Dynamic PAT en el Cisco ASA
El Cisco ASA soporta los siguientes tipos mas comunes de NAT.
- Dynamic NAT: Traducción de muchos a muchos. Traduce las direcciones de origen en las interfaces de seguridad más altos en un rango de direcciones o pool a una interface menos segura para las conexiones salientes.
- Dynamic PAT: Traducción de muchos a uno. Usualmente un pool de direcciones internas a una interface externa.
- Static NAT: Traducción de uno a uno, entre una dirección IP en una interface más segura y otra interface menos segura (ejemplo internet) para asà poder acceder a los host de una interface de mayor seguridad (ejemplo servidores web en la DMZ) sin exponer la dirección IP real del host en la interface de mayor seguridad.
- Twice NAT: Permite definir origen y destino desde una sola regla. Son procesadas de acuerdo a la secuencia que fueron insertadas (sin diferenciar estáticos de dinámicos). Puede Referenciar objetos de tipo “network” y “service”.
Practica en GNS3
Topologia de red Dynamic PAT.
Lo primero es configurar las tres interfaces en el ASA. El segmento de la red ISP está conectada a la interface gigabitEthernet3 con la etiqueta de outside y nivel de seguridad 0. La red interna está conectada a la interface gigabitEthernet1 con etiqueta de nombre inside y con nivel de seguridad 100. El segmento DMZ, donde reside el WebServer está conectado a la interface gigabitEthernet2 del ASA y etiquetado con el nombre de dmz con nivel de seguridad 50.
Datos adicionales:
Interface inside: 192.168.0.1 y es default gateway para los host internos.
Interface dmz: 192.168.1.1 y es el default gateway para los host internos.
Interface outside: 198.51.100.100
Ruta de default: Next-Hop 198.50.100.101
Configuración de la TopologÃa de Red
Configuración PC
Configuración WebServer
!
interface FastEthernet0/0
ip address 192.168.1.100 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
Configuración ISP
!
interface FastEthernet0/0
ip address 198.51.100.101 255.255.255.0
duplex auto
speed auto
!
interface Serial1/1
ip address 100.1.1.2 255.255.255.252
serial restart-delay 0
!
ip route 50.50.50.0 255.255.255.0 100.1.1.1
ip route 89.89.89.0 255.255.255.248 198.51.100.100
ip route 192.168.0.0 255.255.255.0 198.51.100.100
!!
interface FastEthernet0/0
ip address 50.50.50.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/1
ip address 100.1.1.1 255.255.255.252
serial restart-delay 0
!
ip route 89.89.89.0 255.255.255.248 Serial1/1
ip route 198.51.100.0 255.255.255.0 Serial1/1
!!
interface FastEthernet0/0
ip address 50.50.50.17 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 50.50.50.1
!
line vty 0 5
password cisco
login
!!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet3
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 198.51.100.101 1
!
Configuración de Dynamic PAT en el ASA
Verificación.
Para verificar que está funcionando, volvemos a intentar realizando un telnet a la ip 50.50.50.17.
CiscoASA# configure terminal
CiscoASA(config)# object network red-interna
CiscoASA(config-network-object)# subnet 192.168.0.0 255.255.255.0
CiscoASA(config-network-object)# nat (inside,outside) dynamic interface
CiscoASA(config-network-object)# exit
CiscoASA(config)# object network red-dmz
CiscoASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CiscoASA(config-network-object)# nat (dmz,outside) dynamic interface
CiscoASA(config-network-object)# end
CiscoASA#Verificación.
Para verificar que está funcionando, volvemos a intentar realizando un telnet a la ip 50.50.50.17.
Habilitando el debug ip icmp para verificar el comportamiento y algunos comandos shows.
R5#debug ip icmp
CiscoASA# show xlate
CiscoASA# show nat detail
CiscoASA# show nat translated interface outside
CiscoASA# sh local-hostAbout the Author
0 comentarios