duales
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Antecedentes
Configurar
Diagrama de la red
Configuración ASA 9.x
No prohiba a host interiores el acceso a las redes externas con la PALMADITA
Configuración del Router B
Verificación
Conexión
Troubleshooting
Registros del sistema
Trazalíneas del paquete
Captura
Información Relacionada
Introducción
Prerequisites
Requisitos
Componentes Utilizados
La información en este documento se basa en Cisco ASA que funciona con la versión de
software 9.x.
Antecedentes
Cuando usted agrega una segunda red interna detrás de un Firewall ASA, considere esta
información importante:
Configurar
Diagrama de la red
Aquí está la topología que se utiliza para los ejemplos en este documento:
Si usted tiene la salida del comando write terminal de su dispositivo de Cisco, usted
puede utilizar la herramienta del Output Interpreter (clientes registrados solamente) para
visualizar los problemas potenciales y los arreglos.
Aquí está la configuración para el ASA que funciona con la versión de software 9.x:
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
Si usted se prepone tener los host interiores compartir a una sola dirección pública para
la traducción, Port Address Translation (PAT) del uso. Una de las configuraciones más
simples de la PALMADITA implica la traducción de todos los host internos de modo que
aparezcan ser el IP de la interfaz exterior. Ésta es la configuración típica de la
PALMADITA se utiliza que cuando el número de IP Address ruteables que estén
disponible desde el ISP se limita solamente a algunos, o apenas uno.
Complete estos pasos para no prohibir a los host interiores el acceso a las redes externas
con la PALMADITA:
1. Navegue a la configuración > al Firewall > a las reglas NAT, el tecleo agrega, y elige el
objeto de red para configurar una regla dinámica NAT:
2. Configure la red/el host/el rango para el cual se requiere la PALMADITA dinámica. En
este ejemplo, se han seleccionado todos las subredes del interior. Este proceso se debe
relanzar para las subredes específicas que usted desea traducir de este modo:
Building configuration...
Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip classless
!--- This route instructs the inside router to forward all of the
!--- non-local packets to the ASA.
Verificación
Acceda un sitio web vía el HTTP a través de un buscador Web para verificar que su
configuración trabaja correctamente.
Conexión
El ASA es un escudo de protección con estado, y el tráfico de retorno del servidor Web
se permite detrás con el Firewall porque hace juego una conexión en la tabla de
conexiones del Firewall. El tráfico que hace juego una conexión que preexista se permite
con el Firewall sin el bloqueo por una lista de control de acceso (ACL) de la interfaz.
Troubleshooting
Utilice la información que se describe en esta sección para resolver problemas los
problemas de configuración.
El Firewall ASA genera los Syslog durante el funcionamiento normal. Los Syslog se
extienden en la verbosidad basada en la configuración de registro. La salida muestra dos
Syslog que se vean en el nivel seis, o el nivel informativo.
En este ejemplo, hay dos Syslog generados. El primer es un mensaje del registro para
indicar que el Firewall ha construido una traducción; específicamente, una traducción
dinámica TCP (PALMADITA). Indica la dirección IP de origen y el puerto, así como la
dirección IP y el puerto traducidos, pues el tráfico atraviesa del interior a las interfaces
exteriores.
Ingrese este comando para habilitar las funciones del trazalíneas del paquete:
--Omitted--
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Las funciones del trazalíneas del paquete en el ASA permiten que usted especifique un
paquete simulado y que vea todos los diversos pasos, controles, y funciones que el
Firewall complete cuando procesa el tráfico. Con esta herramienta, es útil identificar un
ejemplo del tráfico que usted cree debe ser permitido pasar con el Firewall, y utiliza que
5-tupple para simular el tráfico. En el ejemplo anterior, el trazalíneas del paquete se utiliza
para simular un intento de conexión que cumpla estos criterios:
Note que no había mención de la interfaz exterior en el comando. Esto es debido al diseño
del trazalíneas del paquete. La herramienta le dice cómo los procesos del Firewall que la
tentativa del tipo de conexión, que incluye de cómo la rutearía, y fuera de cuál interfaz.
Tip: Para más información sobre las funciones del trazalíneas del paquete, refiera a los
paquetes del seguimiento con la sección del trazalíneas del paquete de la guía de
configuración de las 5500 Series de Cisco ASA que usa el CLI, los 8.4 y los 8.6.
Captura
ASA# capture capin interface inside match tcp host 192.168.1.5 host
198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100
ASA#show capture capin
3 packets captured
3 packets captured
El Firewall ASA puede capturar el tráfico que ingresa o deja sus interfaces. Estas
funciones de la captura son fantásticas porque pueden probar definitivo si el tráfico llega,
o se van de, un Firewall. El ejemplo anterior muestra la configuración de dos capturas
nombradas capin y capout en las interfaces interior y exterior, respectivamente. Los
comandos capture utilizan la palabra clave de la coincidencia, que permite que usted
especifique el tráfico que usted quiere capturar.
Por el ejemplo de la captura del capin, se indica que usted quiere hacer juego el tráfico
que se considera en la interfaz interior (ingreso o salida) ese host 198.51.100.100 de
192.168.1.5 del host tcp de las coincidencias. Es decir usted quiere capturar tráfico TCP
que se envía del host 192.168.1.5 para recibir 198.51.100.100, o vice versa. El uso de la
palabra clave de la coincidencia permite que el Firewall capture ese tráfico bidireccional.
El comando capture que se define para la interfaz exterior no se refiere a la dirección IP
del cliente interno porque el Firewall conduce la PALMADITA en ese dirección IP del
cliente. Como consecuencia, usted no puede hacer juego con ese dirección IP del cliente.
En lugar, este ejemplo utiliza ningunos para indicar que todos los IP Addresses posibles
harían juego esa condición.
Después de que usted configure las capturas, usted puede entonces intentar establecer una
conexión otra vez y proceder a ver las capturas con la demostración capture el comando
del <capture_name>. En este ejemplo, usted puede ver que el cliente puede conectar con
el servidor, como evidente por el apretón de manos de tres vías TCP que se considera en
las capturas.
Información Relacionada
Cisco Adaptive Security Device Manager
Firewall de la última generación de las 5500-X Series de Cisco ASA
Solicitudes de comentarios (RFC)
Guía de configuración CLI de la serie de Cisco ASA, 9.0 “ del €  del â configurando
los parásitos atmosféricos y las rutas predeterminado
“ Cisco Systems del €  del â del Soporte técnico y de la documentación
Configuración del NAT básica ASA:
Servidor Web en el DMZ en la Versión de
ASA 8.3 y posterior
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Información general
Metas
Configurar
Introducción
Topología
Paso 1 - Configuración NAT para permitir que los host salgan a Internet
Verificación
Troubleshooting
Conclusión
Introducción
Componentes Utilizados
La información en este documento se basa en un Firewall ASA 5510 que funcione con
la versión del código ASA 9.1(1).
Información general
Metas
Antes de conseguir a los pasos que se deben completar para lograr estas dos metas, este
documento pasa abreviadamente la manera ACL y el trabajo NAT sobre las versiones
más recientes del código ASA (versión 8.3 y posterior).
Las listas de control de acceso (las listas de acceso o los ACL para corto) son el método
por el cual el Firewall ASA determina si se permite o se niega el tráfico. Por abandono,
se niega el tráfico que pasa de un más bajo al mayor nivel de seguridad. Esto se
puede reemplazar por un ACL aplicado a esa interfaz de menor seguridad. También el
ASA, por abandono, permite el tráfico de más arriba a las interfaces de menor
seguridad. Este comportamiento se puede también reemplazar con un ACL.
En las versiones anteriores del código ASA (8.2 y anterior), el ASA comparó una
conexión entrante o un paquete contra el ACL en una interfaz sin untranslating el
paquete primero. Es decir el ACL tuvo que permitir el paquete como si usted debiera
capturar ese paquete en la interfaz. En el código de la versión 8.3 y posterior, los
untranslates ASA que paquete antes de que marque la interfaz ACL. Esto significa eso
para y posterior el código 8.3, y se permite este documento, tráfico al IP real del host y
no el IP traducido del host.
Vea la sección de las reglas de acceso que configura del libro 2: Guía de configuración
CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre los ACL.
El NAT en el ASA en la versión 8.3 y posterior está roto en dos tipos conocidos como
NAT auto (objeto NAT) y NAT manual (dos veces NAT). El primer de los dos, el
objeto NAT, se configura dentro de la definición de un objeto de red. Un ejemplo de
esto se proporciona más adelante en este documento. Una ventaja primaria de este
método NAT es que el ASA pide automáticamente las reglas para procesar para evitar
los conflictos. Ésta es la forma más fácil de NAT, pero con esa facilidad viene una
limitación en el granularity de la configuración. Por ejemplo, usted no puede tomar una
decisión de la traducción basada en el destino en el paquete como usted podría con el
segundo tipo de NAT, nacional manual. El NAT manual es más robusto en su
granularity, pero requiere que las líneas estén configuradas en la orden correcta de modo
que pueda alcanzar la conducta correcta. Esto complica este tipo NAT, y como
consecuencia no será utilizada en este ejemplo de configuración.
Vea la información sobre la sección NAT del libro 2: Guía de configuración CLI del
Firewall de la serie de Cisco ASA, 9.1 para más información sobre el NAT.
Configurar
Introducción
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1
Aquí usted puede ver que la interfaz interior ASA está fijada con la dirección IP de
192.168.0.1, y es el default gateway para los host internos. La interfaz exterior ASA se
configura con una dirección IP obtenida del ISP. Hay una ruta predeterminado en el
lugar, que fija el Next-Hop para ser el gateway ISP. Si usted utiliza el DHCP esto se
proporciona automáticamente. La interfaz DMZ se configura con la dirección IP de
192.168.1.1, y es el default gateway para los host en el segmento de la red DMZ.
Topología
Paso 1 - Configuración NAT para permitir que los host salgan a Internet
Para este objeto NAT del ejemplo, también conocido como AutoNAT, se utiliza. La
primera cosa a configurar es las reglas NAT que permiten los host en el interior y
segmentos DMZ a conectar con Internet. Porque estos host utilizan los IP Address
privados, usted necesita traducirlos algo que es routable en Internet. En este caso,
traduzca los direccionamientos de modo que parezcan la dirección IP de la interfaz
exterior ASA. Si su IP externa cambia con frecuencia (quizás debido al DHCP) ésta es
la manera más directa de configurar esto.
Para configurar este NAT, usted necesita crear un objeto de red que represente la subred
interior así como uno que represente la subred DMZ. En cada uno de estos objetos,
configure una regla nacional dinámica que Port Address Translation (PAT) estos
clientes mientras que pasan de sus interfaces respectivas a la interfaz exterior.
Si usted mira la configuración corriente en este momento (con la salida del comando
show run), usted verá que la definición del objeto está partida en dos partes de la salida.
La primera parte indica solamente cuál está en el objeto (host/subred, dirección IP, y así
sucesivamente), mientras que la segunda sección muestra que regla NAT atada a ese
objeto. Si usted toma la primera entrada en la salida anterior:
Cuando los host que hacen juego la travesía de 192.168.0.0/24 subredes de la interfaz
interior a la interfaz exterior, usted quieren traducirlos dinámicamente a la interfaz
exterior.
Ahora que los host en las interfaces interiores y DMZ pueden salir a Internet, usted
necesita modificar la configuración de modo que los usuarios en Internet puedan
acceder a nuestro servidor Web en el puerto TCP 80. En este ejemplo, la configuración
es de modo que la gente en Internet pueda conectar con otra dirección IP que el ISP
proporcionó, una dirección IP adicional poseemos. Por este ejemplo, utilice
198.51.100.101. Con esta configuración, los usuarios en Internet podrán alcanzar al
servidor Web DMZ accediendo 198.51.100.101 en el puerto TCP 80. Utilice el objeto
NAT para esta tarea, y el ASA traducirá el puerto TCP 80 en el servidor Web
(192.168.1.100) para parecer 198.51.100.101 en el puerto TCP 80 en el exterior.
Semejantemente a qué fue hecha previamente, define un objeto y define las Reglas de
traducción para ese objeto. También, defina un segundo objeto para representar el IP
que usted traducirá este host a.
Apenas para resumir lo que significa esa regla NAT en este ejemplo:
Ése parece un poco impar… “originado del puerto TCP 80 (WWW)”, solamente del
tráfico de la Web se destina al puerto 80. Es importante entender que estas reglas NAT
son bidireccionales en la naturaleza. Como consecuencia, usted puede mover de un tirón
la fraseología alrededor para reformular esta frase. El resultado tiene mucho más
sentido:
Esto tiene más sentido cuando está expresada esta manera. Después, usted necesita
configurar los ACL.
Se configura el NAT y el final de esta configuración está cerca. Recuerde, los ACL en
el ASA permiten que usted reemplace la conducta de seguridad predeterminada que es
como sigue:
Trafique se niega que va de una interfaz de menor seguridad cuando va a una interfaz
de mayor seguridad.
Trafique se permite que va de una interfaz de mayor seguridad cuando va a una
interfaz de menor seguridad.
Los host en el interior (nivel de seguridad 100) pueden conectar con los host en el
DMZ (nivel de seguridad 50).
Los host en el interior (nivel de seguridad 100) pueden conectar con los host en el
exterior (nivel de seguridad 0).
Los host en el DMZ (nivel de seguridad 50) pueden conectar con los host en el exterior
(nivel de seguridad 0).
Los host en el exterior (nivel de seguridad 0) no pueden conectar con los host en el
interior (nivel de seguridad 100).
Los host en el exterior (nivel de seguridad 0) no pueden conectar con los host en el
DMZ (nivel de seguridad 50).
Los host en el DMZ (nivel de seguridad 50) no pueden conectar con los host en el
interior (nivel de seguridad 100).
Porque el tráfico del exterior a la red DMZ es negado por el ASA con su
configuración actual, los usuarios en Internet no pueden alcanzar al servidor Web a
pesar de la configuración del NAT en el paso 2. Usted necesita permitir explícitamente
este tráfico. En y posterior el código 8.3 usted debe utilizar el IP real del host en el
ACL y no el IP traducido. Esto significa que la configuración necesita permitir el
tráfico destinado a 192.168.1.100 y no traficar destinado a 198.51.100.101 en el puerto
80. Para el motivo de la simplicidad, los objetos definidos en el paso 2 serán utilizados
para este ACL también. Una vez que se crea el ACL, usted necesita aplicarlo entrante
en la interfaz exterior.
Aquí es lo que parecen esos comandos configuration:
Tráfico del permiso del any(where) al host representado por el web server del objeto
(192.168.1.100) en el puerto 80.
¿Qué sobre el tráfico del segmento DMZ destinó a los host en el segmento de la red
interna? Por ejemplo, un servidor en la red interna a la cual los host en la
necesidad DMZ de conectar. ¿Cómo puede el ASA permitir solamente que específico
trafique destinado al servidor interior y bloquee todo lo demás destinada al segmento
interior del DMZ?
En este ejemplo se asume que hay servidor DNS en la red interna en la dirección IP
192.168.0.53 que los host en la necesidad DMZ de acceder para la resolución de DNS.
Usted crea el ACL necesario y lo aplica a la interfaz DMZ así que el ASA puede
reemplazar esa conducta de seguridad predeterminada, mencionada anterior, para el
tráfico que ingresa esa interfaz.
El ACL es más complejo que simplemente permitiendo ese tráfico al servidor DNS en
el puerto 53 UDP. Si todo lo que lo hicimos es que primero línea del “permiso”,
después todo el tráfico sería bloqueado del DMZ a los host en Internet. Los ACL tienen
un “deny ip any any implícito” en el final del ACL. Como consecuencia, sus host DMZ
no podrían salir a Internet. Aunque el tráfico del DMZ al exterior se permite por
abandono, con la aplicación de un ACL a la interfaz DMZ, ésos omiten las conductas
de seguridad para la interfaz DMZ están no más en efecto y usted debe permitir
explícitamente el tráfico en la interfaz ACL.
Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete
Simule un paquete TCP que viene en la interfaz interior del IP address 192.168.0.125
en el puerto de origen 12345 destinado a un IP address de 203.0.113.1 en el puerto 80.
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 outside
Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network inside-subnet
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345
Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 1, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
El resultado final es que el tráfico está permitido, los whichmeans que pasó todos los
incorporares NAT y ACL la configuración y fue enviado la interfaz de egreso, afuera.
Observe que el paquete fue traducido en la fase 3 y los detalles de esa fase muestran lo
que se golpea la regla. El host 192.168.0.125 se traduce dinámicamente a
198.51.100.100 según la configuración.
Ahora, ejecútelo para una conexión de Internet al servidor Web. Recuerde, los host en
Internet accederá al servidor Web conectando con 198.51.100.101 en la interfaz
exterior. Una vez más este comando siguiente traduce a:
Simule un paquete TCP que viene en la interfaz exterior del IP address 192.0.2.123 en
el puerto de origen 12345 destinado a un IP address de 198.51.100.101 en el puerto 80.
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
Additional Information:
NAT divert to egress interface dmz
Untranslate 198.51.100.101/80 to 192.168.1.100/80
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_acl in interface outside
access-list outside_acl extended permit tcp any object webserver eq
www
Additional Information:
Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
Additional Information:
Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3, packet dispatched to next module
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow
Una vez más el resultado es que el paquete está permitido. Los ACL marcan hacia
fuera, las miradas de la configuración muy bien, y los usuarios en Internet (afuera)
deben poder acceder a ese servidor Web con IP externa.
Verificación
Troubleshooting
Conclusión
!
access-list outside_acl extended permit tcp any object webserver eq
www
access-list dmz_acl extended permit udp any object dns-server eq
domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
object network inside-subnet
nat (inside,outside) dynamic interface
object network dmz-subnet
nat (dmz,outside) dynamic interface
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
access-group dmz_acl in interface dmz
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
En un ASA 5505, por ejemplo, con las interfaces conectadas como se muestra
previamente (exterior conectado con el Ethernet0/0, dentro de conectado con
Ethernet0/1 y el DMZ conectado con Ethernet0/2):
!
access-list outside_acl extended permit tcp any object webserver eq
www
access-list dmz_acl extended permit udp any object dns-server eq
domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
object network inside-subnet
nat (inside,outside) dynamic interface
object network dmz-subnet
nat (dmz,outside) dynamic interface
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
access-group dmz_acl in interface dmz
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
La configuración del NAT y las
recomendaciones ASA para la autopista-e
y la autopista-C se doblan
implementación de las interfaces de la
red.
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Antecedentes
Requisitos/limitaciones
El agrupar
Rutas estáticas
Configuración
Configuración FW-A:
Paso 2. Configuración de la lista de control de acceso (ACL) para permitir los puertos
requeridos de Internet a la autopista-e
Configuración FW-B.
Verificación
Troubleshooting
Recomendaciones
Asegúrese que los exámenes SIP/H.323 estén inhabilitados totalmente en los Firewall
implicados
Solución alternativa
Links relacionados
Introducción
Prerrequisitos
Requisitos
Componentes Utilizados
Dispositivos de las 5500 y 5500-X Series de Cisco ASA que funcionan con la
versión de software 8.0 y posterior.
Versión 8.x y posterior de la autopista de Cisco.
Nota: A través del documento entero, los dispositivos de la autopista se refieren como la
autopista-e y autopista-C. Sin embargo, la misma configuración se aplica a la autopista
del servidor del comunicación mediante video (VCS) y a los dispositivos de control VCS.
Antecedentes
Si el DMZ no permite las conexiones directas entre interno y las redes externas,
requieren a los servidores dedicados manejar el tráfico que atraviesa el DMZ. La
autopista de Cisco puede actuar como ese servidor para el Session Initiation Protocol
(SIP) y/o Voz y tráfico de video de H.323. En este caso, usted puede utilizar la opción de
interfaces de la red dual que permite que la autopista de Cisco tenga dos diversos IP
Addresses, uno para el tráfico a/desde el firewall externo, y una para el tráfico a/desde
el Firewall interno.
Consejo: Para obtener más detalles sobre la implementación del TelePresence, refiera a
la autopista-e de Cisco y a la autopista-C - Guía de despliegue de la configuración
básica y colocación de una autopista de Cisco VCS en un DMZ bastante que en Internet
público.
Este diagrama muestra un despliegue de ejemplo para una autopista-e con las interfaces
de la red y el NAT estático duales. Una autopista-C que actúa como un cliente y dos
Firewall (FW A y FWB) del traversal. Típicamente, en esta configuración de DMZ, el
FW A no puede rutear el tráfico a FW B, y los dispositivos tales como la autopista-e de
la interfaz dual se requieren para validar y para remitir el tráfico de la subred FW a la
subred FW B (y vice versa).
El FW B es el Firewall interno
La autopista-e LAN2 tiene modo NAT estática habilitado con el direccionamiento NAT
estática 64.100.0.10
La autopista-C tiene una zona del cliente del traversal que señale a 10.0.20.2 (la interfaz
de la autopista-e LAN1)
Requisitos/limitaciones
Subredes sin traslapo
Si la autopista-e se configura para utilizar ambas interfaces LAN, las interfaces LAN1 y
LAN2 se deben situar en las subredes sin traslapo para asegurarse de que el tráfico está
enviado a la interfaz correcta.
El agrupar
Rutas estáticas
En este ejemplo en particular, la autopista-e debe saber que puede alcanzar la subred
10.0.30.0/24 detrás del FW B, que es accesible vía la interfaz LAN1. Esto es realizado
usando este comando.
Nota: La configuración de la Static ruta puede ser aplicada con el Interfaz gráfica del
usuario (GUI) de la autopista-e en el /Network > las interfaces/las Static rutas del
sistema de la sección.
Nota: Se recomienda para evitar el uso del NAT en FW-B para la autopista-C. Esto
permite que la autopista-e alcance la autopista-C con su IP Address real 10.0.30.2. Esto
evita ciertos problemas de los servicios telefónicos. Se ha confirmado que la
configuración del NAT para la autopista-C puede hacer los dispositivos del móvil y del
Acceso Remoto (MRA) no subir.
Configuración
Esta sección describe cómo configurar el NAT estático requerido para las interfaces de la
red duales de la autopista-C y de la autopista-e/la implementación del NIC dual en el
ASA. Además, algunas recomendaciones para la configuración modulares del Marco de
políticas ASA (MPF) para manejar el tráfico SIP/H323 con el ASA.
IP address:10.0.30.2/24 de la autopista-C
IP Addresses de la autopista-e
En el LAN2: 10.0.10.2/24
En el LAN1: 10.0.20.2/24
Configuración FW-A:
Paso 1. Configuración NAT estática para la autopista-e
OR
Nota: Si al intentar aplicar el PAT estático le ordena reciben ERROR del mensaje de
error “: El NAT incapaz de reservar los puertos en la interfaz de línea de comando
ASA, entonces, borra las entradas del xlate con el comando clear xlate x.x.x.x local
donde x.x.x.x corresponde al IP Address externo ASA. Este comando borra todas las
traducciones asociadas a este IP así que en los entornos de producción, lo ejecuta
con cautela.
Para las Versiones de ASA 8.2 y anterior:
Configuración FW-B.
Verificación
El trazalíneas del paquete se puede utilizar en el ASA para confirmar que los trabajos de
traducción NAT estática de la autopista-e como sea necesario.
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/5222 to 10.0.10.2/5222
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside-in in interface outside
access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222
Additional Information:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 13, packet dispatched to next module
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/8443 to 10.0.10.2/8443
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside-in in interface outside
access-list outside-in extended permit tcp any host 10.0.10.2 eq 8443
Additional Information:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 14, packet dispatched to next module
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/5061 to 10.0.10.2/5061
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside-in in interface outside
access-list outside-in extended permit tcp any host 10.0.10.2 eq 5061
Additional Information:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 15, packet dispatched to next module
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/24000 to 10.0.10.2/24000
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside-in in interface outside
access-list outside-in extended permit udp any host 10.0.10.2 gt 3477
Additional Information:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 16, packet dispatched to next module
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
NAT divert to egress interface inside
Untranslate 64.100.0.10/36002 to 10.0.10.2/36002
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside-in in interface outside
access-list outside-in extended permit udp any host 10.0.10.2 gt 3477
Additional Information:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-10.0.10.2
nat (inside,outside) static interface
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 17, packet dispatched to next module
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
Troubleshooting
Paso 1. Capturas de paquetes.
Las capturas de paquetes pueden ser tomadas en el ingreso y las interfaces de egreso
ASA
FW-A# sh cap
capture capout interface outside match ip host 64.100.0.100 host
64.100.0.10
capture capin interface inside match ip host 64.100.0.100 host
10.0.10.2
2 packets captured
1: 21:39:33.646954 64.100.0.100.21144 > 64.100.0.10.5222: S
4178032747:4178032747(0) win 4128 <mss 1460>
2: 21:39:35.577652 64.100.0.100.21144 > 64.100.0.10.5222: S
4178032747:4178032747(0) win 4128 <mss 1460>
2 packets shown
2 packets captured
1: 21:39:33.647290 64.100.0.100.21144 > 10.0.10.2.5222: S
646610520:646610520(0) win 4128 <mss 1380>
2: 21:39:35.577683 64.100.0.100.21144 > 10.0.10.2.5222: S
646610520:646610520(0) win 4128 <mss 1380>
2 packets shown
Capturas de paquetes para 64.100.0.10 en TCP/5061:
Las capturas del descenso ASA ASP toman los paquetes que el ASA decidía a caer. La
opción toda captura todas las razones posibles por las que el ASA cayó un paquete.
Esto puede ser estrechada abajo si hay alguna razón supected. Para una lista de las
razones un uso ASA de clasificar esto cae, el descenso del comando show ASP puede
ser utilizado.
El buffer predeterminado para cada captura ASA es 512 KB. Si hay muchos paquetes
que son caídos por este ASA, este buffer será llenado muy rápidamente. Este buffer se
puede incrementar usando el buffer de la opción.
OR
Consejo: Esta captura ASA ASP es muy útil en este escenario para confirmar si los
descensos ASA paquetes debidos a un ACL o a un NAT que falta para abrir un puerto
específico TCP o UDP para la autopista-e.
Recomendaciones
Asegúrese que los exámenes SIP/H.323 estén inhabilitados totalmente en los Firewall
implicados
policy-map global_policy
class inspection_default
no inspect h323 h225
no inspect h323 ras
no inspect sip
Solución alternativa
Links relacionados
Colocando una autopista de Cisco VCS en un DMZ bastante que en Internet público
He configurado el puerto inside en modo trunk con las VLAN que quiero que
accedan a internet. Pero me aparece un error de ID VLan Incorrecta.
¿Debo dar de alta la VLAN en el ASA? Se puede hacer a través de ASDM, o sólo
se puede hacer por comandos?
Hay que crear puertos virtuales para cada VLAN eth0.10, eth0.20...? O como el
enrutamiento entre VLAN se hace en el switch esto no es necesario?
R. Hola Diego
El router tendrá acceso a las LAN del L3 switch y el las LANs tendran acceso a la
redes que conoce el routers.
El switch lo puedes usar como capa 2 y crear los gateways de las VLANs en el
ASA, pero depende del diseño, si tu tienes el gateway en el switch AVAYA lo
que necesitas en el firewall solo es un punto a punto para rutear el tráfico hacia
internet y que pase por el NAT.
Gracias.
P. Hola Julio.
gracias
R. Hola Diego,
description MI-RED-INTERNA
security-level 100
nameif INSIDE
no shutdown
vlan 10
name P2P-con-ASA
interface vlan 10
description P2P-con-ASA
no shutdown
interface g1/24
description P2P-con-ASA
no shutdown
no switchport
description P2P-con-ASA
interface fa0/0
no shutdown
interface fa0/0.10
vlan 10
description MI-RED-INTERNA
security-level 100
nameif INSIDE
no shutdown
Configuracion en Switch
vlan 10
name P2P-con-ASA
interface vlan 10
description P2P-con-ASA
no shutdown
interface g1/24
description P2P-con-ASA
no shutdown
Ejemplo:
P. Buenos dias
Al crear las VLAN en el ASA debo ponerles direccion IP y que coincida con las
direcciones del switch, o, si solo defino las VLAN me valdría?
R. Hola Diego,
Todo depende de como sea tu infraestructura, hay 2 esquemas que veo si tengo un
switch y un firewall.
1- El firewall puede ser el gateway para todas las VLAN's y correcto aqui se hace
intervlan routing. El switch puede servir como capa 2 unicamente, donde solo se
crean las VLANs y se configura un puerto trunk para ahi conectar el firewall, el
cual tendria sub interfaces, todo procesamiento lo haria el firewall.
P. Hola Julio.
El problema que me estoy encontrando es como hago para que las VLAN salgan a
internet por el firewall.
Pongo un ejemplo:
SWITCH
- Debo ponerla en modo trunk para que permita trafico de las 2 VLAN?
- Deberia poner la VLAN1 como VLAN 30 y poner otra VLAN como nativa (la
99 por ejemplo), ya que creo, y corrigeme si me equivoco, que no puedo
comunicar una VLAN con la VLAN por defecto, o si?
un saludo
R. Hola Diego, que tal? Para servirte, ok respecto al caso no necesitas un trunk entre
el switch y el firewall solo una conexion capa 3, ahora bien por recomendación se
puede usar otra VLAN que no sea la 1, por buena practica la VLAN 1 se
deshabilita.
Ahora bien si el switch es capa 3 tu podrias tener una configuración como esta:
SWITCH
ip routing
interface g1/0/1
no switchport
no shutdown
FIREWALL
** La configuración del NAT puede variar dependiendo IOS **
Ejemplo:
interface g0/0
description >>>HACIA-SWITCH<<<
nameif INSIDE
security-level 100
no shutdown
interface g0/1
description >>>HACIA-ISP<<<
nameif OUTSIDE
security-level 0
no shutdown
route OUTSIDE 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x = siguiente salto, gateway del
lado del proveedor)
** No tengo a la mano un firewall para probar las lineas de sintaxis pero creo que
estan bien.
El firewall realizaria el enrutamiento final hacia el proveedor, pero tambien se
necesita conocer como regresar los paquetes por eso se configuran las direcciones
estaticas apuntando al switch.
P. Hola Julio.
- Entiendo que al poner el Firewall en otra VLAN hace innecesario que el enlace
entre firewall y el switch sea "trunk". El trafico por la VLAN del firewall iria sin
"etiqueta de vlan", es decir, al firewall no le llegaria la VLAN del origen del
trafico?
Y en el firewall, configurar las VLAN, pero, deberia ponerles una IP a las VLAN
del firewall, o las puedo dejar sin IP.
R. Hola
P. gracias Julio.
Tenemos una licencia de Cisco que nos permite la conexion de 8 VLANs por puerto, y
no sabia como podia usarla y que nos fuera util (ya que la hemos pagado)
R. Hola
Perfecto, si por casualidad tu firewall no te permite usar un puerto como capa 3 sino que
debe ser por VLAN, la configuracion varia, en el 5505 lo he visto con VLANs, seria
algo como lo siguiente:
FIREWALL
interface vlan 10
nameif INSIDE
security-level 100
no shutdown
interface e0/1
description >>>TO-SWITCH<<<
no shutdown
SWITCH
vlan 10
name P2P-TO-FW
interface vlan 10
no shutdown
interface g1/0/1
switchport
no shutdown
Si pongo el firewall en una VLAN donde hay mas equipos, como he puesto antes
Todos los equipos para comunicarse con las otras VLAN deben tener el GW en la 30.1
Esta seria una situacion transitoria hasta que ponga como me has contado en tus
respuestas.
o seria mejor, poner directamente el firewall en otra VLAN y listo. (estoy pensando en
la transicion de tener solo una LAN a segmentarla en VLAN, con el mínimo impacto en
la red)
Muchas gracias
R. Hola Diego,
Ahora bien la VLAN para la conexion con el firewall es mas que todo para ese uso, que
servira como un puente capa 3 para la comunicacion entre switch y firewall y asi hacer
fluir los paquetes entre estos dispositivos.
Todos los gateways pueden quedar en el switch, si usas una VLAN para la conexion
con el firewall recomiendo una red mascara 30 para evitar desperdiciar direcciones IP,
ejemplo: 10.0.0.0/30 (.1 para el switch y .2 para el firewall)
P. hola
R. Un gusto mi amigo, que todo salga muy bien y recuerda siempre tener backups de las
configuraciones y realizar la implementacion en ventana de mantenimiento autorizada.
que tal?
Dentro de la VLAN del Cisco he puesto otro equipo: PC2 (que sale bien a internet por
el cisco)
las VLAN se comunican entre ellas a traves del switch de nivel 3. Pero...
Que problema puede haber en la configuracion del cisco para que no le vea desde una
vlan externa?
muchas gracias.
PC1 (VLAN23)
IP: 192.168.23.3
mask: 255.255.255.0
gateway: 192.168.23.1
PC2 (VLAN22)
IP: 192.168.22.5
mask:255.255.255.0
Cisco (VLAN22)
IP: 192.168.22.2
mask: 255.255.255.0
IP: 0.0.0.0
mask: 0.0.0.0
next: 192.168.22.2
El Cisco (creo que solo actua como firewall). Tiene definida una ACL del puerto
Y la NAT:
- Al actuar sólo como firewall (esta parte tengo que confirmarla, pero me temo que es
asi) a lo mejor debo permitir tambien el trafico de la vlan23 en el cisco y poner el enlace
en modo trunk, me resultaria extraño?
show firewall
aparece:
Voy a revisar la configuracion compartida, con respecto al firewall mode, esta bien,
Router o tambien conocida como NAT, es utilizado para que el firewall permita varias
direcciones IP, en modo transparente solo se permite 1 direccion IP.
P. Hola Julio.
http://www.redescisco.net/sitio/2010/10/14/configurando-enrutamiento-entre-vlans-
utilizando-switches-multicapa-layer-3/
R. Hola Diego
Si el L3 switch ya controla el inter vlan routing y este contiene los gateways de cada
LAN, el cable entre entre el L3 Switch y el routers es usado como un punto a punto para
hacer fluir las redes de cada dispositivo a traves de eso y que pueda haber
comunicacion. Entonces:
El router tendra acceso a las LAN del L3 switch y el las LANs tendran acceso a la redes
que conoce el routers.
P. nada.
gracias
Configurar un Firewall Cisco Asa 5505
por elalbir28
En este ejemplo voy a usar la red 10.0.0.0 como red local (la que está por detrás del
firewall), y como red externa la 192.168.1.0 porque es la que utiliza mi router adsl para
asignar direcciones internas, ambas con mask 255.255.255.0
El cable de consola no es otra cosa que un cable de comunicaciones que por el lado del
router tiene una clavija RJ45, y que por el lado del ordenador tiene un puerto serie o
usb.
Se puede comprar en cualquier tienda de electrónica/informática, por unos 10 euros.
Una vez conectado el cable al Firewall y a nuestro ordenador, necesitaremos usar una
aplicación de emulación de terminal.
Una vez iniciada la sesión del terminal, y habiendo accedido al router recomiendo (por
seguridad) restablecer los valores de fábrica:
enable
config t
write erase
reload
config t
Informaremos la ip interna del router a la que poder acceder con telnet, por ejemplo
10.0.0.4
Activaremos el acceso a través de ssh (permitirá gestión remota con ssh desde interior
red)
password ELALBIR
Guardaremos la configuración
write mem
telnet 10.0.0.4
ssh root@10.0.0.4
L3(config)# ip routing
PC 10.2>ping 192.168.20.1
PC 10.2>
L3(config-if)#
L3(config-if)# no switchport
L3(config-if)# ip address 200.1.1.2 255.255.255.0
L3(config-if)#