PIX/ASA 7.x e FWSM: Instruções NAT e PAT

Opções de download

  • PDF     (499.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (342.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (655.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de setembro de 2008
ID do documento:64758

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento fornece exemplos de configurações básicas de Tradução de Endereço de Rede (NAT) e Tradução de Endereço de Porta (PAT) nos Cisco PIX/ASA Security Appliances. Diagramas de rede simplificados são fornecidos. Consulte a documentação do PIX/ASA referente à sua versão do software PIX/ASA para obter informações detalhadas.

Consulte Using nat, global, static, conduit, and access-list Commands and Port Redirection (Forwarding) on PIX para saber mais sobre os comandos nat, global, static, conduit e access-list e Port Redirection (Forwarding) no PIX 5.x e posterior.

Consulte Using NAT and PAT Statements on the Cisco Secure PIX Firewall para saber mais sobre os exemplos de configurações básicas de NAT e PAT no Cisco Secure PIX Firewall.

Para obter mais informações sobre a configuração de NAT no ASA versão 8.3 e posterior, consulte Informações sobre NAT.

Observação: o NAT no modo transparente é suportado no PIX/ASA versão 8.x. Consulte NAT no modo transparente para obter mais informações.

Pré-requisitos

Requisitos

Os leitores deste documento devem ter conhecimento sobre o Cisco PIX/ASA Security Appliance.

Componentes Utilizados

As informações neste documento são baseadas no Cisco PIX 500 Series Security Appliance Software versão 7.0 e posterior.

Observação: este documento foi certificado novamente com o PIX/ASA versão 8.x.

Observação: os comandos usados neste documento são aplicáveis ao Firewall Service Module (FWSM).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

O comando nat-control

O comando nat-control no PIX/ASA especifica que todo o tráfego através do firewall deve ter uma entrada de conversão específica (nat com uma instrução global correspondente ou uma instrução static) para que esse tráfego passe pelo firewall. O comando nat-control garante que o comportamento de conversão seja o mesmo que o das versões do PIX Firewall anteriores à 7.0. A configuração padrão do PIX/ASA versão 7.0 e posterior é a especificação do comando no nat-control. Com o PIX/ASA versão 7.0 e posterior, você pode alterar esse comportamento ao emitir o comando nat-control.

Com nat-control desabilitado, o PIX/ASA encaminha pacotes de uma interface de segurança mais alta para uma mais baixa sem uma entrada de conversão específica na configuração. Para passar o tráfego de uma interface de segurança mais baixa para uma mais alta, use listas de acesso para permitir o tráfego. O PIX/ASA então encaminha o tráfego. Este documento concentra-se no comportamento do dispositivo de segurança PIX/ASA com nat-control habilitado.

Observação: se desejar remover ou desativar a instrução de controle de NAT no PIX/ASA, você precisará remover todas as instruções de NAT do Security Appliance. Em geral, você precisa remover o NAT antes de desativar o controle NAT. Você precisa reconfigurar a instrução NAT no PIX/ASA para funcionar como esperado.

Declarações NAT múltiplas com NAT 0

Diagrama de Rede

pix70-nat-pat-1.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o ISP fornece ao gerenciador de rede um intervalo de endereços de 172.16.199.1 a 172.16.199.63. O gerente de rede decide atribuir 172.16.199.1 à interface interna no roteador de Internet e 172.16.199.2 à interface externa do PIX/ASA.

O administrador de rede já tinha um endereço de classe C atribuído à rede, 192.168.200.0/24, e tem algumas estações de trabalho que usam esses endereços para acessar a Internet. Essas estações de trabalho não devem ser traduzidas por endereço. No entanto, novas estações de trabalho recebem endereços na rede 10.0.0.0/8 e precisam ser convertidas.

Para acomodar esse projeto de rede, o administrador de rede deve usar duas instruções NAT e um pool global na configuração do PIX/ASA, como mostra esta saída: 

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 192.168.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Essa configuração não converte o endereço de origem de nenhum tráfego de saída da rede 192.168.200.0/24. Converte um endereço de origem na rede 10.0.0.0/8 em um endereço do intervalo de 172.16.199.3 a 172.16.199.62.

Essas etapas fornecem uma explicação de como aplicar essa mesma configuração com o uso do Adaptive Security Device Manager (ASDM).

Observação: execute todas as alterações de configuração por meio da CLI ou do ASDM. O uso da CLI e do ASDM para alterações de configuração causa um comportamento muito irregular em termos do que é aplicado pelo ASDM. Isso não é um bug, mas ocorre devido a como o ASDM funciona.

Observação: quando você abre o ASDM, ele importa a configuração atual do PIX/ASA e trabalha nessa configuração quando você faz e aplica alterações. Se for feita uma alteração no PIX/ASA enquanto a sessão do ASDM estiver aberta, o ASDM não funcionará mais com o que "pensa" que é a configuração atual do PIX/ASA. Feche todas as sessões do ASDM se fizer alterações de configuração via CLI. Abra novamente o ASDM quando quiser trabalhar via GUI.

  1. Inicie o ASDM, navegue até a guia Configuração e clique em NAT.

  2. Clique em Add para criar uma nova regra.

    pix70-nat-pat-2.gif

    Uma nova janela é exibida, permitindo que o usuário altere as opções de NAT para essa entrada de NAT. Para este exemplo, execute o NAT em pacotes que chegam à interface interna e que são originados da rede 10.0.0.0/24 específica.

    O PIX/ASA converte esses pacotes em um pool de IP dinâmico na interface externa. Depois de inserir as informações que descrevem o tráfego para NAT, defina um pool de endereços IP para o tráfego convertido.

  3. Clique em Manage Pools para adicionar um novo pool de IP.

    pix70-nat-pat-3.gif

  4. Escolha outside e clique em Add.

    pix70-nat-pat-4.gif

  5. Especifique o intervalo de IPs para o pool e forneça a ele um número de ID inteiro exclusivo.

    pix70-nat-pat-5.gif

  6. Insira os valores apropriados e clique em OK.

    O novo pool é definido para a interface externa.

    pix70-nat-pat-6.gif

  7. Depois de definir o pool, clique em OK para retornar à janela de configuração Regra NAT.

    Certifique-se de escolher o pool correto que você acabou de criar na lista suspensa Pool de endereços.

    pix70-nat-pat-7.gif

    Agora você criou uma conversão de NAT por meio do Security Appliance. No entanto, você ainda precisa criar a entrada NAT que especifica qual tráfego não será usado para NAT.

  8. Clique em Translation Exemption Rules na parte superior da janela e clique em Add para criar uma nova regra.

    pix70-nat-pat-8.gif

  9. Escolha a interface interna como origem e especifique a sub-rede 192.168.200.0/24. Deixe os valores "Ao conectar" como padrão.

    pix70-nat-pat-9.gif

    As regras de NAT agora estão definidas.

  10. Clique em Apply para aplicar as alterações à configuração atual do Security Appliance.

    Esta saída mostra as adições reais que são aplicadas à configuração do PIX/ASA. Eles são um pouco diferentes dos comandos inseridos pelo método manual, mas são iguais. 

    access-list inside_nat0_outbound extended permit 
ip 192.168.200.0 255.255.255.0 any

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.0.0.0 255.255.255.0

Vários conjuntos globais

Diagrama de Rede

pix70-nat-pat-10.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o gerenciador de rede tem dois intervalos de endereços IP registrados na Internet. O gerenciador de rede deve converter todos os endereços internos, que estão no intervalo 10.0.0.0/8, em endereços registrados. Os intervalos de endereços IP que o gerenciador de redes deve utilizar são 172.16.199.1 a 172.16.199.62 e 192.168.150.1 a 192.168.150.254. O gerente de rede pode fazer isso com: 

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

global (outside) 1 192.168.150.1-192.168.150.254 netmask 255.255.255.0 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

No NAT dinâmico, a instrução mais específica é aquela que tem precedência quando você usa a mesma interface no global. 

nat (inside) 1 10.0.0.0 255.0.0.0
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 1 172.16.1.1
global (outside) 2 192.168.1.1

Se você tiver a rede interna como 10.1.0.0, o NAT global 2 terá precedência sobre 1, pois é mais específico para conversão.

Observação: um esquema de endereçamento curinga é usado na instrução NAT. Esta instrução instrui o PIX/ASA a converter qualquer endereço de origem interno quando ele sair para a Internet. O endereço nesse comando pode ser mais específico, se desejado.

Combinar instruções globais NAT e PAT

Diagrama de Rede

pix70-nat-pat-11.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o ISP fornece ao gerente da rede um intervalo de endereços de 172.16.199.1 a 172.16.199.63 para uso da empresa. O gerenciador de rede decide usar 172.16.199.1 para a interface interna no roteador de Internet e 172.16.199.2 para a interface externa no PIX/ASA. Você ficou com 172.16.199.3 a 172.16.199.62 para usar para o pool NAT. No entanto, o gerente de rede sabe que, a qualquer momento, pode haver mais de sessenta pessoas que tentam sair do PIX/ASA. Portanto, o gerente de rede decide usar 172.16.199.62 e torná-lo um endereço PAT para que vários usuários possam compartilhar um endereço ao mesmo tempo. 

global (outside) 1 172.16.199.3-172.16.199.61 netmask 255.255.255.192

global (outside) 1 172.16.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Esses comandos instruem o PIX/ASA a converter o endereço de origem para 172.16.199.3 até 172.16.199.61 para que os primeiros cinquenta e nove usuários internos passem pelo PIX/ASA. Depois que esses endereços são esgotados, o PIX converte todos os endereços de origem subsequentes para 172.16.199.62 até que um dos endereços no pool NAT fique livre.

Observação: um esquema de endereçamento curinga é usado na instrução NAT. Esta instrução instrui o PIX/ASA a converter qualquer endereço de origem interno quando ele sair para a Internet. O endereço nesse comando pode ser mais específico se você desejar.

Várias declarações NAT com lista de acesso NAT 0

Diagrama de Rede

pix70-nat-pat-12.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Neste exemplo, o ISP fornece ao gerente de rede um intervalo de endereços de 172.16.199.1 a 172.16.199.63. O gerenciador de rede decide atribuir 172.16.199.1 à interface interna no roteador de Internet e 172.16.199.2 à interface externa do PIX/ASA.

No entanto, neste cenário, outro segmento de LAN privada é colocado fora do roteador de Internet. O gerente de rede prefere não desperdiçar endereços do pool global quando os hosts nessas duas redes se comunicam. O gerenciador de rede ainda precisa converter o endereço de origem para todos os usuários internos (10.0.0.0/8) quando eles saem para a Internet. 

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 172.16.199.3-172.16.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Essa configuração não converte esses endereços com um endereço origem de 10.0.0.0/8 e um endereço destino de 192.168.1.0/24. Ele converte o endereço de origem de qualquer tráfego iniciado de dentro da rede 10.0.0.0/8 e destinado para qualquer lugar diferente de 192.168.1.0/24 em um endereço do intervalo de 172.16.199.3 a 172.16.199.62.

Se você tiver a saída de um comando write terminal do seu dispositivo Cisco, poderá usar a Output Interpreter Tool (somente clientes registrados) .

NAT da política de uso

Diagrama de Rede

pix70-nat-pat-10.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Quando você usa uma lista de acesso com o comando nat para qualquer ID de NAT diferente de 0, você habilita a política NAT.

Observação: a NAT da política foi introduzida na versão 6.3.2.

A NAT de política permite que você identifique o tráfego local para conversão de endereço ao especificar os endereços origem e destino (ou portas) em uma lista de acesso. O NAT regular usa apenas endereços/portas de origem, enquanto o NAT de política usa endereços/portas de origem e de destino.

Observação: todos os tipos de NAT oferecem suporte à política NAT, exceto a isenção de NAT (nat 0 access-list). A isenção de NAT usa uma lista de controle de acesso para identificar os endereços locais, mas difere da política de NAT porque as portas não são consideradas.

Com a política NAT, você pode criar várias instruções NAT ou estáticas que identifiquem o mesmo endereço local, desde que a combinação origem/porta e destino/porta seja exclusiva para cada instrução. Você pode então fazer a correspondência de diferentes endereços globais para cada par origem/porta e destino/porta.

Neste exemplo, o gerenciador de rede fornece acesso ao endereço IP destino 192.168.201.11 para a porta 80 (web) e a porta 23 (Telnet), mas deve usar dois endereços IP diferentes como endereço origem. O endereço IP 172.16.199.3 é usado como o endereço origem para a Web. O endereço IP 172.16.199.4 é usado para Telnet e deve converter todos os endereços internos, que estão no intervalo 10.0.0.0/8. O gerente de rede pode fazer isso com: 

access-list WEB permit tcp 10.0.0.0 255.0.0.0 192.168.201.11 
255.255.255.255 eq 80

access-list TELNET permit tcp 10.0.0.0 255.0.0.0 192.168.201.11 
255.255.255.255 eq 23 

nat (inside) 1 access-list WEB

nat (inside) 2 access-list TELNET

global (outside) 1 172.16.199.3 netmask 255.255.255.192

global (outside) 2 172.16.199.4 netmask 255.255.255.192

Você pode usar a Output Interpreter Tool (somente clientes registrados) para exibir possíveis problemas e correções.

NAT Estático

Diagrama de Rede

pix70-nat-pat-13.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Uma configuração do NAT estático cria um mapeamento um a um e traduz um endereço específico a um outro endereço. O este tipo de configuração cria uma entrada permanente na tabela NAT enquanto a configuração esta presente e a permite tanto dentro como fora dos anfitriões de iniciar uma conexão. Isso é útil principalmente para hosts que fornecem serviços de aplicativos como correio, Web, FTP e outros. Neste exemplo, as instruções de NAT estático são configuradas para permitir que os usuários internos e externos acessem o servidor Web na DMZ.

Esta saída mostra como uma instrução estática é construída. Observe a ordem dos endereços IP mapeados e reais.

static (real_interface,mapped_interface) mapped_ip real_ip netmask mask

Esta é a conversão estática criada para dar aos usuários da interface interna acesso ao servidor na DMZ. Ele cria um mapeamento entre um endereço na parte interna e o endereço do servidor na DMZ. Os usuários internos podem acessar o servidor na DMZ através do endereço interno.

static (DMZ,inside) 10.0.0.10 192.168.100.10 netmask 255.255.255.255

Esta é a conversão estática criada para dar aos usuários da interface externa acesso ao servidor na DMZ. Ele cria um mapeamento entre um endereço externo e o endereço do servidor na DMZ. Os usuários externos podem acessar o servidor na DMZ por meio do endereço externo.

static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255

Observação: como a interface externa tem um nível de segurança mais baixo do que o DMZ, uma lista de acesso também deve ser criada para permitir que os usuários no acesso externo ao servidor no DMZ. A lista de acesso deve conceder aos usuários acesso ao endereço mapeado na tradução estática. Recomenda-se que essa lista de acesso seja o mais específica possível. Nesse caso, qualquer host tem permissão para acessar apenas as portas 80 (www/http) e 443 (https) do servidor Web.

access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https

Em seguida, a lista de acesso deve ser aplicada à interface externa.

access-group OUTSIDE in interface outside

Consulte access-list extended e access-group para obter mais informações sobre os comandos access-list e access-group.

Como ignorar NAT

Esta seção descreve como ignorar o NAT. Talvez você queira ignorar o NAT ao habilitar o controle NAT. Você pode usar NAT de identidade, NAT de identidade estática ou isenção de NAT para ignorar o NAT.

Configurar NAT de identidade

O NAT de identidade converte o endereço IP real para o mesmo endereço IP. Somente hosts "convertidos" podem criar conversões de NAT, e o tráfego de resposta é permitido de volta.

Nota: Se você alterar a configuração do NAT e não quiser esperar que as conversões existentes atinjam o tempo limite antes que as novas informações de NAT sejam usadas, use o comando clear xlate para limpar a tabela de conversão. No entanto, todas as conexões atuais que usam conversões são desconectadas quando você limpa a tabela de conversões.

Para configurar o NAT de identidade, insira este comando: 

hostname(config)#nat (real_interface) 0 real_ip
	 [mask [dns] [outside] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
	 udp_max_conns]

Por exemplo, para usar o NAT de identidade para a rede 10.1.1.0/24 interna, insira este comando: 

hostname(config)#nat (inside) 0 10.1.1.0
	 255.255.255.0

Consulte a Referência de Comandos do Cisco Security Appliance Versão 7.2 para obter mais informações sobre o comando nat.

Configurar NAT de identidade estática

Identidade estática O NAT converte o endereço IP real para o mesmo endereço IP. A conversão está sempre ativa e tanto os hosts "convertidos" quanto os remotos podem originar conexões. O NAT de identidade estática permite usar o NAT regular ou o NAT de política. O NAT de política permite identificar os endereços reais e de destino ao determinar os endereços reais a serem convertidos (consulte a seção Use Policy NAT para obter mais informações sobre o NAT de política). Por exemplo, você pode usar o NAT de identidade estática de política para um endereço interno quando ele acessa a interface externa e o destino é o servidor A, mas usar uma conversão normal ao acessar o servidor externo B.

Observação: se você remover um comando static, as conexões atuais que usam a conversão não serão afetadas. Para remover essas conexões, insira o comando clear local-host. Não é possível limpar as conversões estáticas da tabela de conversões com o comando clear xlate; em vez disso, você deve remover o comando static. Somente conversões dinâmicas criadas pelos comandos nat e global podem ser removidas com o comando clear xlate.

Para configurar o NAT de identidade estática de política, insira este comando: 

hostname(config)#static
	 (real_interface,mapped_interface) real_ip access-list acl_id [dns]
	 [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]

Use o comando access-list extended para criar a lista de acesso estendida. Essa lista de acesso deve incluir apenas ACEs de permissão. Certifique-se de que o endereço de origem na lista de acesso corresponda ao real_ip neste comando. A política NAT não considera as palavras-chave inative ou time-range; todas as ACEs são consideradas ativas para a configuração da política NAT. Consulte a seção Use Policy NAT para obter mais informações.

Para configurar o NAT de identidade estática regular, insira este comando: 

hostname(config)#static
	 (real_interface,mapped_interface) real_ip real_ip [netmask mask] [dns]
	 [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
	 udp_max_conns]

Especifique o mesmo endereço IP para ambos os argumentos real_ip.

Diagrama de Rede

pix70-nat-pat-14.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918leavingcisco.com que foram usados em um ambiente de laboratório.

Por exemplo, este comando usa NAT de identidade estática para um endereço IP interno (10.1.1.2) quando acessado pelo exterior: 

hostname(config)#static (inside,outside) 10.1.1.2
	 10.1.1.2 netmask 255.255.255.255

Consulte a Referência de Comandos do Cisco Security Appliance Versão 7.2 para obter mais informações sobre o comando static.

Este comando usa o NAT de identidade estática para um endereço externo (172.16.199.1) quando acessado por dentro: 

hostname(config)#static (outside,inside) 172.16.199.1
	 172.16.199.1 netmask 255.255.255.255

Este comando mapeia estaticamente uma sub-rede inteira:

 hostname(config)#static (inside,dmz) 10.1.1.2 10.1.1.2
	 netmask 255.255.255.0

Este exemplo de NAT de política de identidade estática mostra um único endereço real que usa NAT de identidade ao acessar um endereço de destino e uma conversão ao acessar outro: 

hostname(config)#access-list NET1 permit ip host
	 10.1.1.3 172.16.199.0 255.255.255.224

hostname(config)#access-list NET2 permit ip host
	 10.1.1.3 172.16.199.224 255.255.255.224 

hostname(config)#static (inside,outside) 10.1.1.3
	 access-list NET1 

hostname(config)#static (inside,outside) 172.16.199.1
	 access-list NET2

Observação: para obter mais informações sobre o comando static, consulte Referência de Comandos do Cisco ASA 5580 Adaptive Security Appliance, Versão 8.1.

Observação: Para obter mais informações sobre listas de acesso, consulte o Guia de Configuração de Linha de Comando do Cisco ASA 5580 Adaptive Security Appliance, Versão 8.1.

Configurando a isenção de NAT

A isenção de NAT isenta endereços de tradução e permite que hosts reais e remotos originem conexões. A isenção de NAT permite que você especifique os endereços real e de destino ao determinar o tráfego real a ser isento (semelhante à política de NAT), para que você tenha maior controle usando a isenção de NAT do que o NAT de identidade. No entanto, ao contrário da política de NAT, a isenção de NAT não considera as portas na lista de acesso. Use o NAT de identidade estática para considerar as portas na lista de acesso.

Observação: se você remover uma configuração de isenção de NAT, as conexões existentes que usam a isenção de NAT não serão afetadas. Para remover essas conexões, insira o comando clear local-host.

Para configurar a isenção de NAT, insira este comando:

hostname(config)#nat (real_interface) 0 access-list
	 acl_name [outside]

Crie a lista de acesso estendida usando o comando access-list extended . Essa lista de acesso pode incluir ACEs de permissão e ACEs de negação. Não especifique as portas real e de destino na lista de acesso; a isenção de NAT não considera as portas. A isenção de NAT também não considera as palavras-chave inative ou time-range; todas as ACEs são consideradas ativas para a configuração de isenção de NAT.

Por padrão, esse comando isenta o tráfego de dentro para fora. Se desejar que o tráfego de fora para dentro ignore o NAT, adicione um comando nat adicional e insira outside para identificar a instância do NAT como NAT externo. Você pode querer usar a isenção de NAT externo se configurar o NAT dinâmico para a interface externa e quiser isentar outro tráfego.

Por exemplo, para isentar uma rede interna ao acessar qualquer endereço de destino, insira este comando:

 hostname(config)#access-list EXEMPT permit ip 10.1.1.0
	 255.255.255.0 any 

hostname(config)# nat (inside) 0 access-list
	 EXEMPT

Para usar o NAT externo dinâmico para uma rede DMZ e isentar outra rede DMZ, insira este comando:

 hostname(config)#nat (dmz) 1 10.1.1.0 255.255.255.0
	 outside dns 

hostname(config)#global (inside) 1
	 10.1.1.2

hostname(config)#access-list EXEMPT permit ip 10.1.1.0
	 255.255.255.0 any 

hostname(config)#nat (dmz) 0 access-list
	 EXEMPT

Para isentar um endereço interno ao acessar dois endereços de destino diferentes, insira estes comandos:

hostname(config)#access-list NET1 permit ip 10.1.1.0
	 255.255.255.0 172.16.199.0 255.255.255.224

hostname(config)#access-list NET1 permit ip 10.1.1.0
	 255.255.255.0 172.16.199.224 255.255.255.224 

hostname(config)#nat (inside) 0 access-list NET1

Verificar

O tráfego que flui pelo Security Appliance provavelmente passa pelo NAT. Consulte PIX/ASA: Monitorar e Solucionar Problemas de Desempenho para verificar as conversões que estão em uso no Security Appliance.

O comando show xlate count exibe o número atual e máximo de conversões através do PIX. Uma conversão é um mapeamento de um endereço interno para um endereço externo e pode ser um mapeamento um para um, como NAT, ou um mapeamento muitos para um, como PAT. Esse comando é um subconjunto do comando show xlate, que produz cada tradução por meio do PIX. A saída do comando mostra conversões "em uso", que se refere ao número de conversões ativas no PIX quando o comando é emitido; "mais usado" se refere às conversões máximas que já foram vistas no PIX desde que ele foi ligado.

Troubleshooting

Mensagem de erro recebida ao adicionar um PAT estático para a porta 443

Problema

Você recebe esta mensagem de erro quando adiciona um PAT estático para a porta 443:

[ERROR] static (INSIDE,OUTSIDE) tcp interface 443 192.168.1.87 443 netmask 255.255.255.255 tcp 0 0 udp 0

incapaz de reservar a porta 443 para PAT estático

ERRO: não é possível baixar a política

Solução

Esta mensagem de erro ocorre quando o ASDM ou a WEBVPN está em execução na porta 443. Para resolver esse problema, faça login no firewall e execute uma destas etapas:

  • Para alterar a porta do ASDM para algo diferente de 443, execute estes comandos:

    ASA(config)#no http server enable
ASA(config)#http server enable 8080

  • Para alterar a porta WEBVPN para algo diferente de 443, execute estes comandos: 

    ASA(config)#webvpn
ASA(config-webvpn)#enable outside
ASA(config-webvpn)#port 65010

Depois de executar esses comandos, você deverá ser capaz de adicionar um NAT/PAT na porta 443 a outro servidor. Quando você tentar usar o ASDM para gerenciar o ASA no futuro, especifique a nova porta como 8080.

ERRO: conflito de endereço mapeado com estático existente

Problema

Você recebe este erro quando adiciona uma instrução estática no ASA:

ERRO: conflito de endereço mapeado com estático existente

Solução

Verifique se já não existe uma entrada para a origem estática que você deseja adicionar.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
03-May-2005
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos