.1
static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE

Troubleshoot

Versiones de Salida de Packet Tracer 8.3 y Posteriores:

ASA# packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80

Phase: 1
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5
Additional Information:
NAT divert to egress interface dmz
Untranslate 64.100.0.5/80 to 172.16.1.5/80

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5
Additional Information:
Static translate 10.1.1.5/123 to 172.16.1.1/123

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,dmz) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-172.16.1.5
Additional Information:

Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 167632, packet dispatched to next module

Result: 
input-interface: inside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Versiones de salida 8.2 y anteriores de Packet Tracer:

ASA#packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80 

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE 
 match ip dmz host 172.16.1.5 inside host 172.16.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface dmz
Untranslate 64.100.0.5/0 to 172.16.1.5/0 using netmask 255.255.255.255

Phase: 2
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: NAT
Subtype: 
Result: ALLOW
Config: 
static (inside,dmz) interface access-list IN-DMZ-INTERFACE 
 match ip inside host 10.1.1.5 dmz host 64.100.0.5
 static translation to 172.16.1.1
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.1.1.5/0 to 172.16.1.1/0 using netmask 255.255.255.255

Phase: 4
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,dmz) interface access-list IN-DMZ-INTERFACE 
 match ip inside host 10.1.1.5 dmz host 64.100.0.5
 static translation to 172.16.1.1
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE 
 match ip dmz host 172.16.1.5 inside host 172.16.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (dmz,inside) 64.100.0.5 access-list DMZ-IN-INTERFACE 
 match ip dmz host 172.16.1.5 inside host 172.16.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8 
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 503, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

Capturas de paquetes:

ASA# sh cap
capture capin type raw-data interface inside [Capturing - 1300 bytes] 
 match ip host 10.1.1.5 host 64.100.0.5 
capture capout type raw-data interface dmz [Capturing - 1300 bytes] 
 match ip host 172.16.1.1 host 172.16.1.5 

ASA# sh cap capin

10 packets captured
 1: 12:36:28.245455 10.1.1.5 > 64.100.0.5: icmp: echo request 
 2: 12:36:28.269441 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 3: 12:36:28.303451 10.1.1.5 > 64.100.0.5: icmp: echo request 
 4: 12:36:28.333692 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 5: 12:36:28.372478 10.1.1.5 > 64.100.0.5: icmp: echo request 
 6: 12:36:28.395563 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 7: 12:36:28.422402 10.1.1.5 > 64.100.0.5: icmp: echo request 
 8: 12:36:28.449241 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 9: 12:36:28.481420 10.1.1.5 > 64.100.0.5: icmp: echo request 
 10: 12:36:28.507435 64.100.0.5 > 10.1.1.5: icmp: echo reply 
10 packets shown

ASA1# sh cap capout

10 packets captured
 1: 12:36:28.245730 172.16.1.1 > 172.16.1.5: icmp: echo request 
 2: 12:36:28.269395 172.16.1.5 > 172.16.1.1: icmp: echo reply 
 3: 12:36:28.303725 172.16.1.1 > 172.16.1.5: icmp: echo request 
 4: 12:36:28.333646 172.16.1.5 > 172.16.1.1: icmp: echo reply 
 5: 12:36:28.372737 172.16.1.1 > 172.16.1.5: icmp: echo request 
 6: 12:36:28.395533 172.16.1.5 > 172.16.1.1: icmp: echo reply 
 7: 12:36:28.422661 172.16.1.1 > 172.16.1.5: icmp: echo request 
 8: 12:36:28.449195 172.16.1.5 > 172.16.1.1: icmp: echo reply 
 9: 12:36:28.481695 172.16.1.1 > 172.16.1.5: icmp: echo request 
 10: 12:36:28.507404 172.16.1.5 > 172.16.1.1: icmp: echo reply 
10 packets shown

Ejemplo 2. Los hosts de origen y de destino PC-A y Test Server están conectados a la misma interfaz ASA interna.

Configuración

Dos veces NAT para ASA versiones 8.3 y posteriores:

object network obj-10.1.1.5
 host 10.1.1.5

object network obj-10.1.1.6
 host 10.1.1.6

object network obj-64.100.0.5
 host 64.100.0.5

nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6

NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Dos veces NAT para ASA versiones 8.2 y anteriores:

access-list IN-OUT-INTERFACE extended permit ip host 10.1.1.5 host 64.100.0.5
static (inside,inside) interface access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.1.1.6 host 10.1.1.1
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE

Nota: La intención principal de la traducción NAT para la dirección IP de origen de 10.1.1.5 a la dirección IP 10.1.1.1 de la interfaz interna de ASA es forzar las respuestas que vienen del host 10.1.1.6 para que regresen al ASA, esto es muy necesario para evitar el ruteo asimétrico y permitir que el ASA procese todo el tráfico entre los hosts interesados, si no traducimos dirección IP de origen como hicimos en este ejemplo, luego el ASA bloqueará el tráfico interesado debido al ruteo asimétrico.

Troubleshoot

Versiones de Salida de Packet Tracer 8.3 y Posteriores:

ASA# packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.5/80 to 10.1.1.6/80

Phase: 2
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6
Additional Information:
Static translate 10.1.1.5/123 to 10.1.1.1/123

Phase: 3
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule 
Additional Information:

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,inside) source static obj-10.1.1.5 interface destination static obj-64.100.0.5 obj-10.1.1.6
Additional Information:
 
Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 167839, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Versiones de salida 8.2 y anteriores de Packet Tracer:

ASA# packet-tracer input inside tcp 10.1.1.5 123 64.100.0.5 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
 match ip inside host 10.1.1.6 inside host 10.1.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.5/0 to 10.1.1.6/0 using netmask 255.255.255.255

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 3
Type: IP-OPTIONS
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 4
Type: NAT
Subtype: 
Result: ALLOW
Config:
static (inside,inside) interface access-list IN-OUT-INTERFACE 
 match ip inside host 10.1.1.5 inside host 64.100.0.5
 static translation to 10.1.1.1
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.1.1.5/0 to 10.1.1.1/0 using netmask 255.255.255.255

Phase: 5
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,inside) interface access-list IN-OUT-INTERFACE 
 match ip inside host 10.1.1.5 inside host 64.100.0.5
 static translation to 10.1.1.1
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 6
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
 match ip inside host 10.1.1.6 inside host 10.1.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
 match ip inside host 10.1.1.6 inside host 10.1.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:
 
Phase: 8
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 727, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Capturas de paquetes:

ASA# sh cap
capture capin type raw-data interface inside [Capturing - 1300 bytes] 
 match ip host 10.1.1.5 host 64.100.0.5 
capture capout type raw-data interface inside [Capturing - 1300 bytes] 
 match ip host 10.1.1.1 host 10.1.1.6

ASA# sh cap capin

10 packets captured
 1: 12:50:39.304748 10.1.1.5 > 64.100.0.5: icmp: echo request 
 2: 12:50:39.335431 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 3: 12:50:39.368389 10.1.1.5 > 64.100.0.5: icmp: echo request 
 4: 12:50:39.389368 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 5: 12:50:39.398432 10.1.1.5 > 64.100.0.5: icmp: echo request 
 6: 12:50:39.418176 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 7: 12:50:39.419732 10.1.1.5 > 64.100.0.5: icmp: echo request 
 8: 12:50:39.425103 64.100.0.5 > 10.1.1.5: icmp: echo reply 
 9: 12:50:39.434395 10.1.1.5 > 64.100.0.5: icmp: echo request 
 10: 12:50:39.438423 64.100.0.5 > 10.1.1.5: icmp: echo reply 
10 packets shown

ASA2# sh cap capout

10 packets captured
 1: 12:50:39.305282 10.1.1.1 > 10.1.1.6: icmp: echo request 
 2: 12:50:39.335386 10.1.1.6 > 10.1.1.1: icmp: echo reply 
 3: 12:50:39.368663 10.1.1.1 > 10.1.1.6: icmp: echo request 
 4: 12:50:39.389307 10.1.1.6 > 10.1.1.1: icmp: echo reply 
 5: 12:50:39.398706 10.1.1.1 > 10.1.1.6: icmp: echo request 
 6: 12:50:39.418130 10.1.1.6 > 10.1.1.1: icmp: echo reply 
 7: 12:50:39.419762 10.1.1.1 > 10.1.1.6: icmp: echo request 
 8: 12:50:39.425072 10.1.1.6 > 10.1.1.1: icmp: echo reply 
 9: 12:50:39.434669 10.1.1.1 > 10.1.1.6: icmp: echo request 
 10: 12:50:39.438392 10.1.1.6 > 10.1.1.1: icmp: echo reply 
10 packets shown

Ejemplo 3. Los hosts de origen y de destino PC-A y Test Server están conectados a la interfaz ASA interna, pero detrás de otro dispositivo de capa 3 (podría ser un router o un switch multicapa).

Configuración

Dos veces NAT para ASA versiones 8.3 y posteriores:

object network obj-10.2.2.5
 host 10.2.2.5

object network obj-10.3.3.6
 host 10.3.3.6

object network obj-64.100.0.5
 host 64.100.0.5

nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6

NOTE: After this NAT is applied in the ASA you will receive a warning message as the following:

WARNING: All traffic destined to the IP address of the outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the outside interface.

Dos veces NAT para ASA versiones 8.2 y anteriores:

access-list IN-OUT-INTERFACE extended permit ip host 10.2.2.5 host 64.100.0.5
static (inside,inside) interface access-list IN-OUT-INTERFACE

access-list OUT-IN-INTERFACE extended permit ip host 10.3.3.6 host 10.1.1.1
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE

Nota: La intención principal de la traducción NAT para la dirección IP de origen de 10.1.1.5 a la dirección IP de la interfaz interna del ASA (10.1.1.1) es forzar las respuestas que vienen del host 10.1.1.6 a regresar al ASA, esto es muy necesario para evitar el ruteo asimétrico y permitir que el ASA procese todo el tráfico entre los hosts interesados, si no traducimos la dirección IP de origen como hicimos en este ejemplo, el ASA bloqueará el tráfico interesado debido al ruteo asimétrico.

Troubleshoot

Versiones de Salida de Packet Tracer 8.3 y Posteriores:

ASA# packet-tracer input inside tcp 10.2.2.5 123 64.100.0.5 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.5/80 to 10.3.3.6/80

Phase: 2
Type: NAT
Subtype: 
Result: ALLOW
Config:
nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6
Additional Information:
Static translate 10.2.2.5/123 to 10.1.1.1/123

Phase: 3
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule 
Additional Information:

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside,inside) source static obj-10.2.2.5 interface destination static obj-64.100.0.5 obj-10.3.3.6
Additional Information:
 
Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 167945, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Versiones de salida 8.2 y anteriores de Packet Tracer:

ASA# packet-tracer input inside tcp 10.2.2.5 123 64.100.0.5 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
 match ip inside host 10.3.3.6 inside host 10.1.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.5/0 to 10.3.3.6/0 using netmask 255.255.255.255

Phase: 2
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 3
Type: IP-OPTIONS
Subtype: 
Result: ALLOW 
Config:
Additional Information:

Phase: 4
Type: NAT
Subtype: 
Result: ALLOW
Config:
static (inside,inside) interface access-list IN-OUT-INTERFACE 
 match ip inside host 10.2.2.5 inside host 64.100.0.5
 static translation to 10.1.1.1
 translate_hits = 1, untranslate_hits = 0
Additional Information:
Static translate 10.2.2.5/0 to 10.1.1.1/0 using netmask 255.255.255.255

Phase: 5
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,inside) interface access-list IN-OUT-INTERFACE 
 match ip inside host 10.2.2.5 inside host 64.100.0.5
 static translation to 10.1.1.1
 translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 6
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
 match ip inside host 10.3.3.6 inside host 10.1.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:

Phase: 7
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,inside) 64.100.0.5 access-list OUT-IN-INTERFACE 
 match ip inside host 10.3.3.6 inside host 10.1.1.1
 static translation to 64.100.0.5
 translate_hits = 0, untranslate_hits = 1
Additional Information:
 
Phase: 8
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 908, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Capturas de paquetes:

ASA# sh cap
capture capin type raw-data interface inside [Capturing - 1300 bytes] 
 match ip host 10.2.2.5 host 64.100.0.5 
capture capout type raw-data interface inside [Capturing - 1300 bytes] 
 match ip host 10.1.1.1 host 10.3.3.6 

ASA# sh cap capin

10 packets captured
 1: 13:06:09.302047 10.2.2.5 > 64.100.0.5: icmp: echo request 
 2: 13:06:09.315276 64.100.0.5 > 10.2.2.5: icmp: echo reply 
 3: 13:06:09.342221 10.2.2.5 > 64.100.0.5: icmp: echo request 
 4: 13:06:09.381266 64.100.0.5 > 10.2.2.5: icmp: echo reply 
 5: 13:06:09.421227 10.2.2.5 > 64.100.0.5: icmp: echo request 
 6: 13:06:09.459204 64.100.0.5 > 10.2.2.5: icmp: echo reply 
 7: 13:06:09.494939 10.2.2.5 > 64.100.0.5: icmp: echo request 
 8: 13:06:09.534258 64.100.0.5 > 10.2.2.5: icmp: echo reply 
 9: 13:06:09.564210 10.2.2.5 > 64.100.0.5: icmp: echo request 
 10: 13:06:09.593261 64.100.0.5 > 10.2.2.5: icmp: echo reply 
10 packets shown

ASA# sh cap capout

10 packets captured
 1: 13:06:09.302367 10.1.1.1 > 10.3.3.6: icmp: echo request 
 2: 13:06:09.315230 10.3.3.6 > 10.1.1.1: icmp: echo reply 
 3: 13:06:09.342526 10.1.1.1 > 10.3.3.6: icmp: echo request 
 4: 13:06:09.381221 10.3.3.6 > 10.1.1.1: icmp: echo reply 
 5: 13:06:09.421517 10.1.1.1 > 10.3.3.6: icmp: echo request 
 6: 13:06:09.459174 10.3.3.6 > 10.1.1.1: icmp: echo reply 
 7: 13:06:09.495244 10.1.1.1 > 10.3.3.6: icmp: echo request 
 8: 13:06:09.534213 10.3.3.6 > 10.1.1.1: icmp: echo reply 
 9: 13:06:09.564500 10.1.1.1 > 10.3.3.6: icmp: echo request 
 10: 13:06:09.593215 10.3.3.6 > 10.1.1.1: icmp: echo reply 
10 packets shown

Información Relacionada

Guía de configuración de ASA 8.3: Requisito previo para NAT de dos veces

Guía de configuración de ASA 8.4: DNS y NAT

Ejemplos de configuración NAT de ASA Pre-8.3 a 8.3

Con la colaboración de ingenieros de Cisco

Christian G Hernandez R
Cisco TAC Engineer

Comunicación LAN entre hosts que buscan sus direcciones IP públicas detrás de un ASA

Opciones de descarga

Lenguaje no discriminatorio

Acerca de esta traducción

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Problema: Comunicación LAN entre hosts que buscan sus direcciones IP públicas detrás de un ASA

Ejemplo 1. El PC-A host de origen está conectado a la interfaz ASA interna, mientras que el servidor de prueba del host de destino está conectado a la interfaz DMZ.

Ejemplo 2. Los hosts de origen y de destino PC-A y Test Server están conectados a la misma interfaz ASA interna.

Ejemplo 3. Los hosts de origen y de destino PC-A y Test Server están conectados a la interfaz ASA interna, pero detrás de otro dispositivo de capa 3 (podría ser un router o un switch multicapa).

Solución

Ejemplo 1. El PC-A host de origen está conectado a la interfaz ASA interna, mientras que el servidor de prueba del host de destino está conectado a la interfaz DMZ.

Configuración

Troubleshoot

Ejemplo 2. Los hosts de origen y de destino PC-A y Test Server están conectados a la misma interfaz ASA interna.

Configuración

Troubleshoot

Ejemplo 3. Los hosts de origen y de destino PC-A y Test Server están conectados a la interfaz ASA interna, pero detrás de otro dispositivo de capa 3 (podría ser un router o un switch multicapa).

Configuración

Troubleshoot

Información Relacionada

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

Contacte a Cisco

Este documento se aplica a estos productos