Configure o NAT 64 no firewall seguro gerenciado pelo FMC

Opções de download

  • PDF     (931.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (764.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (654.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de agosto de 2023
ID do documento:220726

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o NAT64 no Firepower Threat Defense (FTD) gerenciado pelo Fire Power Management Center (FMC).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento sobre o Secure Firewall Threat Defense e o Secure Firewall Management Center.

    Componentes Utilizados

    • Firepower Management Center 7.0.4.
    • Firepower Threat Defense 7.0.4.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Network Diagram

    Configurar objetos de rede

    •  Objeto de Rede IPv6 para fazer referência à sub-rede interna do cliente IPv6. 

        Na GUI do FMC, navegue até Objetos > Gerenciamento de objetos > Selecionar rede no menu à esquerda > Adicionar rede > Adicionar objeto.

       

    Por exemplo, o objeto de rede Local_IPv6_subnet é criado com a sub-rede IPv6 FC00:0:0:1::/96.

    Edit Network Object

    • Objeto de Rede IPv4 para converter clientes IPv6 em IPv4.

       Na GUI do FMC, navegue até Objetos > Gerenciamento de objetos > Selecionar rede no menu à esquerda > Adicionar rede > Adicionar grupo.

    Por exemplo, o Objeto de Rede 6_mapped_to_4 é criado com o host IPv4 192.168.0.107.

    Dependendo da quantidade de hosts IPv6 para mapear em IPv4, você pode usar uma rede de objeto único, um grupo de rede com vários IPv4 ou apenas NAT para a interface de saída.

    Add New Network Group

    • Objeto de Rede IPv4 para fazer referência a hosts IPv4 externos na Internet.

        Na GUI do FMC, navegue até Objetos > Gerenciamento de objetos > Selecionar rede no menu à esquerda > Adicionar rede > Adicionar objeto.

    Por exemplo, o objeto de rede Any_IPv4 é criado com a sub-rede IPv4 0.0.0.0/0.

    IPv4 Outside Network

    • Objeto de Rede IPv6 para converter o host IPv4 externo em nosso domínio IPv6.

        Na GUI do FMC, navegue até Objetos > Gerenciamento de objetos > Selecionar rede no menu à esquerda > Adicionar rede > Adicionar objeto.

    Por exemplo, o Objeto de Rede 4_mapped_to_6 é criado com a sub-rede IPv6 FC00:0:0:F::/96.

    IPv6 Internal Mapped

    Configurar interfaces em FTD para IPv4/IPv6

    Navegue até Devices > Device Management > Edit FTD > Interfaces e configure interfaces internas e externas.

    Exemplo:

        interface ethernet 1/1 

        Nome: Dentro

        Zona de segurança: Inside_Zone 

        Se a zona de segurança não for criada, você poderá criá-la no menu suspenso Zona de segurança > Novo.

        Endereço IPv6: FC00:0:0:1::1/96

    Inside Interface

    IPv6 Interface Configuration

    IPv6 Interface Configuration 2

        interface ethernet 1/2 

        Nome: Externo

        Zona de segurança: Outside_Zone 

        Se a zona de segurança não for criada, você poderá criá-la no menu suspenso Zona de segurança > Novo.

        Endereço IPv4: 192.168.0.106/24

    Outside Interface

    IPv4 Interface Configuration

    Configurar Rota Padrão

    Navegue até Devices > Device Management > Edit FTD > Routing > Static Routing > Add Route.

    Por exemplo, a rota estática padrão na interface externa com o gateway 192.168.0.254.

    Gateway

    Default Route

    Configurar a política de NAT 

    Na GUI do FMC, navegue para Devices > NAT > New Policy > Threat Defense NAT e crie uma política de NAT.

    Por exemplo, a política de NAT FTD_NAT_Policy é criada e atribuída ao teste FTD_LAB.

    NAT Policy

    Configurar regras de NAT

    NAT de saída. 

    Na GUI do FMC, navegue para Devices > NAT > Select the NAT policy > Add Rule e crie uma regra NAT para converter a rede IPv6 interna para o pool IPv4 externo. 

    Por exemplo, o objeto de rede Local_IPv6_subnet é convertido dinamicamente para o objeto de rede 6_mapped_to_4.

    Regra NAT: regra NAT automática

    Tipo: Dinâmico

    Objetos da interface de origem: Inside_Zone

    Objetos da interface de destino: Outside_Zone

    Origem Original: Local_IPv6_subnet

    Origem Convertida: 6_mapped_to_4

    NAT Rule Zone

    NAT Rule Networks

    NAT de entrada.

    Na GUI do FMC, navegue para Devices > NAT > Select the NAT policy > Add Rule e crie uma regra NAT para converter o tráfego IPv4 externo para o pool de rede IPv6 interno. Isso permite a comunicação interna com a sub-rede IPv6 local. 

    Além disso, habilite a regravação de DNS nesta regra para que as respostas do servidor DNS externo possam ser convertidas de registros A (IPv4) para registros AAAA (IPv6).

    Por exemplo, Outside Network Any_IPv4 é convertido estaticamente para a sub-rede IPv6 2100:6400::/96 definida no objeto 4_mapped_to_6.

    Regra NAT: regra NAT automática

    Tipo: estático

    Objetos da interface de origem: Outside_Zone

    Objetos da interface de destino: Inside_Zone

    Fonte original: Any_IPv4

    Origem Convertida: 4_mapped_to_6

    Traduzir respostas DNS que correspondam a esta regra: Sim (caixa de seleção Habilitar)

    NAT Rule 2 Zone

    NAT Rule 2 Network

    NAT Rule 2 Advanced Options

    Final NAT Policy

    Continue a implantar as alterações no FTD.

    Verificação

    • Exiba os nomes das interfaces e a configuração IP.
    > show nameif
    Interface Name Security
    Ethernet1/1 inside 0
    Ethernet1/2 Outside 0

    > show ipv6 interface brief

    inside [up/up]
    fe80::12b3:d6ff:fe20:eb48
    fc00:0:0:1::1


    > show ip
    System IP Addresses:
    Interface    Name      IP address     Subnet mask 
    Ethernet1/2  Outside   192.168.0.106  255.255.255.0
    • Confirme a conectividade IPv6 da interface interna do FTD com o cliente.

    IPv6 host interno fc00:0:0:1::100.

    FTD Interface interna fc00:0:0:1::1.

    > ping fc00:0:0:1::100
    Please use 'CTRL+C' to cancel/abort...
    Sending 5, 100-byte ICMP Echos to fc00:0:0:1::100, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

    • Exiba a configuração do NAT na CLI do FTD.
    > show running-config nat
    !
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    • Capturar tráfego.

    Por exemplo, o tráfego de captura do host IPv6 interno fc00:0:0:1::100 para o servidor DNS é fc00::f:0:0:ac10:a64 UDP 53.

    Aqui, o servidor DNS de destino é fc00::f:0:0:ac10:a64. Os últimos 32 bits são ac10:0a64. Esses bits são o equivalente octeto por octeto a 172,16,10,100. O Firewall 6-to-4 converte o servidor DNS IPv6 fc00::f:0:0:ac10:a64 para o IPv4 172.16.10.100 equivalente.

    > capture test interface inside trace match udp host fc00:0:0:1::100 any6 eq 53


    > show capture test 
    2 packets captured
     1: 00:35:13.598052 fc00:0:0:1::100.61513 > fc00::f:0:0:ac10:a64.53: udp  
     2: 00:35:13.638882 fc00::f:0:0:ac10:a64.53 > fc00:0:0:1::100.61513: udp  


    > show capture test packet-number 1

    [...]
    Phase: 3
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    object network any_IPv4
    nat (Outside,inside) static 4_mapped_to_6 dns
    Additional Information:
    NAT divert to egress interface Outside(vrfid:0)
    Untranslate fc00::f:0:0:ac10:a64/53 to 172.16.10.100/53 <<<< Destination NAT

    [...]
    Phase: 6
    Type: NAT
    Subtype: 
    Result: ALLOW
    Config:
    object network Local_IPv6_subnet
    nat (inside,Outside) dynamic 6_mapped_to_4
    Additional Information:
    Dynamic translate fc00:0:0:1::100/61513 to 192.168.0.107/61513 <<<<<<<< Source NAT


    > capture test2 interface Outside trace match udp any any eq 53

    2 packets captured

     1: 00:35:13.598152 192.168.0.107.61513 > 172.16.10.100.53: udp 
     2: 00:35:13.638782 172.16.10.100.53 > 192.168.0.107.61513: udp



    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    11-Aug-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Benjamin Cabrera Romero
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos