¿Qué significa Outbound NAT ?
El NAT saliente traduce las direcciones IP de origen de los paquetes enviados desde una zona de seguridad de alta prioridad a una de baja prioridad.
Lo primero que sugiero es que nos olvidemos del servidor FTP por el momento. lo importante son los equipos en la parte interior de la topologia.
El principal requisito en este laboratorio es configurar el firewall, para proporcionar acceso a Internet a los usuarios de la intranet, en el segmento de red 10.0.0.0/24.
La configuración de NAT para todos los métodos anteriores es la misma. La diferencia radica en la configuración del grupo de direcciones NAT.
[SRG]display current-configuration interface GigabitEthernet# interface GigabitEthernet0/0/2 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/3.100 vlan-type dot1q 100 alias GigabitEthernet0/0/3.100 ip address 10.0.0.1 255.255.255.0 # [SRG]display current-configuration | begin firewall zone# firewall zone trust set priority 85 add interface GigabitEthernet0/0/3.100 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2Configure la comunicación L2 en el conmutador LAN:
# vlan batch 100 # interface Ethernet0/0/2 port link-type access port default vlan 100 # interface Ethernet0/0/3 port link-type access port default vlan 100 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100
Ahora nos aseguramos de que los usuarios en el segmento de red 10.0.0.0/24 puedan acceder a la zona Untrust:
[SRG]policy interzone trust untrust outbound [SRG-policy-interzone-trust-untrust-outbound]policy 1 [SRG-policy-interzone-trust-untrust-outbound-1]policy source 10.0.0.0 mask 24 [SRG-policy-interzone-trust-untrust-outbound-1]action permit
Y ahora la configuración prometida de NAT . En este caso, una dirección IP privada corresponderá a una dirección IP pública. Para lograrlo, crearé un grupo de direcciones NAT con la opción No-PAT . NAT No-PAT también se denomina traducción de direcciones uno a uno.
Ahora Creamos un grupo de direcciones NAT
[SRG]nat address-group 1 1.1.1.20 1.1.1.25
Configuramos la política NAT para la interzona TRUST-UNTRUST, defina el rango de direcciones IP de origen para NAT y vincule la política NAT al grupo de direcciones NAT creado anteriormente:
[SRG]nat-policy interzone trust untrust outbound [SRG-nat-policy-interzone-trust-untrust-outbound]policy 1 [SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat [SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source 10.0.0.0 mask 24 [SRG-nat-policy-interzone-trust-untrust-outbound-1]address-group 1 no-pat
Verifiquemos si está funcionando correctamente. Solo intente hacer ping a la interfaz loopback del enrutador de Internet (5.5.5.5/32) desde ambos hosts:
User_1>ping 5.5.5.5 Ping 5.5.5.5: 32 data bytes, Press Ctrl_C to break From 5.5.5.5: bytes=32 seq=1 ttl=254 time=47 ms From 5.5.5.5: bytes=32 seq=2 ttl=254 time=46 ms From 5.5.5.5: bytes=32 seq=3 ttl=254 time=63 ms From 5.5.5.5: bytes=32 seq=4 ttl=254 time=63 ms From 5.5.5.5: bytes=32 seq=5 ttl=254 time=47 ms --- 5.5.5.5 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 46/53/63 ms User_2>ping 5.5.5.5 Ping 5.5.5.5: 32 data bytes, Press Ctrl_C to break From 5.5.5.5: bytes=32 seq=1 ttl=254 time=47 ms From 5.5.5.5: bytes=32 seq=2 ttl=254 time=46 ms From 5.5.5.5: bytes=32 seq=3 ttl=254 time=62 ms From 5.5.5.5: bytes=32 seq=4 ttl=254 time=46 ms From 5.5.5.5: bytes=32 seq=5 ttl=254 time=47 ms --- 5.5.5.5 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 46/49/62 ms
Compruebamos si la entrada de sesión del firewall se ha creado correctamente:
[SRG]display firewall session table Current Total Sessions : 15 icmp VPN:public --> public 10.0.0.11:41543[1.1.1.21:41543]-->5.5.5.5:2048 icmp VPN:public --> public 10.0.0.10:41031[1.1.1.20:41031]-->5.5.5.5:2048 [SRG]display firewall session table verbose Current Total Sessions : 50 icmp VPN:public --> public Zone: trust--> untrust TTL: 00:00:20 Left: 00:00:00 Interface: GigabitEthernet0/0/2 NextHop: 1.1.1.2 MAC: 54-89-98-5c-36-fb <--packets:1 bytes:60 -->packets:1 bytes:60 10.0.0.10:50247[1.1.1.20:50247]-->5.5.5.5:2048 icmp VPN:public --> public Zone: trust--> untrust TTL: 00:00:20 Left: 00:00:00 Interface: GigabitEthernet0/0/2 NextHop: 1.1.1.2 MAC: 54-89-98-5c-36-fb <--packets:1 bytes:60 -->packets:1 bytes:60 10.0.0.11:50247[1.1.1.21:50247]-->5.5.5.5:2048Compruebamos si la entrada del map-server se creó correctamente:
<SRG>display firewall server-map server-map item(s) ------------------------------------------------------------------------------ No-Pat, 10.0.0.10[1.1.1.20] -> any, Zone: --- Protocol: any(Appro: ---), Left-Time: 00:11:59, Addr-Pool: 1 VPN: public -> public No-Pat Reverse, any -> 1.1.1.20[10.0.0.10], Zone: untrust Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: --- VPN: public -> public No-Pat, 10.0.0.11[1.1.1.21] -> any, Zone: --- Protocol: any(Appro: ---), Left-Time: 00:11:59, Addr-Pool: 1 VPN: public -> public No-Pat Reverse, any -> 1.1.1.21[10.0.0.11], Zone: untrust Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: --- VPN: public -> public
Ahora podemos crear otro grupo de direcciones NAT con solo una dirección disponible para verificar NAPT:
# nat address-group 2 1.1.1.30 1.1.1.30# nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 10.0.0.0 mask 24 address-group 2[SRG]display firewall session table Current Total Sessions : 53 icmp VPN:public --> public 10.0.0.10:54605[1.1.1.30:2067]-->5.5.5.5:2048 icmp VPN:public --> public 10.0.0.11:55117[1.1.1.30:2070]-->5.5.5.5:2048
Y finalmente NAT easy IP:
# nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 10.0.0.0 mask 24 easy-ip GigabitEthernet0/0/2# [SRG]display firewall session table Current Total Sessions : 50 icmp VPN:public --> public 10.0.0.10:34127[1.1.1.1:17133]-->5.5.5.5:2048 icmp VPN:public --> public 10.0.0.11:34383[1.1.1.1:17134]-->5.5.5.5:2048
Si la dirección IP de la interfaz se adopta como la dirección IP pública directamente, no se requiere un conjunto de direcciones NAT .
Espero que les haya gustado el post.
#ComunidadEnterprise
#UsuarioVIP
