Exemple de configuration ASA 8.3(x) Dynamic PAT avec deux réseaux internes et Internet

Documents pareils
ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Les réseaux /24 et x0.0/29 sont considérés comme publics

Exemple de configuration d'asa avec WebVPN et authentification unique à l'aide d'asdm et de NTLMv1

QoS sur les exemples de configuration de Cisco ASA

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Conception et mise en place d'une architecture de sécurité des services Intranet / Internet. Equipe Firewalling

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

comment paramétrer une connexion ADSL sur un modemrouteur

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

MAUREY SIMON PICARD FABIEN LP SARI

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Intégration de Cisco CallManager IVR et Active Directory

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Mise en service d un routeur cisco

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

GNS 3 Travaux pratiques

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Les clés d un réseau privé virtuel (VPN) fonctionnel

NAC 4.5 : Exemple de configuration d'import-export de stratégie

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Exercice : configuration de base de DHCP et NAT

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Pour les caméras IP de modèles : QSTC201 QSTC211. Surveillance à distance via Internet Guide de démarrage

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

pare - feu généralités et iptables

Introduction. Adresses

Configuration de WINS, DNS et DHCP sur les serveurs d'accès

RX3041. Guide d'installation rapide

Configuration du matériel Cisco. Florian Duraffourg

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Administration UNIX. Le réseau

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

TP Configuration de l'authentification OSPF

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Travaux pratiques : collecte et analyse de données NetFlow

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Rappels réseaux TCP/IP

Chapitre 3 Configuration et maintenance

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Couche application. La couche application est la plus élevée du modèle de référence.

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Mise en place d un cluster NLB (v1.12)

TAGREROUT Seyf Allah TMRIM

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

COMMANDES RÉSEAUX TCP/IP WINDOWS.

CONVERTISSEUR RS 232/485 NOTICE

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

Présentation du modèle OSI(Open Systems Interconnection)

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

Procédure Configuration Borne Wifi. Attribution d'une adresse IP

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

(1) Network Camera

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

FILTRAGE de PAQUETS NetFilter

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Module 1 : Introduction à TCP/IP

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

I. Adresse IP et nom DNS

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Figure 1a. Réseau intranet avec pare feu et NAT.

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Configurer ma Livebox Pro pour utiliser un serveur VPN

7.3 : Ce qu IPv6 peut faire pour moi

Présentation et portée du cours : CCNA Exploration v4.0

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

Serveur FTP. 20 décembre. Windows Server 2008R2

Introduction de la Voix sur IP

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Travaux pratiques IPv6

ASA 8.x : Configuration de cartes à puce CAC VPN SSL AnyConnect avec prise en charge MAC

Assistance à distance sous Windows

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

Présentation et portée du cours : CCNA Exploration v4.0

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseau - VirtualBox. Sommaire

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Supervision de réseau

Transcription:

Exemple de configuration ASA 8.3(x) Dynamic PAT avec deux réseaux internes et Internet Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configuration Diagramme du réseau Configuration de l'interface de ligne de commande ASA Configuration ASDM Vérifiez Vérifier la règle générique de PAT Vérifier la règle spécifique de PAT Dépannez Informations connexes Introduction Ce document fournit une configuration d'échantillon pour le TAPOTEMENT dynamique sur une appliance de sécurité adaptable Cisco (ASA) cette version de logiciel de passages 8.3(1). PAT dynamique traduit de plusieurs vraies adresses à une adresse IP tracée simple en traduisant vraie le port d'adresse source et de source à l'adresse tracée et au seul port tracé. Chaque connexion exige une session de traduction distincte, parce que le port éphémère diffère pour chacune d'entre elles. Conditions préalables Conditions requises Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration : Assurez-vous que le réseau interne a deux réseaux situés sur l'intérieur de l'asa : 192.168.0.0/24 Réseau directement connecté à l'asa. 192.168.1.0/24 Réseau sur l'intérieur de l'asa, mais derrière un autre périphérique (par exemple, un routeur). Veillez les utilisateurs internes pour obtenir PAT comme suit : Les hôtes sur le sous-réseau 192.168.1.0/24 obtiendront PAT à une adresse IP supplémentaire donnée par l'isp (10.1.5.5). N'importe quel autre hôte derrière l'intérieur de l'asa obtiendra PAT à l'adresse IP extérieure d'interface de l'asa (10.1.5.1). Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Appliance de sécurité adaptable Cisco (ASA) avec la version 8.3(1) Version 6.3(1) ASDM Remarque: Référez-vous à Permettre l'accès HTTPS pour l'asdm afin de permettre l'asa d'être configuré par l'asdm. Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Référez-vous au Conventions relatives aux conseils techniques Cisco pour les informations sur des conventions de document.

Configuration Diagramme du réseau Ce document utilise la configuration réseau suivante : Remarque: Les schémas d'adressage d'ip utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire. Configuration de l'interface de ligne de commande ASA Configuration ASDM Configuration de l'interface de ligne de commande ASA Ce document utilise les configurations présentées ci-dessous. Configuration PAT dynamique ASA ASA#configure terminal Enter configuration commands, one per line. End with CNTL/Z. --- Creates an object called OBJ_GENERIC_ALL. --- Any host IP not already matching another configured --- object will get PAT to the outside interface IP --- on the ASA (or 10.1.5.1), for internet bound traffic. ASA(config)#object network OBJ_GENERIC_ALL ASA(config-obj)#subnet 0.0.0.0 0.0.0.0 ASA(config-obj)#exit ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface --- The above statements are the equivalent of the --- nat/global combination (as shown below) in v7.0(x), --- v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code: nat (inside) 1 0.0.0.0 0.0.0.0 global (outside) 1 interface --- Creates an object called OBJ_SPECIFIC_192-168-1-0. --- Any host IP facing the the inside interface of the ASA --- with an address in the 192.168.1.0/24 subnet will get PAT --- to the 10.1.5.5 address, for internet bound traffic. ASA(config)#object network OBJ_SPECIFIC_192-168-1-0 ASA(config-obj)#subnet 192.168.1.0 255.255.255.0 ASA(config-obj)#exit ASA(config)#nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5 --- The above statements are the equivalent of the nat/global --- combination (as shown below) in v7.0(x), v7.1(x), v7.2(x), v8.0(x), --- v8.1(x) and v8.2(x) ASA code: nat (inside) 2 192.168.1.0 255.255.255.0 global (outside) 2 10.1.5.5 ASA#show run Configuration en cours ASA 8.3(1)

: Saved : ASA Version 8.3(1) hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names --- Configure the outside interface. interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.1.5.1 255.255.255.0 --- Configure the inside interface. interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address interface Management0/0 shutdown no nameif no security-level no ip address management-only boot system disk0:/asa831-k8.bin ftp mode passive object network OBJ_SPECIFIC_192-168-1-0 subnet 192.168.1.0 255.255.255.0 object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0 pager lines 24 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-631.bin no asdm history enable arp timeout 14400 nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface nat (inside,outside) source dynamic OBJ_SPECIFIC_192-168-1-0 10.1.5.5 route inside 192.168.1.0 255.255.255.0 192.168.0.254 1 route outside 0.0.0.0 0.0.0.0 10.1.5.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.0.0 255.255.254.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0

threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options service-policy global_policy global prompt hostname context Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f : end Configuration ASDM Afin de se terminer cette configuration par l'interface ASDM, vous devez : 1. 2. Ajoutez trois objets de réseau ; ce les exemples ajoute ces objets de réseau : OBJ_GENERIC_ALL OBJ_SPECIFIC_192-168-1-0 10.1.5.5 Créez deux règles NAT/PAT ; ce les exemples crée des règles NAT pour ces objets de réseau : OBJ_GENERIC_ALL OBJ_SPECIFIC_192-168-1-0 Ajoutez les objets de réseau Terminez-vous ces étapes afin d'ajouter des objets de réseau : 1. Ouvrez une session à l'asdm, et choisissez la configuration > le Pare-feu > les objets > les objets de réseau/groupes. 2. Choisissez ajoutent > objet de réseau afin d'ajouter un objet de réseau.

La boîte de dialogue d'objet de réseau d'ajouter apparaît. 3. 4. Écrivez ces informations dans la boîte de dialogue d'objet de réseau d'ajouter : Nom de l'objet de réseau. (Cet exemple utilise OBJ_GENERIC_ALL.) Type d'objet de réseau. (Cet exemple utilise le réseau.) Adresse IP pour l'objet de réseau. (Cet exemple utilise 0.0.0.0.) Netmask pour l'objet de réseau. (Cet exemple utilise 0.0.0.0.) Cliquez sur OK. L'objet de réseau est créé et apparaît dans les objets de réseau/groupes les répertorient, suivant les indications de cette image : 5. Répétez les étapes précédentes afin d'ajouter un deuxième objet de réseau, et cliquez sur OK. Cet exemple utilise ces valeurs : Nom : OBJ_SPECIFIC_192-168-1-0

Type : Réseau Adresse IP : 192.168.1.0 Netmask : 255.255.255.0 Le deuxième objet est créé et apparaît dans les objets de réseau/groupes les répertorient, suivant les indications de cette image : 6. Répétez les étapes précédentes afin d'ajouter un troisième objet de réseau, et cliquez sur OK. Cet exemple utilise ces valeurs : Nom : 10.1.5.5 Type : Hôte Adresse IP : 10.1.5.5 Les troisième objets de réseau est créés et apparaît dans les objets de réseau/groupes les répertorient.

Les objets de réseau/groupes que la liste devrait maintenant inclure les trois ont exigé des objets nécessaires pour que les règles NAT mettent en référence. Créez les règles NAT/PAT Terminez-vous ces étapes afin de créer des règles NAT/PAT : 1. Créez la première règle NAT/PAT : a. Dans l'asdm, choisissez la configuration > le Pare-feu > les règles NAT, et cliquez sur Add. La boîte de dialogue de règle NAT d'ajouter apparaît.

b. Dans le critère de correspondance : La région de paquet d'origine de la boîte de dialogue de règle NAT d'ajouter, choisissent à l'intérieur de la liste déroulante d'interface de source. c. Cliquez sur le furetage ( ) bouton situé à la droite du champ texte d'adresse source. La boîte de dialogue d'origine d'adresse source de furetage apparaît.

d. Dans la boîte de dialogue d'origine d'adresse source de furetage, choisissez le premier objet de réseau que vous avez créé. (Pour cet exemple, choisissez OBJ_GENERIC_ALL.) e. Cliquez sur l' adresse source d'origine, et cliquez sur OK. L'objet de réseau OBJ_GENERIC_ALL apparaît maintenant dans la zone adresse d'adresse source dans le critère de correspondance : Région de paquet d'origine de la boîte de dialogue de règle NAT d'ajouter. f. Dans l'action : La région traduite de paquet de la boîte de dialogue de règle NAT d'ajouter, choisissent PAT dynamique (peau) de la case NAT de dialogue Type de source. g. Cliquez sur le furetage ( ) bouton situé à la droite de la zone adresse d'adresse source.

La boîte de dialogue d'adresse source traduite par furetage apparaît. h. i. Dans le furetage la boîte de dialogue traduite d'adresse source, choisissent l'objet extérieur d'interface. (Cette interface a été déjà créée parce que ce fait partie de la configuration d'origine.) Cliquez sur l' adresse source traduite, et cliquez sur OK. L'interface extérieure apparaît maintenant dans la zone adresse d'adresse source dans l'action : Région traduite de paquet sur la boîte de dialogue de règle NAT d'ajouter.

Remarque: Le champ d' interface de destination change également en l'interface extérieure. j. Vérifiez que la règle d'abord terminée de PAT apparaît comme suit : Dans le critère de correspondance : La région de paquet d'origine, vérifient ces valeurs : Interface de source = à l'intérieur Adresse source = OBJ_GENERIC_ALL Adresse de destination = quels Service = quels Dans l'action : La région traduite de paquet, vérifient ces valeurs : k. Type NAT de source = PAT dynamique (peau) Adresse source = dehors Adresse de destination = original Service = original Cliquez sur OK. La première règle NAT apparaît dans l'asdm, suivant les indications de cette image : 2. Créez la deuxième règle NAT/PAT : a. b. c. Dans l'asdm, choisissez la configuration > le Pare-feu > les règles NAT, et cliquez sur Add. Dans le critère de correspondance : La région de paquet d'origine de la boîte de dialogue de règle NAT d'ajouter, choisissent à l'intérieur de la liste déroulante d'interface de source. Cliquez sur le furetage ( ) bouton situé à la droite de la zone adresse d'adresse source. La boîte de dialogue d'origine d'adresse source de furetage apparaît.

d. Dans la boîte de dialogue d'origine d'adresse source de furetage, choisissez le deuxième objet que vous avez créé. (Pour cet exemple, choisissez OBJ_SPECIFIC_192-168-1-0.) e. Cliquez sur l' adresse source d'origine, et cliquez sur OK. f. g. L'objet de réseau OBJ_SPECIFIC_192-168-1-0 apparaît dans la zone adresse d'adresse source dans le critère de correspondance : Région de paquet d'origine de la boîte de dialogue de règle NAT d'ajouter. Dans l'action : La région traduite de paquet de la boîte de dialogue de règle NAT d'ajouter, choisissent PAT dynamique (peau) de la case NAT de dialogue Type de source. Cliquez sur lebouton situé à la droite de la zone adresse d'adresse source. La boîte de dialogue d'adresse source traduite par furetage apparaît. h. i. Dans le furetage la boîte de dialogue traduite d'adresse source, choisissent l'objet de 10.1.5.5. (Cette interface a été déjà créée parce que ce fait partie de la configuration d'origine). Cliquez sur l' adresse source traduite, et puis cliquez sur OK. j. L'objet de réseau de 10.1.5.5 apparaît dans la zone adresse d'adresse source dans l'action : Région traduite de paquet de la boîte de dialogue de règle NAT d'ajouter. Dans le critère de correspondance : La région de paquet d'origine, choisissent dehors de la liste déroulante d'interface de destination. Remarque: Si vous ne choisissez pas dehors pour cette option, l'interface de destination en mettra en référence.

k. Vérifiez que le deuxième s'est terminé la règle NAT/PAT apparaît comme suit : l. Dans le critère de correspondance : La région de paquet d'origine, vérifient ces valeurs : Interface de source = à l'intérieur Adresse source = OBJ_SPECIFIC_192-168-1-0 Adresse de destination = dehors Service = quels Dans l'action : La région traduite de paquet, vérifient ces valeurs : Type NAT de source = PAT dynamique (peau) Adresse source = 10.1.5.5 Adresse de destination = original Service = original Cliquez sur OK. La configuration NAT terminée apparaît dans l'asdm, suivant les indications de cette image : 3. Cliquez sur le bouton Apply afin d'appliquer les modifications à la configuration en cours. Ceci se termine la configuration de PAT dynamique sur une appliance de sécurité adaptable Cisco (ASA). Vérifiez Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration. L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'oit pour afficher

une analyse de la sortie de la commande show. Vérifier la règle générique de PAT hôte local d'exposition Affiche les états de réseau d'hôtes locaux. ASA#show local-host Interface outside: 1 active, 2 maximum active, 0 denied local host: <125.252.196.170>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited --- The TCP connection outside address corresponds --- to the actual destination of 125.255.196.170:80 Conn: TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, bytes 11896, flags UIO Interface inside: 1 active, 1 maximum active, 0 denied local host: <192.168.0.5>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited --- The TCP PAT outside address corresponds to the --- outside IP address of the ASA 10.1.5.1. Xlate: TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags ri idle 0:00:17 timeout 0:00:30 TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags ri idle 0:00:17 timeout 0:00:30 Conn: TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:03, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:04, bytes 11896, flags UIO show conn Affiche l'état de connexion pour le type de connexion indiqué. ASA#show conn 2 in use, 3 most used TCP outside 125.252.196.170:80 inside 192.168.0.5:1051, idle 0:00:06, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.0.5:1050, idle 0:00:01, bytes 13526, flags UIO show xlate Affiche les informations sur les emplacements de traduction. ASA#show xlate 4 in use, 7 most used Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:192.168.0.5/1051 to outside:10.1.5.1/32988 flags ri idle 0:00:23 timeout 0:00:30 TCP PAT from inside:192.168.0.5/1050 to outside:10.1.5.1/17058 flags ri idle 0:00:23 timeout 0:00:30 Vérifier la règle spécifique de PAT hôte local d'exposition Affiche les états de réseau d'hôtes locaux. ASA#show local-host Interface outside: 1 active, 2 maximum active, 0 denied local host: <125.252.196.170>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited

--- The TCP connection outside address corresponds to --- the actual destination of 125.255.196.170:80. Conn: TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, bytes 11896, flags UIO Interface inside: 1 active, 1 maximum active, 0 denied local host: <192.168.0.5>, TCP flow count/limit = 2/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited --- The TCP PAT outside address corresponds to an --- outside IP address of 10.1.5.5. Xlate: TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags ri idle 0:00:17 timeout 0:00:30 TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/23673 flags ri idle 0:00:17 timeout 0:00:30 Conn: TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, bytes 13758, flags UIO TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, bytes 11896, flags UIO show conn Affiche l'état de connexion pour le type de connexion indiqué. ASA#show conn 2 in use, 3 most used TCP outside 125.252.196.170:80 inside 192.168.1.5:1067, idle 0:00:07, bytes 13653, flags UIO TCP outside 125.252.196.170:80 inside 192.168.1.5:1066, idle 0:00:03, bytes 13349, flags UIO show xlate Affiche les informations sur les emplacements de traduction. Dépannez ASA#show xlate 3 in use, 9 most used Flags: D - DNS, I - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:192.168.1.5/1067 to outside:10.1.5.5/35961 flags ri idle 0:00:23 timeout 0:00:30 TCP PAT from inside:192.168.1.5/1066 to outside:10.1.5.5/29673 flags ri idle 0:00:23 timeout 0:00:30 Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration. Informations connexes Demandes de commentaires (RFC) Exemples et notes techniques de configuration 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 19 septembre 2015 http://www.cisco.com/cisco/web/support/ca/fr/109/1098/1098280_asa-dynamic-pat-00.html

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back