Configure El ASA para Las Redes Internas Duales

Configure el ASA para las redes internas
duales
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Antecedentes
Configurar
Diagrama de la red
Configuración ASA 9.x
No prohiba a host interiores el acceso a las redes externas con la PALMADITA
Configuración del Router B
Verificación
Conexión
Troubleshooting
Registros del sistema
Trazalíneas del paquete
Captura
Información Relacionada
Introducción
Este documento describe cómo configurar un dispositivo de seguridad adaptante de Cisco

(ASA) esa versión de software 9.x de los funcionamientos para el uso de dos redes
internas.
Prerequisites
Requisitos
No hay requisitos específicos para este documento.
La información en este documento se basa en Cisco ASA que funciona con la versión de
software 9.x.
La información que contiene este documento se creó a partir de los dispositivos en un

ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este
documento se pusieron en funcionamiento con una configuración verificada
(predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto
que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información

sobre las convenciones sobre documentos.
Antecedentes
Cuando usted agrega una segunda red interna detrás de un Firewall ASA, considere esta
información importante:
 El ASA no soporta el direccionamiento secundario.

 Un router debe ser utilizado detrás del ASA para alcanzar la encaminamiento entre la
red actual y la red nuevamente agregada.
 El default gateway para todos los host debe señalar al router interno.
 Usted debe agregar una ruta predeterminado en el router interno esas puntas al ASA.
 Usted debe borrar el caché del Address Resolution Protocol (ARP) en el router interno.
Configurar
Utilice la información que se describe en esta sección para configurar el ASA.
Diagrama de la red
Aquí está la topología que se utiliza para los ejemplos en este documento:
Note: Los esquemas de IP Addressing que se utilizan en esta configuración no son

legalmente routable en Internet. Son los direccionamientos del RFC 1918 que se utilizan
en un ambiente de laboratorio.
Configuración ASA 9.x
Si usted tiene la salida del comando write terminal de su dispositivo de Cisco, usted
puede utilizar la herramienta del Output Interpreter (clientes registrados solamente) para
visualizar los problemas potenciales y los arreglos.
Aquí está la configuración para el ASA que funciona con la versión de software 9.x:
ASA Version 9.3(2)

!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!--- This is the configuration for the outside interface.
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
!--- This is the configuration for the inside interface.
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
boot system disk0:/asa932-smp-k8.bin
!--- This creates an object called OBJ_GENERIC_ALL.

!--- Any host IP address that does not already match another configured
!--- object will get PAT to the outside interface IP address
!--- on the ASA (or 10.1.5.1), for Internet-bound traffic.
object network OBJ_GENERIC_ALL

subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
!
route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 203.0.113.1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect
0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end
No prohíba a host interiores el acceso a las redes externas con la PALMADITA
Si usted se prepone tener los host interiores compartir a una sola dirección pública para
la traducción, Port Address Translation (PAT) del uso. Una de las configuraciones más
simples de la PALMADITA implica la traducción de todos los host internos de modo que
aparezcan ser el IP de la interfaz exterior. Ésta es la configuración típica de la
PALMADITA se utiliza que cuando el número de IP Address ruteables que estén
disponible desde el ISP se limita solamente a algunos, o apenas uno.
Complete estos pasos para no prohibir a los host interiores el acceso a las redes externas
con la PALMADITA:
1. Navegue a la configuración > al Firewall > a las reglas NAT, el tecleo agrega, y elige el
objeto de red para configurar una regla dinámica NAT:
2. Configure la red/el host/el rango para el cual se requiere la PALMADITA dinámica. En
este ejemplo, se han seleccionado todos las subredes del interior. Este proceso se debe
relanzar para las subredes específicas que usted desea traducir de este modo:
3. Haga clic el NAT, marque la casilla de verificación automática de la regla de traducción

de la dirección del agregar, ingrese dinámico, y fije la opción traducida del addr de
modo que refleje la interfaz exterior. Si usted hace clic los puntos suspensivos, le ayudan
para escoger un objeto preconfigurado, tal como la interfaz exterior:
4. El tecleo avanzó para seleccionar una fuente y una interfaz de destino:
5. El Haga Click en OK, y entonces hace clic se aplica para aplicar los cambios. Una vez
completo, el Administrador de dispositivos de seguridad adaptante (ASDM) muestra la
regla NAT:
Configuración del Router B
Aquí está la configuración para el router B:
Building configuration...
Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
!--- This assigns an IP address to the ASA-facing Ethernet interface.
ip address 192.168.0.254 255.255.255.0

no ip directed-broadcast
ip classless
!--- This route instructs the inside router to forward all of the
!--- non-local packets to the ASA.
ip route 0.0.0.0 0.0.0.0 192.168.0.1

no ip http server
!
!
line con 0
exec-timeout 0 0
length 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end
Verificación
Acceda un sitio web vía el HTTP a través de un buscador Web para verificar que su
configuración trabaja correctamente.
Este ejemplo utiliza un sitio que se reciba en la dirección IP 198.51.100.100. Si la

conexión es acertada, las salidas que se proporcionan en las secciones que siguen se
pueden considerar en el ASA CLI.
Conexión
Ingrese el comando address de la conexión de la demostración para verificar la

conexión:
ASA(config)# show connection address 172.16.11.5

6 in use, 98 most used
TCP outside 198.51.100.100:80 inside 192.168.1.5:58799, idle 0:00:06,
bytes 937,
flags UIO
El ASA es un escudo de protección con estado, y el tráfico de retorno del servidor Web
se permite detrás con el Firewall porque hace juego una conexión en la tabla de
conexiones del Firewall. El tráfico que hace juego una conexión que preexista se permite
con el Firewall sin el bloqueo por una lista de control de acceso (ACL) de la interfaz.
En la salida anterior, el cliente en la interfaz interior ha establecido una conexión al host

de 198.51.100.100 apagado de la interfaz exterior. Esta conexión se hace con el protocolo
TCP y ha estado ociosa por seis segundos. Los indicadores de la conexión indican al
estado actual de esta conexión.
Note: Refiera al documento de Cisco de los indicadores de la conexión TCP ASA

(acumulación y desmontaje de la conexión) para más información sobre los indicadores
de la conexión.
Troubleshooting
Utilice la información que se describe en esta sección para resolver problemas los
problemas de configuración.
Registros del sistema
Ingrese el comando show log para ver los Syslog:
ASA(config)# show log | in 192.168.1.5
Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from

inside:
192.168.1.5/58799 to outside:203.0.113.2/58799
Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921

for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:192.168.1.5/58799
(203.0.113.2/58799)
El Firewall ASA genera los Syslog durante el funcionamiento normal. Los Syslog se
extienden en la verbosidad basada en la configuración de registro. La salida muestra dos
Syslog que se vean en el nivel seis, o el nivel informativo.
En este ejemplo, hay dos Syslog generados. El primer es un mensaje del registro para
indicar que el Firewall ha construido una traducción; específicamente, una traducción
dinámica TCP (PALMADITA). Indica la dirección IP de origen y el puerto, así como la
dirección IP y el puerto traducidos, pues el tráfico atraviesa del interior a las interfaces
exteriores.
El segundo Syslog indica que el Firewall ha construido una conexión en su tabla de

conexiones para este tráfico específico entre el cliente y servidor. Si el Firewall fue
configurado para bloquear este intento de conexión, o un cierto otro factor inhibió la
creación de esta conexión (las restricciones de recursos o una posible configuración
incorrecta), el Firewall no genera un registro para indicar que la conexión fue construida.
En lugar, registra una razón de la conexión para ser negado o una indicación con respecto
al factor que inhibió la conexión de ser creado.
Trazalíneas del paquete
Ingrese este comando para habilitar las funciones del trazalíneas del paquete:
ASA(config)# packet-tracer input inside tcp 192.168.1.5 1234

198.51.100.100 80
--Omitted--
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Las funciones del trazalíneas del paquete en el ASA permiten que usted especifique un
paquete simulado y que vea todos los diversos pasos, controles, y funciones que el
Firewall complete cuando procesa el tráfico. Con esta herramienta, es útil identificar un
ejemplo del tráfico que usted cree debe ser permitido pasar con el Firewall, y utiliza que
5-tupple para simular el tráfico. En el ejemplo anterior, el trazalíneas del paquete se utiliza
para simular un intento de conexión que cumpla estos criterios:
 El paquete simulado llega en la interfaz interior.

 El protocolo se utiliza que es TCP.
 El dirección IP del cliente simulado es 192.168.1.5.
 El cliente envía el tráfico que es originado del puerto 1234.
 El tráfico se destina a un servidor en la dirección IP 198.51.100.100.
 El tráfico se destina al puerto 80.
Note que no había mención de la interfaz exterior en el comando. Esto es debido al diseño
del trazalíneas del paquete. La herramienta le dice cómo los procesos del Firewall que la
tentativa del tipo de conexión, que incluye de cómo la rutearía, y fuera de cuál interfaz.
Tip: Para más información sobre las funciones del trazalíneas del paquete, refiera a los
paquetes del seguimiento con la sección del trazalíneas del paquete de la guía de
configuración de las 5500 Series de Cisco ASA que usa el CLI, los 8.4 y los 8.6.
Captura
Ingrese estos comandos para aplicar una captura:
ASA# capture capin interface inside match tcp host 192.168.1.5 host
198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100
ASA#show capture capin
3 packets captured
1: 11:31:23.432655 192.168.1.5.58799 > 198.51.100.100.80: S

780523448:
780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712518 198.51.100.100.80 > 192.168.1.5.58799: S
2123396067:
2123396067(0) ack 780523449 win 8192 <mss
1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712884 192.168.1.5.58799 > 198.51.100.100.80: . ack
2123396068
win 32768
ASA#show capture capout
3 packets captured
1: 11:31:23.432869 203.0.113.2.58799 > 198.51.100.100.80: S

1633080465:
1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712472 198.51.100.100.80 > 203.0.113.2.58799: S 95714629:
95714629(0) ack 1633080466 win 8192 <mss
1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712914 203.0.113.2.58799 > 198.51.100.100.80: . ack
95714630
win 32768/pre>
El Firewall ASA puede capturar el tráfico que ingresa o deja sus interfaces. Estas
funciones de la captura son fantásticas porque pueden probar definitivo si el tráfico llega,
o se van de, un Firewall. El ejemplo anterior muestra la configuración de dos capturas
nombradas capin y capout en las interfaces interior y exterior, respectivamente. Los
comandos capture utilizan la palabra clave de la coincidencia, que permite que usted
especifique el tráfico que usted quiere capturar.
Por el ejemplo de la captura del capin, se indica que usted quiere hacer juego el tráfico
que se considera en la interfaz interior (ingreso o salida) ese host 198.51.100.100 de
192.168.1.5 del host tcp de las coincidencias. Es decir usted quiere capturar tráfico TCP
que se envía del host 192.168.1.5 para recibir 198.51.100.100, o vice versa. El uso de la
palabra clave de la coincidencia permite que el Firewall capture ese tráfico bidireccional.
El comando capture que se define para la interfaz exterior no se refiere a la dirección IP
del cliente interno porque el Firewall conduce la PALMADITA en ese dirección IP del
cliente. Como consecuencia, usted no puede hacer juego con ese dirección IP del cliente.
En lugar, este ejemplo utiliza ningunos para indicar que todos los IP Addresses posibles
harían juego esa condición.
Después de que usted configure las capturas, usted puede entonces intentar establecer una
conexión otra vez y proceder a ver las capturas con la demostración capture el comando
del <capture_name>. En este ejemplo, usted puede ver que el cliente puede conectar con
el servidor, como evidente por el apretón de manos de tres vías TCP que se considera en
las capturas.
Información Relacionada
 Cisco Adaptive Security Device Manager
 Firewall de la última generación de las 5500-X Series de Cisco ASA
 Solicitudes de comentarios (RFC)
 Guía de configuración CLI de la serie de Cisco ASA, 9.0 “ del € Â del âÂ configurando
los parásitos atmosféricos y las rutas predeterminado
 “ Cisco Systems del € Â del âÂ del Soporte técnico y de la documentación
Configuración del NAT básica ASA:
Servidor Web en el DMZ en la Versión de
ASA 8.3 y posterior
Contenido
Introducción
prerrequisitos
Requisitos
Información general
Metas
Descripción de la lista de control de acceso
Descripción general de NAT
Configurar
Introducción
Topología
Paso 1 - Configuración NAT para permitir que los host salgan a Internet
Paso 2 - Configuración NAT para acceder al servidor Web de Internet
Paso 3 - Configuración ACL
Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete
Verificación
Troubleshooting
Conclusión
Introducción
Este documento proporciona un ejemplo simple y directo de cómo configurar el

Network Address Translation (NAT) y el Listas de control de acceso (ACL) en un
Firewall ASA para permitir la Conectividad saliente así como entrante. Este documento
fue escrito con un Firewall adaptante 5510 del dispositivo de seguridad (ASA) que la
versión del código de los funcionamientos ASA 9.1(1), pero éste puede aplicarse
fácilmente a cualquier otra plataforma del Firewall ASA. Si usted utiliza una plataforma
tal como un ASA 5505, que utiliza los VLA N en vez de una interfaz física, usted
necesita cambiar los tipos de interfaz como apropiados.
Prerequisites
Requisitos
No hay requisitos específicos para este documento.
La información en este documento se basa en un Firewall ASA 5510 que funcione con
la versión del código ASA 9.1(1).

(predeterminada). Si la red está funcionando, asegúrese de haber comprendido el
impacto que puede tener cualquier comando.
Información general
Metas
En este ejemplo de configuración, usted puede considerar qué NAT y configuración

ACL será necesaria para permitir el acceso entrante a un servidor Web en el DMZ de un
Firewall ASA, y permite la Conectividad saliente de los host internos y DMZ. Esto se
puede resumir como dos metas:
1. Permita los host en el interior y la Conectividad saliente DMZ a Internet.

2. Permita que los host en Internet accedan a un servidor Web en el DMZ con una
dirección IP de 192.168.1.100.
Antes de conseguir a los pasos que se deben completar para lograr estas dos metas, este
documento pasa abreviadamente la manera ACL y el trabajo NAT sobre las versiones
más recientes del código ASA (versión 8.3 y posterior).
Descripción de la lista de control de acceso
Las listas de control de acceso (las listas de acceso o los ACL para corto) son el método
por el cual el Firewall ASA determina si se permite o se niega el tráfico. Por abandono,
se niega el tráfico que pasa de un más bajo al mayor nivel de seguridad. Esto se
puede reemplazar por un ACL aplicado a esa interfaz de menor seguridad. También el
ASA, por abandono, permite el tráfico de más arriba a las interfaces de menor
seguridad. Este comportamiento se puede también reemplazar con un ACL.
En las versiones anteriores del código ASA (8.2 y anterior), el ASA comparó una
conexión entrante o un paquete contra el ACL en una interfaz sin untranslating el
paquete primero. Es decir el ACL tuvo que permitir el paquete como si usted debiera
capturar ese paquete en la interfaz. En el código de la versión 8.3 y posterior, los
untranslates ASA que paquete antes de que marque la interfaz ACL. Esto significa eso
para y posterior el código 8.3, y se permite este documento, tráfico al IP real del host y
no el IP traducido del host.
Vea la sección de las reglas de acceso que configura del libro 2: Guía de configuración
CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre los ACL.
Descripción general de NAT
El NAT en el ASA en la versión 8.3 y posterior está roto en dos tipos conocidos como
NAT auto (objeto NAT) y NAT manual (dos veces NAT). El primer de los dos, el
objeto NAT, se configura dentro de la definición de un objeto de red. Un ejemplo de
esto se proporciona más adelante en este documento. Una ventaja primaria de este
método NAT es que el ASA pide automáticamente las reglas para procesar para evitar
los conflictos. Ésta es la forma más fácil de NAT, pero con esa facilidad viene una
limitación en el granularity de la configuración. Por ejemplo, usted no puede tomar una
decisión de la traducción basada en el destino en el paquete como usted podría con el
segundo tipo de NAT, nacional manual. El NAT manual es más robusto en su
granularity, pero requiere que las líneas estén configuradas en la orden correcta de modo
que pueda alcanzar la conducta correcta. Esto complica este tipo NAT, y como
consecuencia no será utilizada en este ejemplo de configuración.
Vea la información sobre la sección NAT del libro 2: Guía de configuración CLI del
Firewall de la serie de Cisco ASA, 9.1 para más información sobre el NAT.
Configurar
Introducción
La configuración básica de la configuración ASA es tres interfaces conectadas con tres

segmentos de red. El segmento de la red ISP está conectado con la interfaz del
Ethernet0/0 y etiquetado afuera con un nivel de seguridad de 0. La red interna ha estado
conectada con Ethernet0/1 y etiquetada como dentro con un nivel de seguridad de 100.
El segmento DMZ, donde reside el servidor Web, está conectado con Ethernet0/2 y
etiquetado como DMZ con un nivel de seguridad de 50.
La configuración de la interfaz y los IP Addresses por el ejemplo se consideran aquí:
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1
Aquí usted puede ver que la interfaz interior ASA está fijada con la dirección IP de
192.168.0.1, y es el default gateway para los host internos. La interfaz exterior ASA se
configura con una dirección IP obtenida del ISP. Hay una ruta predeterminado en el
lugar, que fija el Next-Hop para ser el gateway ISP. Si usted utiliza el DHCP esto se
proporciona automáticamente. La interfaz DMZ se configura con la dirección IP de
192.168.1.1, y es el default gateway para los host en el segmento de la red DMZ.
Topología
Aquí está una mirada visual en cómo se telegrafía y se configura esto:
Paso 1 - Configuración NAT para permitir que los host salgan a Internet
Para este objeto NAT del ejemplo, también conocido como AutoNAT, se utiliza. La
primera cosa a configurar es las reglas NAT que permiten los host en el interior y
segmentos DMZ a conectar con Internet. Porque estos host utilizan los IP Address
privados, usted necesita traducirlos algo que es routable en Internet. En este caso,
traduzca los direccionamientos de modo que parezcan la dirección IP de la interfaz
exterior ASA. Si su IP externa cambia con frecuencia (quizás debido al DHCP) ésta es
la manera más directa de configurar esto.
Para configurar este NAT, usted necesita crear un objeto de red que represente la subred
interior así como uno que represente la subred DMZ. En cada uno de estos objetos,
configure una regla nacional dinámica que Port Address Translation (PAT) estos
clientes mientras que pasan de sus interfaces respectivas a la interfaz exterior.
Esta configuración parece similar a esto:
object network inside-subnet

subnet 192.168.0.0 255.255.255.0
!
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
nat (dmz,outside) dynamic interface
Si usted mira la configuración corriente en este momento (con la salida del comando
show run), usted verá que la definición del objeto está partida en dos partes de la salida.
La primera parte indica solamente cuál está en el objeto (host/subred, dirección IP, y así
sucesivamente), mientras que la segunda sección muestra que regla NAT atada a ese
objeto. Si usted toma la primera entrada en la salida anterior:
Cuando los host que hacen juego la travesía de 192.168.0.0/24 subredes de la interfaz
interior a la interfaz exterior, usted quieren traducirlos dinámicamente a la interfaz
exterior.
Paso 2 - Configuración NAT para acceder al servidor Web de Internet
Ahora que los host en las interfaces interiores y DMZ pueden salir a Internet, usted
necesita modificar la configuración de modo que los usuarios en Internet puedan
acceder a nuestro servidor Web en el puerto TCP 80. En este ejemplo, la configuración
es de modo que la gente en Internet pueda conectar con otra dirección IP que el ISP
proporcionó, una dirección IP adicional poseemos. Por este ejemplo, utilice
198.51.100.101. Con esta configuración, los usuarios en Internet podrán alcanzar al
servidor Web DMZ accediendo 198.51.100.101 en el puerto TCP 80. Utilice el objeto
NAT para esta tarea, y el ASA traducirá el puerto TCP 80 en el servidor Web
(192.168.1.100) para parecer 198.51.100.101 en el puerto TCP 80 en el exterior.
Semejantemente a qué fue hecha previamente, define un objeto y define las Reglas de
traducción para ese objeto. También, defina un segundo objeto para representar el IP
que usted traducirá este host a.
Esta configuración parece similar a esto:
object network webserver-external-ip

host 198.51.100.101
!
object network webserver
host 192.168.1.100
nat (dmz,outside) static webserver-external-ip service tcp www www
Apenas para resumir lo que significa esa regla NAT en este ejemplo:
Cuando un host que corresponde con a la dirección IP 192.168.1.100 en los

segmentos DMZ establece una conexión originada del puerto TCP 80 (WWW) y que
sale la conexión la interfaz exterior, usted quiere traducir eso para ser el puerto TCP
80 (WWW) en la interfaz exterior y para traducir ese IP Address para ser
198.51.100.101.
Ése parece un poco impar… “originado del puerto TCP 80 (WWW)”, solamente del
tráfico de la Web se destina al puerto 80. Es importante entender que estas reglas NAT
son bidireccionales en la naturaleza. Como consecuencia, usted puede mover de un tirón
la fraseología alrededor para reformular esta frase. El resultado tiene mucho más
sentido:
Cuando los host en el exterior establecen una conexión a 198.51.100.101 en el puerto

80 (WWW) del TCP de destino, usted traducirá el IP Address de destino para ser
192.168.1.100 y el puerto destino será el puerto TCP 80 (WWW) y le mandará el
DMZ.
Esto tiene más sentido cuando está expresada esta manera. Después, usted necesita
configurar los ACL.
Paso 3 - Configuración ACL
Se configura el NAT y el final de esta configuración está cerca. Recuerde, los ACL en
el ASA permiten que usted reemplace la conducta de seguridad predeterminada que es
como sigue:
 Trafique se niega que va de una interfaz de menor seguridad cuando va a una interfaz
de mayor seguridad.
 Trafique se permite que va de una interfaz de mayor seguridad cuando va a una
interfaz de menor seguridad.
Tan sin la adición de cualquier ACL a la configuración, este tráfico en el ejemplo

trabaja:
 Los host en el interior (nivel de seguridad 100) pueden conectar con los host en el
DMZ (nivel de seguridad 50).
 Los host en el interior (nivel de seguridad 100) pueden conectar con los host en el
exterior (nivel de seguridad 0).
 Los host en el DMZ (nivel de seguridad 50) pueden conectar con los host en el exterior
(nivel de seguridad 0).
Sin embargo, se niega este tráfico:
 Los host en el exterior (nivel de seguridad 0) no pueden conectar con los host en el
interior (nivel de seguridad 100).
 Los host en el exterior (nivel de seguridad 0) no pueden conectar con los host en el
DMZ (nivel de seguridad 50).
 Los host en el DMZ (nivel de seguridad 50) no pueden conectar con los host en el
interior (nivel de seguridad 100).
Porque el tráfico del exterior a la red DMZ es negado por el ASA con su
configuración actual, los usuarios en Internet no pueden alcanzar al servidor Web a
pesar de la configuración del NAT en el paso 2. Usted necesita permitir explícitamente
este tráfico. En y posterior el código 8.3 usted debe utilizar el IP real del host en el
ACL y no el IP traducido. Esto significa que la configuración necesita permitir el
tráfico destinado a 192.168.1.100 y no traficar destinado a 198.51.100.101 en el puerto
80. Para el motivo de la simplicidad, los objetos definidos en el paso 2 serán utilizados
para este ACL también. Una vez que se crea el ACL, usted necesita aplicarlo entrante
en la interfaz exterior.
Aquí es lo que parecen esos comandos configuration:
access-list outside_acl extended permit tcp any object webserver eq

www
!
access-group outside_acl in interface outside
La línea estados de la lista de acceso:
Tráfico del permiso del any(where) al host representado por el web server del objeto
(192.168.1.100) en el puerto 80.
Es importante la configuración utiliza la cualquier palabra clave aquí. Porque la

dirección IP de origen de los clientes no se conoce como él alcanza su sitio web,
especifique cualquier el significado “cualquier dirección IP.
¿Qué sobre el tráfico del segmento DMZ destinó a los host en el segmento de la red
interna? Por ejemplo, un servidor en la red interna a la cual los host en la
necesidad DMZ de conectar. ¿Cómo puede el ASA permitir solamente que específico
trafique destinado al servidor interior y bloquee todo lo demás destinada al segmento
interior del DMZ?
En este ejemplo se asume que hay servidor DNS en la red interna en la dirección IP
192.168.0.53 que los host en la necesidad DMZ de acceder para la resolución de DNS.
Usted crea el ACL necesario y lo aplica a la interfaz DMZ así que el ASA puede
reemplazar esa conducta de seguridad predeterminada, mencionada anterior, para el
tráfico que ingresa esa interfaz.
Aquí es lo que parecen esos comandos configuration:
object network dns-server

host 192.168.0.53
!
access-list dmz_acl extended permit udp any object dns-server eq
domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
access-group dmz_acl in interface dmz
El ACL es más complejo que simplemente permitiendo ese tráfico al servidor DNS en
el puerto 53 UDP. Si todo lo que lo hicimos es que primero línea del “permiso”,
después todo el tráfico sería bloqueado del DMZ a los host en Internet. Los ACL tienen
un “deny ip any any implícito” en el final del ACL. Como consecuencia, sus host DMZ
no podrían salir a Internet. Aunque el tráfico del DMZ al exterior se permite por
abandono, con la aplicación de un ACL a la interfaz DMZ, ésos omiten las conductas
de seguridad para la interfaz DMZ están no más en efecto y usted debe permitir
explícitamente el tráfico en la interfaz ACL.
Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete
Ahora que se completa la configuración, usted necesita probarla para aseegurarse la

trabaja. El método más fácil es utilizar los host reales (si ésta es su red). Sin embargo,
en interés de probar esto del CLI y más futuro explorando algunas de las herramientas
ASA, utilice el trazalíneas del paquete para probar y potencialmente hacer el debug de
cualquier problema encontrado.
El trazalíneas del paquete trabaja simulando un paquete basado en una serie de

parámetros e inyectando ese paquete al trayecto de datos de la interfaz, similar a la
manera que un paquete de la vida real si fue cogido del alambre. Este paquete se sigue
con la miríada de los controles y de los procesos se hacen que mientras que pasan con el
Firewall, y trazalíneas del paquete observa el resultado. Simule el host interno que sale a
un host en Internet. El comando abajo da instrucciones el Firewall a:
Simule un paquete TCP que viene en la interfaz interior del IP address 192.168.0.125
en el puerto de origen 12345 destinado a un IP address de 203.0.113.1 en el puerto 80.
ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345

203.0.113.1 80
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
in 0.0.0.0 0.0.0.0 outside
Phase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345
Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 6
Type: NAT
Result: ALLOW
Config:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
New flow created with id 1, packet dispatched to next module
Result:
input-interface: inside
input-status: up
output-interface: outside
output-status: up
Action: allow
El resultado final es que el tráfico está permitido, los whichmeans que pasó todos los
incorporares NAT y ACL la configuración y fue enviado la interfaz de egreso, afuera.
Observe que el paquete fue traducido en la fase 3 y los detalles de esa fase muestran lo
que se golpea la regla. El host 192.168.0.125 se traduce dinámicamente a
198.51.100.100 según la configuración.
Ahora, ejecútelo para una conexión de Internet al servidor Web. Recuerde, los host en
Internet accederá al servidor Web conectando con 198.51.100.101 en la interfaz
exterior. Una vez más este comando siguiente traduce a:
Simule un paquete TCP que viene en la interfaz exterior del IP address 192.0.2.123 en
el puerto de origen 12345 destinado a un IP address de 198.51.100.101 en el puerto 80.
ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345

198.51.100.101 80
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
NAT divert to egress interface dmz
Untranslate 198.51.100.101/80 to 192.168.1.100/80
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
www
Phase: 3
Type: NAT
Result: ALLOW
Config:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
Phase: 6
Type: NAT
Result: ALLOW
Config:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Result:
input-interface: outside
input-status: up
output-interface: dmz
output-status: up
Action: allow
Una vez más el resultado es que el paquete está permitido. Los ACL marcan hacia
fuera, las miradas de la configuración muy bien, y los usuarios en Internet (afuera)
deben poder acceder a ese servidor Web con IP externa.
Verificación
Los procedimientos de verificación se incluyen en el paso 4 - Configuración de prueba

con la característica del trazalíneas del paquete.
Troubleshooting
Actualmente, no hay información específica de troubleshooting disponible para esta

configuración.
Conclusión
La configuración de un ASA para hacer el NAT básico no es ésa el desanimar de una

tarea. El ejemplo en este documento se puede adaptar a su escenario específico si
usted cambia los IP Addresses y los puertos usados en los ejemplos de configuración.
La configuración final ASA para esto, cuando está combinado, parece similar a esto
para un ASA 5510:
ASA Version 9.1(1)

!
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
subnet 192.168.0.0 255.255.255.0
subnet 192.168.1.0 255.255.255.0
host 192.168.1.100
host 198.51.100.101
host 192.168.0.53
!
www
domain
!
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
En un ASA 5505, por ejemplo, con las interfaces conectadas como se muestra
previamente (exterior conectado con el Ethernet0/0, dentro de conectado con
Ethernet0/1 y el DMZ conectado con Ethernet0/2):
ASA Version 9.1(1)

!
description Connected to Outside Segment
switchport access vlan 2
!
description Connected to Inside Segment
!
description Connected to DMZ Segment
!
interface Vlan2
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
subnet 192.168.0.0 255.255.255.0
subnet 192.168.1.0 255.255.255.0
host 192.168.1.100
host 198.51.100.101
host 192.168.0.53
!
www
domain
!
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
La configuración del NAT y las
recomendaciones ASA para la autopista-e
y la autopista-C se doblan
implementación de las interfaces de la
red.
Contenido
Introducción
prerrequisitos
Requisitos
Antecedentes
C de la autopista y E - Implementación dual de las interfaces de la red/del NIC dual
Requisitos/limitaciones
Subredes sin traslapo
El agrupar
Configuraciones externas de la interfaz LAN
Rutas estáticas
Configuración
Configuración FW-A:
Paso 1. Configuración NAT estática para la autopista-e
Paso 2. Configuración de la lista de control de acceso (ACL) para permitir los puertos
requeridos de Internet a la autopista-e
Configuración FW-B.
Verificación
Troubleshooting
Paso 1. Capturas de paquetes.
Paso 2. Capturas de paquetes aceleradas del descenso de la trayectoria de la Seguridad (ASP).
Recomendaciones
Asegúrese que los exámenes SIP/H.323 estén inhabilitados totalmente en los Firewall
implicados
Solución alternativa
Links relacionados
Introducción
Este documento describe cómo implementar la configuración del Network Address

Translation (NAT) requerida en el dispositivo de seguridad adaptante de Cisco (ASA)
para la autopista-e y las interfaces de la red duales de la autopista-C/la implementación
dual de Network Interface Controller (NIC).
Este despliegue es una opción recomendada para implementar los dispositivos de la

autopista-e y de la autopista-C bastante que usando la reflexión NAT.
Contribuido por el cristiano Hernández y Cesar López Zamarripa, ingenieros de Cisco

TAC.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
 Cisco ASA NAT básico y configuración

 Configuración básica de la autopista-e y de la autopista-C de Cisco
La información que contiene este documento se basa en las siguientes versiones de

software y hardware.
 Dispositivos de las 5500 y 5500-X Series de Cisco ASA que funcionan con la
versión de software 8.0 y posterior.
 Versión 8.x y posterior de la autopista de Cisco.

(predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto
que puede tener cualquier comando.
Nota: A través del documento entero, los dispositivos de la autopista se refieren como la
autopista-e y autopista-C. Sin embargo, la misma configuración se aplica a la autopista
del servidor del comunicación mediante video (VCS) y a los dispositivos de control VCS.
Antecedentes
Por el diseño, la autopista-e de Cisco se puede colocar o en una zona desmilitarizada

(DMZ) o haciendo frente a la red pública (Internet) y puede con una autopista-C de Cisco
en una red privada. Sin embargo, cuando la autopista-e de Cisco se pone en un DMZ,
éstos son los beneficios adicionales.
 En la mayoría del escenario frecuente, la autopista-e de Cisco se maneja de la red

privada. Colocando la autopista-e de Cisco en un DMZ, un Firewall (externo) permietral
se puede utilizar para bloquear el acceso indeseado a la autopista tal como (Protocolo
de transporte de hipertexto seguro) peticiones HTTPS o del Secure Shell (SSH).
 Si el DMZ no permite las conexiones directas entre interno y las redes externas,
requieren a los servidores dedicados manejar el tráfico que atraviesa el DMZ. La
autopista de Cisco puede actuar como ese servidor para el Session Initiation Protocol
(SIP) y/o Voz y tráfico de video de H.323. En este caso, usted puede utilizar la opción de
interfaces de la red dual que permite que la autopista de Cisco tenga dos diversos IP
Addresses, uno para el tráfico a/desde el firewall externo, y una para el tráfico a/desde
el Firewall interno.
 Esta configuración previene la comunicación externa para conectar directamente con la

red interna. Esto mejora el guardapolvo de la Seguridad de la red interna.
Consejo: Para obtener más detalles sobre la implementación del TelePresence, refiera a
la autopista-e de Cisco y a la autopista-C - Guía de despliegue de la configuración
básica y colocación de una autopista de Cisco VCS en un DMZ bastante que en Internet
público.
Este diagrama muestra un despliegue de ejemplo para una autopista-e con las interfaces
de la red y el NAT estático duales. Una autopista-C que actúa como un cliente y dos
Firewall (FW A y FWB) del traversal. Típicamente, en esta configuración de DMZ, el
FW A no puede rutear el tráfico a FW B, y los dispositivos tales como la autopista-e de
la interfaz dual se requieren para validar y para remitir el tráfico de la subred FW a la
subred FW B (y vice versa).
Este despliegue consiste en estos componentes.
Subred DMZ 1 – 10.0.10.0/24
 Interfaz interna FW A – 10.0.10.1

 Interfaz de la autopista-e LAN2 – 10.0.10.2
Subred DMZ 2 – 10.0.20.0/24
 Interfaz externa FW B – 10.0.20.1

 Interfaz de la autopista-e LAN1 – 10.0.20.2
Subred LAN – 10.0.30.0/24
 Interfaz interna FW B – 10.0.30.1

 Interfaz de la autopista-C LAN1 – 10.0.30.2
 Interfaz de red de servidores del conjunto de administración del Cisco TelePresence
(TMS) – 10.0.30.3
 El FW A es el Firewall externo o permitetral; se configura con el IP NAT (IP del público)

de 64.100.0.10 que se traduce estáticamente a 10.0.10.2 (la interfaz de la autopista-e
LAN2)
 El FW B es el Firewall interno
 La autopista-e LAN1 tiene modo NAT estática inhabilitado
 La autopista-e LAN2 tiene modo NAT estática habilitado con el direccionamiento NAT
estática 64.100.0.10
 La autopista-C tiene una zona del cliente del traversal que señale a 10.0.20.2 (la interfaz
de la autopista-e LAN1)
 No hay encaminamiento entre 10.0.20.0/24 y 10.0.10.0/24 subredes. La autopista-e

interliga estas subredes y actúa como proxy para la señalización SIP/H.323 y los media
del Real-Time Transport Protocol (RTP)/RTP Control Protocol (RTCP).
 Cisco TMS tiene autopista-e configurada con la dirección IP 10.0.20.2
Requisitos/limitaciones
Subredes sin traslapo
Si la autopista-e se configura para utilizar ambas interfaces LAN, las interfaces LAN1 y
LAN2 se deben situar en las subredes sin traslapo para asegurarse de que el tráfico está
enviado a la interfaz correcta.
El agrupar
Al agrupar la autopista los dispositivos tienen la opción de interconexión de redes

avanzada configurada, cada par del cluster necesitan su propio direccionamiento de la
interfaz LAN1. Además, el agrupar se debe configurar en una interfaz que no tenga modo
NAT estática habilitado. Por lo tanto, se recomienda que usted utiliza el LAN2 como la
interfaz externa, y el LAN2 se utiliza como la interfaz NAT estática en caso pertinente.
Configuraciones externas de la interfaz LAN
Los ajustes de la configuración externos de la interfaz LAN en la configuración IP

paginan el control que la interfaz de la red utiliza transversal usando las retransmisiones
alrededor de NAT (VUELTA). En una configuración dual de la autopista-e de la interfaz
de la red, esto se puede fijar normalmente a la interfaz LAN del externo de la autopista-
e.
Rutas estáticas
La autopista-e se debe configurar con una dirección de gateway predeterminado de

10.0.10.1 para este escenario. Esto significa que todo el tráfico enviado vía el LAN2, por
abandono, está enviado a la dirección IP 10.0.10.1.
Si el FW B está traduciendo el tráfico enviado a partir de la subred el 10.0.30.0/24 a la

interfaz de la autopista-e LAN1 (por ejemplo, tráfico del cliente del traversal de la
autopista-C o tráfico de administración del servidor TMS), este tráfico aparece mientras
que viene de la interfaz externa FWB (10.0.20.1) como alcanza la autopista-e LAN1. La
autopista-e puede entonces contestar a este tráfico vía su interfaz LAN1 puesto que la
fuente evidente de ese tráfico está situada en la misma subred.
Si el FW B no está haciendo el NAT, el tráfico enviado de la autopista-C a la autopista-e

LAN1 muestra mientras que viene de 10.0.30.2. Si la autopista no tiene una Static ruta
agregada para la subred 10.0.30.0/24, envía las contestaciones para este tráfico a su
default gateway (10.0.10.1) hacia fuera del LAN2, pues no es consciente que la subred
10.0.30.0/24 está situada detrás del Firewall interno (FW B). Por lo tanto, una Static ruta
necesita ser agregada, usando el comando CLI de RouteAdd del xCommand a través de
una sesión SSH a la autopista.
En este ejemplo en particular, la autopista-e debe saber que puede alcanzar la subred
10.0.30.0/24 detrás del FW B, que es accesible vía la interfaz LAN1. Esto es realizado
usando este comando.
xCommand RouteAdd Address: 10.0.30.0 PrefixLength: 24 Gateway:

10.0.20.1 Interface: LAN1
Nota: La configuración de la Static ruta puede ser aplicada con el Interfaz gráfica del
usuario (GUI) de la autopista-e en el /Network > las interfaces/las Static rutas del
sistema de la sección.
Nota: Se recomienda para evitar el uso del NAT en FW-B para la autopista-C. Esto
permite que la autopista-e alcance la autopista-C con su IP Address real 10.0.30.2. Esto
evita ciertos problemas de los servicios telefónicos. Se ha confirmado que la
configuración del NAT para la autopista-C puede hacer los dispositivos del móvil y del
Acceso Remoto (MRA) no subir.
En este ejemplo, el parámetro de la interfaz se puede también fijar al auto pues la

dirección del gateway (10.0.20.1) es solamente accesible vía el LAN1.
Si el FW B no está haciendo el NAT y la autopista-e necesita comunicar con los
dispositivos en las subredes con excepción de 10.0.30.0/24 que también están situadas
detrás de FW B tal como SSH y conexiones HTTPS de este las estaciones de trabajo de
red o para los servicios de red como el NTP, el DNS, LDAP/AD y/o Sylog, las Static
rutas se deben agregar para estos dispositivos/subredes.
El comando y el sintaxis de RouteAdd del xCommand se describe en la profundidad

total en el guía del administrador VCS.
Configuración
Esta sección describe cómo configurar el NAT estático requerido para las interfaces de la
red duales de la autopista-C y de la autopista-e/la implementación del NIC dual en el
ASA. Además, algunas recomendaciones para la configuración modulares del Marco de
políticas ASA (MPF) para manejar el tráfico SIP/H323 con el ASA.
En este ejemplo el assigment de la dirección IP es los siguientes.
IP address:10.0.30.2/24 de la autopista-C
Gateway predeterminado de la autopista-C: 10.0.30.1 (FW-B)
IP Addresses de la autopista-e
En el LAN2: 10.0.10.2/24
En el LAN1: 10.0.20.2/24
Gateway predeterminado de la autopista-e: 10.0.10.1 (FW-A)
Dirección IP TMS: 10.0.30.3/24
Configuración FW-A:
Paso 1. Configuración NAT estática para la autopista-e
Como se explica en la sección de información previa de este documento, el FW-A tiene

una traducción NAT estática para permitir que la autopista-e sea accesible de Internet
usando el IP Address público 64.100.0.10. Este último es NATed a la dirección IP
10.0.10.2/24 de la autopista-e LAN2, ese que es dicho, esto es la configuración requerida
del NAT estático FW-A.
Para las Versiones de ASA 8.3 y posterior:
! To use PAT with specific ports range:
object network obj-10.0.10.2

host 10.0.10.2
object service obj-udp_3478-3483

service udp source range 3478 3483


object service obj-tcp_5222

service tcp source eq 5222


object service obj-udp_5061

service udp source eq 5061
nat (inside,outside) source static obj-10.0.10.2 interface service

obj-udp_3478-3483 obj-udp_3478-3483
obj-udp_24000-29999 obj-udp_24000-29999
obj-udp_36002-59999 obj-udp_36002-59999
obj-tcp_5222 obj-tcp_5222
obj-udp_5061 obj-udp_5061
OR
! To use with static one-to-one NAT:

nat (inside,outside) static interface
Nota: Si al intentar aplicar el PAT estático le ordena reciben ERROR del mensaje de
error “: El NAT incapaz de reservar los puertos en la interfaz de línea de comando
ASA, entonces, borra las entradas del xlate con el comando clear xlate x.x.x.x local
donde x.x.x.x corresponde al IP Address externo ASA. Este comando borra todas las
traducciones asociadas a este IP así que en los entornos de producción, lo ejecuta
con cautela.
Para las Versiones de ASA 8.2 y anterior:
! Static PAT for a Range of Ports is Not Possible - A configuration

line is required per port. This esample shows only when Static one-to-
one NAT is used.
static (inside,outside) interface 10.0.10.2 netmask 255.255.255.255

Paso 2. Configuración de la lista de control de acceso (ACL) para permitir los puertos requeridos
de Internet a la autopista-e
Según la comunicación unificada: La autopista (DMZ) a la documentación de

Internet público, esto es lista de puertos TCP y UDP que la autopista-e requiera para ser
permitida en FW-A:
Ésta es la configuración ACL requerida como entrante en la interfaz exterior FW A.
Para las Versiones de ASA 8.3 y posterior.
access-list outside-in extended permit tcp any host 10.0.10.2 eq 5222

access-list outside-in extended permit udp any host 10.0.10.2 gt 3477
access-list outside-in extended permit udp any host 10.0.10.2 lt 3484
access-list outside-in extended permit udp any host 10.0.10.2 eq 5061
access-group outside-in in interface outside

Para las Versiones de ASA 8.2 y anterior.
access-list outside-in extended permit tcp any host 64.100.0.10 eq

5222
8443
access-list outside-in extended permit udp any host 64.100.0.10 gt
3477
access-list outside-in extended permit udp any host 64.100.0.10 lt
3484
23999
30000
36001
60000
access-list outside-in extended permit udp any host 64.100.0.10 eq
5061
5061
Nota: Se recomienda altamente para inhabilitar el SORBO y los exámenes de H.323 en

el tráfico de la red que lleva del Firewall a o desde una autopista-e, como cuando están
habilitados, esto se encuentran con frecuencia para afectar negativamente a las
funciones incorporadas del traversal de la autopista-e firewall/NAT.
Configuración FW-B.
Como se explica en la sección de información previa de este documento, el FW B apenas

requiere una configuración dinámica NAT o de la PALMADITA permitir que la subred
interna 10.0.30.0/24 sea traducida a la dirección IP 10.0.20.1 al salir a la interfaz exterior
del FW B.
Para las Versiones de ASA 8.3 y posterior.

subnet 10.0.30.0 255.255.255.0
Para las Versiones de ASA 8.2 y anterior.
nat (inside) 1 10.0.30.0 255.255.255.0

global (outside) 1 interface
Nota: Se recomienda altamente para inhabilitar el SORBO y los exámenes de H.323 en

el tráfico de la red que lleva del Firewall a o desde una autopista-e, as, cuando está
habilitado esto se encuentra con frecuencia para afectar negativamente a las funciones
incorporadas del traversal de la autopista-e firewall/NAT.
Consejo: Esté seguro que todos los puertos requeridos TCP y UDP para que la
autopista-C trabaje correctamente están abiertos en el FW B, apenas como se especifica
en este documento de Cisco: Uso del puerto IP de la autopista de Cisco para el
Traversal del Firewall
Verificación
El trazalíneas del paquete se puede utilizar en el ASA para confirmar que los trabajos de
traducción NAT estática de la autopista-e como sea necesario.
Trazalíneas del paquete para probar 64.100.0.10 en TCP/5222.
FW-A#packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5222
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
NAT divert to egress interface inside
Untranslate 64.100.0.10/5222 to 10.0.10.2/5222
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Result:
input-status: up
output-interface: inside
output-status: up
Action: allow
FW-A# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 8443
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
Untranslate 64.100.0.10/8443 to 10.0.10.2/8443
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Result:
input-status: up
output-status: up
Action: allow
FW-1# packet-tracer input outside tcp 4.2.2.2 1234 64.100.0.10 5061
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
Untranslate 64.100.0.10/5061 to 10.0.10.2/5061
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Result:
input-status: up
output-status: up
Action: allow
Trazalíneas del paquete para probar 64.100.0.10 en UDP/24000:
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 24000
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
Untranslate 64.100.0.10/24000 to 10.0.10.2/24000
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Result:
input-status: up
output-status: up
Action: allow
Trazalíneas del paquete para probar 64.100.0.10 en UDP/36002.
ASA1# packet-tracer input outside udp 4.2.2.2 1234 64.100.0.10 36002
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
Untranslate 64.100.0.10/36002 to 10.0.10.2/36002
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 4
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Result:
input-status: up
output-status: up
Action: allow
Troubleshooting
Paso 1. Capturas de paquetes.
Las capturas de paquetes pueden ser tomadas en el ingreso y las interfaces de egreso
ASA
FW-A# sh cap
capture capout interface outside match ip host 64.100.0.100 host
64.100.0.10
capture capin interface inside match ip host 64.100.0.100 host
10.0.10.2
Capturas de paquetes para 64.100.0.10 en TCP/5222:
FW-A# sh cap capout
2 packets captured
1: 21:39:33.646954 64.100.0.100.21144 > 64.100.0.10.5222: S
4178032747:4178032747(0) win 4128 <mss 1460>
2: 21:39:35.577652 64.100.0.100.21144 > 64.100.0.10.5222: S
4178032747:4178032747(0) win 4128 <mss 1460>
2 packets shown
FW-A# sh cap capin
2 packets captured
1: 21:39:33.647290 64.100.0.100.21144 > 10.0.10.2.5222: S
646610520:646610520(0) win 4128 <mss 1380>
2: 21:39:35.577683 64.100.0.100.21144 > 10.0.10.2.5222: S
646610520:646610520(0) win 4128 <mss 1380>
2 packets shown
Capturas de paquetes para 64.100.0.10 en TCP/5061:
FW-A# sh cap capout

2 packets captured
1: 21:42:14.920576 64.100.0.100.50820 > 64.100.0.10.5061: S

2023539318:2023539318(0) win 4128 <mss 1460>
2: 21:42:16.992380 64.100.0.100.50820 > 64.100.0.10.5061: S
2023539318:2023539318(0) win 4128 <mss 1460>
2 packets shown
FW-A# sh cap capin

2 packets captured
1: 21:42:14.920866 64.100.0.100.50820 > 10.0.10.2.5061: S
2082904361:2082904361(0) win 4128 <mss 1380>
2: 21:42:16.992410 64.100.0.100.50820 > 10.0.10.2.5061: S
2082904361:2082904361(0) win 4128 <mss 1380>
2 packets shown
Paso 2. Capturas de paquetes aceleradas del descenso de la trayectoria de la Seguridad
(ASP).
Las capturas del descenso ASA ASP toman los paquetes que el ASA decidía a caer. La
opción toda captura todas las razones posibles por las que el ASA cayó un paquete.
Esto puede ser estrechada abajo si hay alguna razón supected. Para una lista de las
razones un uso ASA de clasificar esto cae, el descenso del comando show ASP puede
ser utilizado.
El buffer predeterminado para cada captura ASA es 512 KB. Si hay muchos paquetes
que son caídos por este ASA, este buffer será llenado muy rápidamente. Este buffer se
puede incrementar usando el buffer de la opción.
capture asp type asp-drop all
show cap asp
OR
show cap asp | i 64.100.0.10

show cap asp | i 10.0.10.2
Consejo: Esta captura ASA ASP es muy útil en este escenario para confirmar si los
descensos ASA paquetes debidos a un ACL o a un NAT que falta para abrir un puerto
específico TCP o UDP para la autopista-e.
Recomendaciones
Asegúrese que los exámenes SIP/H.323 estén inhabilitados totalmente en los Firewall
implicados
Se recomienda altamente para inhabilitar el SORBO y los exámenes de H.323 en los

Firewall que manejan el tráfico de la red a o desde una autopista-e, as, cuando están
habilitados esto se encuentran con frecuencia para afectar negativamente a las funciones
incorporadas del traversal de la autopista firewall/NAT.
Éste es un ejemplo de cómo inhabilitar el SORBO y los exámenes de H.323 en el ASA.
policy-map global_policy
class inspection_default
no inspect h323 h225
no inspect h323 ras
no inspect sip
Solución alternativa
Una solución alternativa en vez de implementar la autopista-e usando las interfaces de la

red duales/NIC dual, es implementar la autopista-e usando una configuración de la
reflexión NAT en los Firewall, los detalles de las demostraciones de este link más lejos
sobre este escenario.
ASA: Configuración de la reflexión NAT para las implementaciones de la autopista VCS.
Sin embargo, como fue mencionado al principio de este documento, la configuración de

la red dual se recomienda sobre la reflexión NAT.
Links relacionados
Autopista-e de Cisco y autopista-C - Guía de despliegue de la configuración básica
Colocando una autopista de Cisco VCS en un DMZ bastante que en Internet público
Uso del puerto IP de la autopista de Cisco para el Traversal del Firewall

ASA 5505 permitir conexion a internet VLANs
P. Buenos dias.
Antes de nada muchas gracias a la comunidad.
Tengo un CISCO ASA 5505 y conectado a él un switch de nivel 3 marca

AVAYA. He creado varias VLAN, que se enrutan entre si con el switch (para eso
es level 3). Ahora necesito que estas VLAN accedan a internet a través del ASA.
Hemos comprado la licencia "Security Plus License".
He configurado el puerto inside en modo trunk con las VLAN que quiero que
accedan a internet. Pero me aparece un error de ID VLan Incorrecta.
¿Debo dar de alta la VLAN en el ASA? Se puede hacer a través de ASDM, o sólo
se puede hacer por comandos?
Hay que crear puertos virtuales para cada VLAN eth0.10, eth0.20...? O como el
enrutamiento entre VLAN se hace en el switch esto no es necesario?
En el Switch, además de poner el puerto donde está conectado el ASA en modo

Trunk, debo incluirlo en todas las VLAN que van a acceder a internet, o le pongo
en una VLAN independiente.
R. Hola Diego
Si el L3 switch ya controla el inter vlan routing y este contiene los gateways de

cada LAN, el cable entre entre el L3 Switch y el routers es usado como un punto a
punto para hacer fluir las redes de cada dispositivo a traves de eso y que pueda
haber comunicacion. Entonces:
El router tendrá acceso a las LAN del L3 switch y el las LANs tendran acceso a la
redes que conoce el routers.
R. Buenos días Diego,
El switch lo puedes usar como capa 2 y crear los gateways de las VLANs en el
ASA, pero depende del diseño, si tu tienes el gateway en el switch AVAYA lo
que necesitas en el firewall solo es un punto a punto para rutear el tráfico hacia
internet y que pase por el NAT.
Puedes por favor compartir la configuración del ASA (omitiendo información

sensible) y si es posible un diagrama o dibujo de tu red.
Gracias.
P. Hola Julio.
Queremos usar el Switch como nivel 3, ya que la comunicación interVLAN será

mucho más rápida. (EL ASA tiene puertos a 100Mbps).
No puedo compartir la configuración. La empresa no me lo permite (ni omitiendo

info).
Las tablas NAT y ACL no me preocupan. Mi preocupación es como configurar el

puerto Ethernet del ASA en modo trunk para que acepte tráfico de las diferentes
VLAN, y si el puerto del switch debe estar en otra vlan o pertenecer a todas las
VLAN; yo prefiero una VLAN diferente, por ejemplo, la 50 como en el esquema
(tan currado :-O ) que he adjuntado.
gracias
R. Hola Diego,
Comprendo, no hay incoveniente. En los ASA existen 2 maneras de configurar

una conexión con un switch, a través de sub-interfaces (esquema router-in-a-stick
de los routers) o puertos capa 3 directamente, por ejemplo.
La configuraciones del switch es en equipos Cisco pero me imagino que hay

comando similares en AVAYA.
ASA puerto capa 3

interface f0/0
description MI-RED-INTERNA
security-level 100
nameif INSIDE
ip address 10.0.0.1 255.255.255.252
no shutdown
entonces en el switch puedes tener:
vlan 10
name P2P-con-ASA
interface vlan 10
description P2P-con-ASA
ip add 10.0.0.2 255.255.255.252
no shutdown
interface g1/24
switchport accesss vlan 10
switchport mode access
no shutdown
u omitiendo la configuracion anterior en el switch para configurar el puerto como

capa 3
interface g1/24
no switchport
ip add 10.0.0.2 255.255.255.252
ASA Sub interface
interface fa0/0
no shutdown
interface fa0/0.10
vlan 10
description MI-RED-INTERNA
security-level 100
nameif INSIDE
ip address 10.0.0.1 255.255.255.252
no shutdown
Configuracion en Switch
vlan 10
name P2P-con-ASA
interface vlan 10
ip add 10.0.0.2 255.255.255.252
no shutdown
interface g1/24
switchport mode trunk
no shutdown
En cualquier metodo que se utilice se debe usar alguna forma de enrutamiento

para alcanzar las redes privadas, yo recomiendo rutas estaticas:
Ejemplo:
route inside 192.168.1.0 255.255.255.0 10.0.0.2
P. Buenos dias
Gracias por las respuestas.
No quiero poner subinterfaces, ya que creo (corregirme si me equivoco) que eso

se utiliza más para el enrutamiento entre VLAN, y esa será una tarea para el
switch.
En el switch el puerto donde está conextado el ASA, pertenecerá a una VLAN

(90, por ejemplo) y el enlace (Modo trunk por suspuesto) transmitirá toda la
informacion que le llegue. Y será el ASA el que junto con las ACLs permita
navegar o no. Loq ue tengo que configurar es el puerto inside del ASA para que
permita el trafico de las VLAN, (10, 11, 12, 13, 14).
Al crear las VLAN en el ASA debo ponerles direccion IP y que coincida con las
direcciones del switch, o, si solo defino las VLAN me valdría?
De nuevo, muchas gracias por vuestra ayuda
R. Hola Diego,
Todo depende de como sea tu infraestructura, hay 2 esquemas que veo si tengo un
switch y un firewall.
1- El firewall puede ser el gateway para todas las VLAN's y correcto aqui se hace
intervlan routing. El switch puede servir como capa 2 unicamente, donde solo se
crean las VLANs y se configura un puerto trunk para ahi conectar el firewall, el
cual tendria sub interfaces, todo procesamiento lo haria el firewall.
Cuando se crean las sub-interfaces asociadas a VLANs, la direccion IP que se

configura es la direccion IP del gateway de esa especifica VLAN.
2- Crear el gateway de las VLANs en el switch y habilitar la capacidad de

enrutamiento para que las VLANs puedan comunicarse. Aqui puede crear un
punto a punto entre el switch y el firewall, donde en el switch puedes crear una
VLAN X y su SVI X donde se colocara una direccion IP que pertenecera a la red
que se usara para conectar el switch con el firewall. En el switch se puede colocar
una ruta por defecto apuntando al firewall para que el firewall haga el NAT, revise
los paquetes a traves de las ACL y finalmente permit el acceso a Internet.
Un puerto de switch no puede funcionar como modo acceso o trunk al mismo

tiempo.
P. Hola Julio.
Disculpa por no responder antes.
La solucion seria la segunda.
El problema que me estoy encontrando es como hago para que las VLAN salgan a
internet por el firewall.
Pongo un ejemplo:
SWITCH
VLAN 10: 192.168.10.0/24 Gw: 192.168.10.1
VLAN 20: 192.168.20.0/24 Gw: 192.168.20.1
VLAN 1: VLAN por defecto 192.168.30.0/24
Firewall: este en la vlan 1 (192.168.30.254)
El switch tiene una ruta estatica por defecto a esa IP.
En la conexion entre el firewall y el Switch:
- Debo ponerla en modo trunk para que permita trafico de las 2 VLAN?
- Deberia poner la VLAN1 como VLAN 30 y poner otra VLAN como nativa (la
99 por ejemplo), ya que creo, y corrigeme si me equivoco, que no puedo
comunicar una VLAN con la VLAN por defecto, o si?
Una vez mas muchisimas gracias
un saludo
R. Hola Diego, que tal? Para servirte, ok respecto al caso no necesitas un trunk entre
el switch y el firewall solo una conexion capa 3, ahora bien por recomendación se
puede usar otra VLAN que no sea la 1, por buena practica la VLAN 1 se
deshabilita.
Ahora bien si el switch es capa 3 tu podrias tener una configuración como esta:
SWITCH
ip routing
interface g1/0/1
description >>>HACIA FIREWALL<<<
no switchport
ip address 10.0.0.1 255.255.255.252 (el direccionamiento queda a tu discresion

lo ideal es que sea una red /30)
no shutdown
ip route 0.0.0.0 0.0.0.0 10.0.0.2 (donde 10.0.0.2 es el firewall)
FIREWALL
** La configuración del NAT puede variar dependiendo IOS **
Ejemplo:
interface g0/0
description >>>HACIA-SWITCH<<<
nameif INSIDE
security-level 100
ip address 10.0.0.2 255.255.255.252
no shutdown
interface g0/1
description >>>HACIA-ISP<<<
nameif OUTSIDE
security-level 0
ip address X.X.X.X Y.Y.Y.Y (direccionamiento con el proveedor)
no shutdown
route OUTSIDE 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x = siguiente salto, gateway del
lado del proveedor)
route INSIDE 192.168.10.0 255.255.255.0 10.0.0.1
route INSIDE 192.168.20.0 255.255.255.0 10.0.0.1
object-group network NAT (redes internas ha ser nateadas)
network-object 192.168.10.0 255.255.255.0
network-object 192.168.20.0 255.255.255.0

ip nat (INSIDE,OUTSIDE) interface object-group NAT (la configuración puede
variar)
object-group network MIS-REDES
network-object 192.168.10.0 255.255.255.0
network-object 192.168.20.0 255.255.255.0
access-list INSIDE-IN extended permit icmp any any
access-list INSIDE-IN extended permit icmp any any echo
access-list INSIDE-IN extended permit icmp any any echo-reply
access-list INSIDE-IN extended permit tcp object-group MIS-REDES any eq 80
access-list INSIDE-IN extended permit udp object-group MIS-REDES any eq 53
access-list INSIDE-IN extended deny ip any any
access-list OUTSIDE-IN extended permit icmp any any
access-list OUTSIDE-IN extended permit icmp any any echo
access-list OUTSIDE-IN extended permit icmp any any echo-reply
access-list OUTSIDE-IN extended deny ip any any
access-group INSIDE-IN in interface INSIDE
access-group OUTSIDE-IN in interface OUTSIDE
** No tengo a la mano un firewall para probar las lineas de sintaxis pero creo que
estan bien.
El firewall realizaria el enrutamiento final hacia el proveedor, pero tambien se
necesita conocer como regresar los paquetes por eso se configuran las direcciones
estaticas apuntando al switch.
Espero sea util
P. Hola Julio.
Muchas gracias por tu pronta respuesta.
- Estoy de acuerdo contigo en lo de quitar la VLAN1 y poner en otra VLAN.
- El enrutamiento por defecto ya está, ya que todos los equipos se conectan al

internet por el firewall.
- Entiendo que al poner el Firewall en otra VLAN hace innecesario que el enlace
entre firewall y el switch sea "trunk". El trafico por la VLAN del firewall iria sin
"etiqueta de vlan", es decir, al firewall no le llegaria la VLAN del origen del
trafico?
- Y si no pongo el firewall en una VLAN diferente (me temo que es como va a

estar), sino en una VLAN con más equipos. Deberia tener el enlace en modo
"trunk" entre el switch y el firewall, y habilitar las VLAN que quiero que se
conecten?
Y en el firewall, configurar las VLAN, pero, deberia ponerles una IP a las VLAN
del firewall, o las puedo dejar sin IP.
(es un poco lioso, perdon.)
El caso es que me gustaria, de alguna manera, controlar desde el firewall el acceso

de las VLAN a internet.
siento lo pesado que me estoy poniendo.
Muchas gracias de nuevo, tus respuestas son muy útiles
R. Hola
Si tu quieres usar un trunk entre el firewall y el switch, el firewall funcionaria como un

esquema "router-in-a-stick" que se usan con routers, y necesitaria crear tipo sub-
interfaces en el firewall, lo cual no lo recomiento a menos que tu switch solo funcione
como capa 2. Pero aprovechando que tu switch es capa 3 seria una mejor opcion.
Si nos basamos en la configuracion anterior tu puedes controlar quien se conectara a
Internet a traves de las ACLs y el NAT, yo cree grupos pero pueden ser lineas en las
ACLs con las redes especificas.
P. gracias Julio.
Entiendo perfectamente la solución propuesta.
Tenemos una licencia de Cisco que nos permite la conexion de 8 VLANs por puerto, y
no sabia como podia usarla y que nos fuera util (ya que la hemos pagado)
R. Hola
Perfecto, si por casualidad tu firewall no te permite usar un puerto como capa 3 sino que
debe ser por VLAN, la configuracion varia, en el 5505 lo he visto con VLANs, seria
algo como lo siguiente:
FIREWALL
interface vlan 10
nameif INSIDE
security-level 100
ip address 10.0.0.2 255.255.255.252
no shutdown
interface e0/1
description >>>TO-SWITCH<<<
no shutdown
SWITCH
vlan 10
name P2P-TO-FW
interface vlan 10
ip address 10.0.0.1 255.255.255.252
no shutdown
interface g1/0/1
switchport
switchport mode access
no shutdown
P. Hola de nuevo, Julio.
ya como ultima pregunta.
Si pongo el firewall en una VLAN donde hay mas equipos, como he puesto antes
192.168.30.254 en la vlan 30 192.168.30.0/04
Todos los equipos para comunicarse con las otras VLAN deben tener el GW en la 30.1
Y en el switch tener la default a la 30.254.
Esta seria una situacion transitoria hasta que ponga como me has contado en tus
respuestas.
o seria mejor, poner directamente el firewall en otra VLAN y listo. (estoy pensando en
la transicion de tener solo una LAN a segmentarla en VLAN, con el mínimo impacto en
la red)
Muchas gracias
R. Hola Diego,
Por favor corregirme si entiendo mal la pregunta.

Si el switch es capa 3 y los gateways de cada VLAN estan creados en ese
mismo switch, todas las VLAN podran comunicarse.
Ahora bien la VLAN para la conexion con el firewall es mas que todo para ese uso, que
servira como un puente capa 3 para la comunicacion entre switch y firewall y asi hacer
fluir los paquetes entre estos dispositivos.
Todos los gateways pueden quedar en el switch, si usas una VLAN para la conexion
con el firewall recomiendo una red mascara 30 para evitar desperdiciar direcciones IP,
ejemplo: 10.0.0.0/30 (.1 para el switch y .2 para el firewall)
P. hola
Si, has entendido perfectamente.
Y creeme si te digo que tu solucion es la que se implantará.
La pregunta era por otro motivo. No te preocupes.
Doy en hilo por resuelto
R. Un gusto mi amigo, que todo salga muy bien y recuerda siempre tener backups de las
configuraciones y realizar la implementacion en ventana de mantenimiento autorizada.
P. Hola Julio, viejo amigo
que tal?
tengo una nueva duda que no he podido resolver.
he realizado pruebas con tus consejos y me ha surgido un problema.
he puesto el CISCO en una VLAN (22) 192.168.22.0/24
y un equipo PC1 en otra VLAN (23) 192.168.23.0/24
Dentro de la VLAN del Cisco he puesto otro equipo: PC2 (que sale bien a internet por
el cisco)
las VLAN se comunican entre ellas a traves del switch de nivel 3. Pero...
- Hago ping del PC1 al PC2 y OK

- Ping del PC2 al Cisco: OK (logico, estan en la misma red)
- Hago ping del PC1 al cisco y no hay respuesta.

Tuve un problema con el PC2 y tuve que quitar en firewall para poder hacer ping con él
desde fuera de su VLAN.
Que problema puede haber en la configuracion del cisco para que no le vea desde una
vlan externa?
muchas gracias.
Si necesitas alguna informacion mas, dimelo y veré que puedo facilitarte.
R. Buenos dias Diego, como estas?
Claro con gusto revisamos, es posible que me compartas la configuración de ambos

equipos para pode analizarlo? Tambien entre que direcciones IP se estan haciendo ping.
P. Buenos dias Julio.
gracias por tu disponibilidad.
PC1 (VLAN23)
IP: 192.168.23.3
mask: 255.255.255.0
gateway: 192.168.23.1
PC2 (VLAN22)
IP: 192.168.22.5
mask:255.255.255.0
gateway: 192.168.22.2 (Puse el cisco como GW)
Cisco (VLAN22)
IP: 192.168.22.2
mask: 255.255.255.0
En el switch hay configurada esta ruta:
IP: 0.0.0.0
mask: 0.0.0.0
next: 192.168.22.2
El Cisco (creo que solo actua como firewall). Tiene definida una ACL del puerto
Vlan22 -> outside (ip, icmp permit)
Y la NAT:
192.168.22.0/24 -> outside
192.168.23.0/24 -> outside
- Al actuar sólo como firewall (esta parte tengo que confirmarla, pero me temo que es
asi) a lo mejor debo permitir tambien el trafico de la vlan23 en el cisco y poner el enlace
en modo trunk, me resultaria extraño?
- el PC2 se comunica bien con el CISCO, y navega por internet
- el PC1 hace ping al PC2, y a la IP (22.1) de la VLAN, pero no al CISCO
P. al ejecutar sobre el cisco el comando:
show firewall
aparece:
Firewall mode: Router
R. Buenos días Diego,
Voy a revisar la configuracion compartida, con respecto al firewall mode, esta bien,
Router o tambien conocida como NAT, es utilizado para que el firewall permita varias
direcciones IP, en modo transparente solo se permite 1 direccion IP.
P. Hola Julio.
he estado buscando y he encontrado este Post de hace un tiempo:
http://www.redescisco.net/sitio/2010/10/14/configurando-enrutamiento-entre-vlans-
utilizando-switches-multicapa-layer-3/
La comunicacion intervlan en un switch de nivel 3, esta todo OK. Lo que no entiendo es

la parte de quitar el puerto donde está conectado el router el modo switchport, y
habilitar OSPF en el switch.
Podria ser esta una solución a mi problema?

muchas gracias
R. Hola Diego
Si el L3 switch ya controla el inter vlan routing y este contiene los gateways de cada
LAN, el cable entre entre el L3 Switch y el routers es usado como un punto a punto para
hacer fluir las redes de cada dispositivo a traves de eso y que pueda haber
comunicacion. Entonces:
El router tendra acceso a las LAN del L3 switch y el las LANs tendran acceso a la redes
que conoce el routers.
P. nada.
El switch (AVAYA) que tenemos no soporta esa configuracion.
Sigo investigando como comunicar las VLAN con internet.
gracias
Configurar un Firewall Cisco Asa 5505
por elalbir28
Hace unas semanas publique un post explicando la conveniencia de tener un firewall de

los de verdad, recomendando Cisco como la mejor opción y dando instrucciones sobre
como configurar un firewall Cisco de la serie Pix, en esta ocasión voy a explicar como
hacer exactamente lo mismo aunque en este caso con un Firewall de la serie que
sustituyó a la serie Pix, cuya mejora más evidente es la de proporcionar mayor
eficiencia (potencia/consumo), una seguridad más avanzada y un mayor ancho de banda
(salida 100mbs en lugar de los 10mbs del Pix).
En este ejemplo voy a usar la red 10.0.0.0 como red local (la que está por detrás del
firewall), y como red externa la 192.168.1.0 porque es la que utiliza mi router adsl para
asignar direcciones internas, ambas con mask 255.255.255.0
Tanto si lo compráis nuevo como si es de segunda mano, lo normal es que venga

configurado con sus valores de fábrica. Configurarlo a través de su entorno web es
facilísimo si utilizamos su asistente, por lo que voy a explicar como hacerlo desde la
consola para dar cobertura a aquellos casos en los que sea la única manera de hacerlo.
Si compráis un firewall usado, lo normal es que os lo entreguen con su configuración de

fábrica, lo que obliga a utilizar un cable de consola para su configuración.
El cable de consola no es otra cosa que un cable de comunicaciones que por el lado del
router tiene una clavija RJ45, y que por el lado del ordenador tiene un puerto serie o
usb.
Se puede comprar en cualquier tienda de electrónica/informática, por unos 10 euros.
Una vez conectado el cable al Firewall y a nuestro ordenador, necesitaremos usar una
aplicación de emulación de terminal.
Una vez iniciada la sesión del terminal, y habiendo accedido al router recomiendo (por
seguridad) restablecer los valores de fábrica:
enable
Se nos pedirá el password, lo informaremos y pulsaremos ENTER
config t
write erase
Se pedirá que confirmemos.
reload
Nuestro Firewall se reiniciará.

enable
Se nos pedirá el password, lo informaremos y pulsaremos ENTER
config t
Estableceremos las direcciones ip interna y externa
ip address inside 10.0.0.4 255.255.255.0
ip address outside 192.168.1.1 255.255.255.0
Estableceremos los niveles de seguridad, máximo en exterior, mínimo en interior
nameif ethernet0 outside security0
nameif ethernet1 inside security100
Configuraremos la ruta de acceso a internet desde los ordenadores de nuestra red
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 1 interface
Informaremos la ip interna del router a la que poder acceder con telnet, por ejemplo
10.0.0.4
telnet 10.0.0.4 255.255.255.0
Activaremos acceso web a la configuración (permitirá configuración web con https://)
http server enable
http 10.0 .0.0 255.255.255.0 inside
Activaremos el acceso a través de ssh (permitirá gestión remota con ssh desde interior
red)
ssh 10.0.0.0 255.255.255.0 inside
Asignaremos un password, por ejemplo ELALBIR
password ELALBIR
Guardaremos la configuración
write mem
Forzaremos el arranque del sistema

reload
Se reiniciará el Firewall, permitiendo a partir de ese momento la configuración remota

desde cualquier equipo de nuestra red:
telnet 10.0.0.4
ssh root@10.0.0.4
o a través del navegador web con https://10.0.0.4
He intentado simplificar al máximo las instrucciones lo que puede hacer que

dependiendo del nivel de conocimientos algún usuario pueda tener alguna duda, o
quedarse atascado en alguno de los pasos. Si necesitáis cualquier tipo de ayuda no
dudéis en contactarme.
Configurando enrutamiento entre VLANs utilizando
switches multicapa (Layer 3)
El enrutamiento entre VLANs es bastante simple de solucionar cuando
se tiene un router y un switch, pero sin duda que es más costoso pues
se necesitan dos equipos. Utilizando la gama de switches de capa 3
(también denominados L3, Layer 3 o Multilayer) es posible fusionar los
procesos de conmutación LAN y enrutamiento en un solo dispositivo,
sin la necesidad de tener un router dedicado a ello. Las ventajas que
ofrecen los switches de capa 3 son:
– Se minimizan los puntos de fallas al reducir de dos a un solo equipo
– El proceso de enrutamiento se hace más rápido ya que solo se revisa

una tabla y no dos o tres (en cada router)
– La seguridad de la red se ve mejorada por cuanto se aplican políticas

en un solo dispositivo
Familia de Switches Catalyst 3560
Físicamente los switches de capa 2 y 3 son muy similares. La figura

muestra la familia de switches Catalyst 3560 que son los más
utilizados y comunes en capa 3. La configuración es la misma que un
switch de capa 2 a diferencia de algunos comandos que sirven para
preparar al switch para utilizar las funciones de enrutamiento. Veamos
un ejemplo con una topología de prueba.
Tenemos un Switch L3 con las VLAN 10 y 20 utilizando los bloques IP
192.168.10.0/24 y 192.168.20.0/24 respectivamente. Además, hemos
dejado el puerto FastEthernet 0/24 (podría haber sido GigabitEthernet
si el Router superior tuviese una interfaz del mismo tipo) para conectar
con el Router. Entre el Switch L3 y el Router se “hablará” OSPF.
La configuración de las VLANs no tiene nada de diferente de un

Switch de capa 2:
L3(config)# interface range FastEthernet 0/1 – FastEthernet 0/9

L3(config-if-range)# switchport mode access
L3(config-if-range)# switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
L3(config-if-range)# exit
L3(config)# interface range FastEthernet 0/10 – FastEthernet 0/23
L3(config-if-range)# switchport mode access
L3(config-if-range)# switchport access vlan 20
% Access VLAN does not exist. Creating vlan 20
L3(config-if-range)# end
L3#
Con eso ya hemos creado las VLAN mencionadas. Ahora corresponde

configurar el enrutamiento en el switch. Los PC de cada VLAN hasta
este punto solamente pueden conectarse entre sí, pero no pueden
conectarse con otras VLAN ni otras redes remotas. La puerta de
enlace de cada host de las VLAN será la IP de la interfaz VLAN del
Switch a la cual corresponde.
L3(config)# interface Vlan 10

L3(config-if)# ip address 192.168.10.1 255.255.255.0
L3(config-if)# exit
L3(config)# interface Vlan 20
L3(config-if)# exit
Los PC de la VLAN 10 usarán como gateway la IP 192.168.10.1

(Correspondiente a la interfaz Vlan 10 del Switch) y en la VLAN 20 el
gateway será 192.168.20.1.
Bien. A pesar de haber configurado las VLAN, haber levantado las

interfaces virtuales VLAN en el switch y configurado correctamente las
puertas de enlace en los host, aún no hay conectividad entre ambas
VLAN. ¿Por qué? Simplemente por que aún nuestro switch se está
comportando como capa 2 y debemos activarle las funciones de capa
3 con el comando “ip routing”
L3(config)# ip routing
Con eso ya hemos habilitado al switch para poder enrutar. Probamos

con un ping desde PC a PC y este debería funcionar:
PC 10.2>ping 192.168.20.1
Pinging 192.168.20.1 with 32 bytes of data:
Reply from 192.168.20.1: bytes=32 time=13ms TTL=255

Ping statistics for 192.168.20.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 13ms, Average = 8ms
PC 10.2>
El último paso será conectarnos con el Router superior. Para eso

utilizaremos el puerto FastEthernet 0/24 del L3. La función
predeterminada de ese puerto es trabajar como “switchport” (puerto de
switch), por lo que no permitirá ingresar una dirección IP:
L3(config)# interface FastEthernet 0/24

^
% Invalid input detected at ‘^’ marker.
L3(config-if)#
Entonces debemos deshabilitar la función de switchport y activar el

puerto para trabajar con enrutamiento. Una vez hecho esto, ahora sí
aceptará ingresar una dirección IP
L3(config)# interface FastEthernet 0/24
L3(config-if)# no switchport
L3(config-if)#
Finalmente habilitamos el enrutamiento OSPF en el switch de capa 3

de acuerdo a nuestra topología:
L3(config)# router ospf 1

L3(config-router)# network 192.168.10.0 0.0.0.255 area 0
Asumiento que la config. OSPF del router está definida previamente

ya tendremos conexión completa entre las 2 VLAN y el resto de la red
(o Internet). Acá no hay necesidad de crear puertos trunk pues el
proceso de “trunking” se lleva a cabo internamente en el switch.
Más información: How To Configure InterVLAN Routing on Layer 3
Switches

Configure El ASA para Las Redes Internas Duales

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Configure El ASA para Las Redes Internas Duales

Diunggah oleh

Hak Cipta:

Format Tersedia

Configure el ASA para las redes internas

Este documento describe cómo configurar un dispositivo de seguridad adaptante de Cisco

No hay requisitos específicos para este documento.

La información que contiene este documento se creó a partir de los dispositivos en un

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información

 El ASA no soporta el direccionamiento secundario.

Utilice la información que se describe en esta sección para configurar el ASA.

Note: Los esquemas de IP Addressing que se utilizan en esta configuración no son

Configuración ASA 9.x

ASA Version 9.3(2)

!--- This is the configuration for the outside interface.

!--- This is the configuration for the inside interface.

boot system disk0:/asa932-smp-k8.bin

!--- This creates an object called OBJ_GENERIC_ALL.

object network OBJ_GENERIC_ALL

No prohíba a host interiores el acceso a las redes externas con la PALMADITA

3. Haga clic el NAT, marque la casilla de verificación automática de la regla de traducción

Configuración del Router B

Aquí está la configuración para el router B:

!--- This assigns an IP address to the ASA-facing Ethernet interface.

ip address 192.168.0.254 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.0.1

Este ejemplo utiliza un sitio que se reciba en la dirección IP 198.51.100.100. Si la

Ingrese el comando address de la conexión de la demostración para verificar la

ASA(config)# show connection address 172.16.11.5

En la salida anterior, el cliente en la interfaz interior ha establecido una conexión al host

Note: Refiera al documento de Cisco de los indicadores de la conexión TCP ASA

Registros del sistema

Ingrese el comando show log para ver los Syslog:

ASA(config)# show log | in 192.168.1.5

Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from

Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921

El segundo Syslog indica que el Firewall ha construido una conexión en su tabla de

Trazalíneas del paquete

ASA(config)# packet-tracer input inside tcp 192.168.1.5 1234

 El paquete simulado llega en la interfaz interior.

Ingrese estos comandos para aplicar una captura:

1: 11:31:23.432655 192.168.1.5.58799 > 198.51.100.100.80: S

1: 11:31:23.432869 203.0.113.2.58799 > 198.51.100.100.80: S

Descripción de la lista de control de acceso

Descripción general de NAT

Paso 2 - Configuración NAT para acceder al servidor Web de Internet

Paso 3 - Configuración ACL

Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete

Este documento proporciona un ejemplo simple y directo de cómo configurar el

No hay requisitos específicos para este documento.

La información que contiene este documento se creó a partir de los dispositivos en un

En este ejemplo de configuración, usted puede considerar qué NAT y configuración

1. Permita los host en el interior y la Conectividad saliente DMZ a Internet.

Descripción de la lista de control de acceso

Descripción general de NAT

La configuración básica de la configuración ASA es tres interfaces conectadas con tres

La configuración de la interfaz y los IP Addresses por el ejemplo se consideran aquí:

Aquí está una mirada visual en cómo se telegrafía y se configura esto:

Esta configuración parece similar a esto:

object network inside-subnet

Paso 2 - Configuración NAT para acceder al servidor Web de Internet

Esta configuración parece similar a esto:

object network webserver-external-ip

Cuando un host que corresponde con a la dirección IP 192.168.1.100 en los

Cuando los host en el exterior establecen una conexión a 198.51.100.101 en el puerto

Paso 3 - Configuración ACL

Tan sin la adición de cualquier ACL a la configuración, este tráfico en el ejemplo