Traducción de dirección de puerto (PAT) en dispositivo de seguridad adaptable (ASA) – Part 1

La traducción de direcciones de puertos (PAT) es un tipo de traducción de direcciones de red (NAT) que se usa cuando hay escasez de direcciones IP públicas. Una de las direcciones IP públicas de la misma subred o la dirección de la interfaz se usa para la traducción.

Traducción de dirección de puerto (PAT):
esto también se conoce como sobrecarga de NAT. En esto, muchas direcciones IP locales (privadas) se traducen a direcciones IP públicas únicas. A veces, las direcciones privadas se traducen a direcciones de interfaz (únicas). En esto, los números de puerto se utilizan para distinguir el tráfico, es decir, qué tráfico pertenece a qué dirección IP.

Procedimiento:
El procedimiento es casi el mismo que se realiza en Dynamic NAT, pero recuerde que en PAT, más de una dirección IP privada se traduce en una sola dirección IP pública.

  • Paso 1: Configure la lista de acceso
    Cree la lista de acceso indicando la condición del permiso, es decir, quién debe tener permiso y qué protocolo debe tener permiso.
  • Paso 2: aplicar la lista de acceso a una interfaz
    El comando de grupo de acceso se utilizará para indicar la dirección (hacia afuera o hacia adentro) en la que se debe realizar la acción (especificada anteriormente).
  • Paso 3: Cree un grupo de red u objeto de
    red El grupo de red indicará la subred o diferentes subredes en las que se aplicará PAT. Mientras que el objeto de red establece una sola subred que se puede usar más en el proceso PAT para la traducción. Se puede decir que el grupo de red contiene más de un objeto de red.
  • Paso 4: declaración PAT
    Este paso especificará la dirección en la que se debe llevar a cabo PAT y en qué dirección IP (dirección IP pública) se debe traducir la dirección IP privada.

Configuración:

Tres enrutadores, a saber, el enrutador1 (dirección IP: 10.1.1.1/24), el enrutador2 (dirección IP: 11.1.1.1/24) y el enrutador3 (dirección IP: 101.1.1.1) están conectados a ASA (dirección IP: 10.1.1.2/24, nombre: DENTRO y nivel de seguridad: 100 en Gi0/0, dirección IP: 11.1.1.2/24, nombre: DMZ y nivel de seguridad: 50 en Gi0/1, dirección IP: 101.1.1.2/24, nombre: EXTERIOR y nivel de seguridad – 0 en Gi0/2) como se muestra en la figura anterior.

En esta tarea, habilitaremos PAT para el tráfico que se genera de DENTRO a FUERA y para el tráfico que va de DMZ a FUERA.

Configuración de direcciones IP en todos los enrutadores y ASA.

Configure la dirección IP en el Router1:

Router1(config)#int fa0/0
Router1(config-if)#ip address 10.1.1.1 255.255.255.0
Router1(config-if)#no shut 

Configuración de la dirección IP en el Router2:

Router2(config)#int fa0/0
Router2(config-if)#ip address 11.1.1.1 255.255.255.0
Router2(config-if)#no shut 

Configuración de la dirección IP en el Router3:

Router3(config)#int fa0/0
Router3(config-if)#ip address 101.1.1.1 255.255.255.0
Router3(config-if)#no shut 

Configuración de dirección IP, nombre y nivel de seguridad en la interfaz de ASA:

asa(config)#int Gi0/0
asa(config-if)#no shut
asa(config-if)#ip address 10.1.1.2 255.255.255.0
asa(config-if)#nameif INSIDE 
asa(config-if)#security level 100
asa(config-if)#exit
asa(config)#int Gi0/1
asa(config-if)#no shut
asa(config-if)#ip address 11.1.1.2 255.255.255.0
asa(config-if)#nameif DMZ
asa(config-if)#security level 50
asa(config-if)#exit
asa(config)#int Gi0/2
asa(config-if)#no shut
asa(config-if)#ip address 101.1.1.2 255.255.255.0
asa(config-if)#nameif OUTSIDE
asa(config-if)#security level 0

Ahora dando rutas estáticas a los enrutadores. Configuración de ruta estática al Router1:

Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 

Configuración de ruta estática a Router2:

Router2(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.2 

Configuración de ruta estática a Router3:

Router3(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.2 

Por fin configurando la ruta estática a ASA:

asa(config)#route INSIDE 10.1.1.0 255.255.255.0 10.1.1.1
asa(config)#route OUTSIDE 101.1.1.0 255.255.255.0 101.1.1.1
asa(config)#route DMZ 11.1.1.0 255.255.255.0 10.1.1.1

Para ICMP, inspeccione o use ACL para permitir la respuesta de eco ICMP desde el nivel de seguridad más bajo hasta el nivel de seguridad más alto (esto debe hacerse porque, de forma predeterminada, no se permite el tráfico desde el nivel de seguridad más bajo hasta el nivel de seguridad más alto).

Configuración de la lista de acceso:

asa(config)#access-list traffic_out permit icmp any any 
asa(config)#access-list traffic_dmz permit icmp any any 

Aquí, se han hecho dos listas de acceso.

El primer nombre de la lista de acceso es traffic_out, que permitirá el tráfico ICMP de EXTERIOR a INTERIOR (con cualquier dirección IP y cualquier máscara).
Se ha creado una segunda lista de acceso con el nombre de traffic_dmz, que permitirá el tráfico ICMP desde el EXTERIOR a la DMZ (con cualquier dirección IP y cualquier máscara).

Aplique esta lista de acceso a las interfaces ASA:

asa(config)#access-group traffic_out in interface OUTSIDE 
asa(config)#access-group traffic_dmz in interface DMZ

La primera declaración establece que la lista de acceso traffic_out se aplica en dirección interna a la interfaz OUTSIDE . La
segunda declaración establece que la lista de acceso traffic_dmz se aplica en dirección interna a la interfaz DMZ.
Los dispositivos INTERNOS podrán hacer ping a los dispositivos EXTERIORES y DMZ.

La tarea es habilitar PAT en ASA siempre que todo el tráfico de la subred (10.1.1.0/24) salga del INTERIOR al EXTERIOR y el tráfico de la red (11.1.1.0/24) de la DMZ al EXTERIOR, debe traducirse a la dirección de la interfaz EXTERIOR .

asa(config)#object network inside_nat
asa(config-network-object)#subnet 10.1.1.0 255.255.255.0
asa(config-network-object)#exit

Primero, especifique qué subred debe traducirse.

Se especificará la dirección de la traducción NAT:

asa(config)#nat (INSIDE, OUTSIDE) source dynamic INSIDE interface

Aplicación de NAT para el tráfico que sale de la DMZ al EXTERIOR:

asa(config)#object network dmz_nat
asa(config-network-object)#subnet 11.1.1.0 255.255.255.0
asa(config-network-object)#exit

Creando grupo NAT para este tráfico:

asa(config)#object network dmz_nat_pool
asa(config-network-object)#range 120.1.1.1 120.1.1.4
asa(config-network-object)#exit

Se especifica Tirection para la traducción nat.

asa(config)#nat (DMZ, OUTSIDE) source dynamic DMZ interface 

El comando anterior especifica que la subred en dmz_nat debe traducirse a la dirección IP de la interfaz DMZ usando PAT. Por esto, el proceso de configuración de PAT es casi similar al NAT dinámico. La principal diferencia es que para configurar la dirección IP de la interfaz externa en lugar de un grupo NAT desde el cual se traducirá una de las direcciones IP.

Ventajas:
Esto se usa con más frecuencia ya que es rentable ya que miles de usuarios pueden conectarse a Internet usando solo una dirección IP global (pública) real.

Publicación traducida automáticamente

Artículo escrito por saurabhsharma56 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *