URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22499
[ Назад ]
Исходное сообщение
"Создать nat на ASA"
Отправлено nic2011 , 15-Апр-11 09:09 
Приветствую!

Досталась по "наследству" ASA 5510. Никогда не сталкивался с подобной циской. Необходимо подключить внутреннюю сеть к интернету. С ACL вроде как разобрался, но попробовать их не могу т.к. внутренняя сеть не проходит в интернет. Насколько понял неправильно настроил nat. Настраивал по вот этой ссылке: http://www.cisco.com/en/US/products/ps6120/products_configur...- но все таки лучше nat static.
Подскажите, пожалуйста как правильно настроить nat или возможно, что я заблудился в командах и неправильно настроил циску. Конфиг циски:
asa# sh run
:
Saved
ASA Version 8.3(1)
!
hostname asa
domain-name www.cisco.ru
enable password ****** encrypted
passwd ****** encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 70.x.x.x 255.255.255.248
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.1.0 255.255.0.0
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Management0/0
nameif management
no ip address
management-only
!
ftp mode passive
dns server-group DefaultDNS
domain-name www.cisco.ru
same-security-traffic permit intra-interface
object network test
subnet 172.16.0.0 255.255.0.0
object network internet
subnet 70.x.x.x 255.255.255.255
access-list 150 extended permit ip interface outside host 172.16.1.10
access-list 150 extended permit ip host 172.16.1.100 interface outside
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit 172.16.0.0 255.255.0.0 inside
icmp permit 172.16.0.0 255.255.0.0 dmz
asdm image disk0:/asdm-631.bin
no asdm history enable
arp timeout 14400
nat (inside,outside) source static test internet
access-group 150 out interface outside
route outside 0.0.0.0 0.0.0.0 70.x.x.x 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 172.16.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh 172.16.0.0 255.255.0.0 inside
ssh timeout 60
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username ****** password ***** encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
!
service-policy global_policy global
prompt hostname context
password encryption aes
Cryptochecksum:4+645321lh65545khklj
: end

Содержание
Сообщения в этом обсуждении
"Создать nat на ASA"
Отправлено iRoot , 15-Апр-11 09:16 
>[оверквотинг удален]
>   inspect netbios
>   inspect tftp
>   inspect ip-options
>   inspect icmp
> !
> service-policy global_policy global
> prompt hostname context
> password encryption aes
> Cryptochecksum:4+645321lh65545khklj
> : end

global (outside) 101 interface
nat (inside) 101 10.0.100.254 255.255.255.255

"Создать nat на ASA"
Отправлено slayer , 15-Апр-11 09:23 
На внешний интерфейс вешать ацл смысла нету т.к. на нём и так всё запрещено из вне, а из локалки всем разрешено ходить.
access-list 150 extended permit ip interface outside host 172.16.1.10
access-list 150 extended permit ip host 172.16.1.100 interface outside
access-group 150 out interface outside
логика асы с большего на меньший интерфейс всё разрешено, с меньшего на больший всё запрещено.
так же не нужен статический нат
nat (inside,outside) source static test internet

а добавить нужно
global (outside) 1 тут либо пул адресов, либо interface, либо просто 1 ip адрес
nat (inside) 1 0.0.0.0 0.0.0.0

"Создать nat на ASA"
Отправлено nic2011 , 15-Апр-11 10:23 
> а добавить нужно
> global (outside) 1 тут либо пул адресов, либо interface, либо просто 1
> ip адрес
> nat (inside) 1 0.0.0.0 0.0.0.0

Спасибо за ответы, весь неправильный конфиг удалил, только вот при вводе новых команд пишет:
asa(config)# global (outside) 1 172.16.1.1
ERROR: This syntax of nat command has been deprecated.
Please refer to "help nat" command for more details.


"Создать nat на ASA"
Отправлено iRoot , 15-Апр-11 10:43 
>> а добавить нужно
>> global (outside) 1 тут либо пул адресов, либо interface, либо просто 1
>> ip адрес
>> nat (inside) 1 0.0.0.0 0.0.0.0
> Спасибо за ответы, весь неправильный конфиг удалил, только вот при вводе новых
> команд пишет:
> asa(config)# global (outside) 1 172.16.1.1
> ERROR: This syntax of nat command has been deprecated.
> Please refer to "help nat" command for more details.

аккуратно вводите команду :) введите global потом знак вопроса, ну и так далее, следуйте подсказке, и все будет окей :)

"Создать nat на ASA"
Отправлено nic2011 , 15-Апр-11 11:05 
> аккуратно вводите команду :) введите global потом знак вопроса, ну и так
> далее, следуйте подсказке, и все будет окей :)

Почему-то нет такой комманды?

asa(config)# global ?
ERROR: % Unrecognized command
asa(config)# global
asa(config)# g ?
ERROR: % Ambiguous command:  "g "
asa(config)# g

"Создать nat на ASA"
Отправлено slayer , 15-Апр-11 11:21 
причиной видимо тому 8.3.1, в котором поменяли синтаксис.

"Создать nat на ASA"
Отправлено nic2011 , 15-Апр-11 11:43 
> причиной видимо тому 8.3.1, в котором поменяли синтаксис.

Не могу его правильно подобрать. Может кто нибудь сталкивался?

"Создать nat на ASA"
Отправлено slayer , 15-Апр-11 11:45 
подозреваю вот это вас спасёт:
nat (inside,outside) source dynamic any interface
либо
object-group network og_global_outside-1
network-object object internet
nat (inside,outside) source dynamic any og_global_outside-1
"Создать nat на ASA"
Отправлено iRoot , 15-Апр-11 12:45 
> подозреваю вот это вас спасёт:
> nat (inside,outside) source dynamic any interface
> либо
> object-group network og_global_outside-1
>  network-object object internet
> nat (inside,outside) source dynamic any og_global_outside-1

https://supportforums.cisco.com/docs/DOC-12324

"Создать nat на ASA"
Отправлено iRoot , 15-Апр-11 12:46 
> подозреваю вот это вас спасёт:
> nat (inside,outside) source dynamic any interface
> либо
> object-group network og_global_outside-1
>  network-object object internet
> nat (inside,outside) source dynamic any og_global_outside-1

да, действительно в 8.3 сейчас по другому.
Вот тут удобная табличка:
https://supportforums.cisco.com/docs/DOC-9129

"Создать nat на ASA"
Отправлено nic2011 , 15-Апр-11 15:08 
>> подозреваю вот это вас спасёт:
>> nat (inside,outside) source dynamic any interface
>> либо
>> object-group network og_global_outside-1
>>  network-object object internet
>> nat (inside,outside) source dynamic any og_global_outside-1
> да, действительно в 8.3 сейчас по другому.
> Вот тут удобная табличка:
> https://supportforums.cisco.com/docs/DOC-9129

Спасибо!!! Все заработало. Сделал как в видео.

"Создать nat на ASA"
Отправлено dima799 , 24-Янв-14 08:43 
Чтобы не создавать новую тему напишу сюда.
Подскажите пожалуйста, как можно проверить работу NAT на ASA 8.2 через packet tracer в ASDM?

NAT нужен просто для раздачи интернета для подсети INSIDE, через OUTSIDE.

в конфиге есть следующее

nat (Inside) 2 192.168.106.0 255.255.255.0
route Outside 0.0.0.0 0.0.0.0 82.114.8.13 254