取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

【专家面对面】在ASA 8.2x和9.x中对NAT的不同处理及failover升级的零停机

10162
查看次数
36
有帮助
23
评论
Yanli Sun
Community Manager
本次【专家面对面】在线问答活动,是与6月11日09:30开始的第二期 CSC 公开课 活动同步举办的。
(点击查看本期 【CSC公开课】活动公告
活动内容:
我们的技术支持专家 Junling Yao会在此回答您关于”在ASA 8.2x和9.x中对NAT的不同处理及failover升级的零停机的相关问题。
活动时间2014年6月11日-6月20日
参与方式在本主题下跟帖提出您的问题,我们的专家会予以解答。
专家介绍:Junling YaoTechnical Support Engineer
职称:技术支持专家
认证:CCIE Routing Switch/Security/Service Provider/Voice
解决方案:Security,Wireless
产品:ASA,ACS,ISE,IPS,WLC,AP,PI,MSE
客户领域:FSI,OTT,Enterprise, SP

如果专家的解答对您有帮助的话,记得点击本帖或者专家答复中的“支持”按钮哦
23 评论
jpye
Beginner
看看理解下
xingyliu
Beginner
正在听
hujiesong
Beginner
好好学习。。。
hugo_liang
Beginner
好好学习。。
wangjin
Beginner
来学习下。
david_liang
Beginner
您好,老师,我的问题是,在asa中使用PAT,asa输出的日志都是这样:
6 Jun 11 2014 14:47:47 172.20.XX.XXX 53262 112.XXX.XXX.XXX 6822 Teardown dynamic TCP translation from inside:172.20.XXX.XXX/53262 to outside:112.XXX.XXX.XXX/6822 duration 0:00:30
查看不到客户端访问了外部那些地址?如何解决?
skycococ
Beginner
没时间听, 错过了,。什么时候有的下载?
Yanli Sun
Community Manager
skycococ 发表于 2014-6-11 15:00 back.gif
没时间听, 错过了,。什么时候有的下载?

视频观看和下载链接 : https://cisco.webex.com/ciscosales-sc/lsr.php?RCID=6da52bde0001433b96f97661b9be35f3
dong chen
Beginner
老师您好,今天听课时候有听到策略NAT。 这个技术是不是可以代替策略路由来实现ASA的双运营商选路?或者说ASA在双运营商选路时有什么好的解决方案?
Zhiyong Peng
Beginner
kldcjadele 发表于 2014-6-11 16:33 back.gif
老师您好,今天听课时候有听到策略NAT。 这个技术是不是可以代替策略路由来实现ASA的双运营商选路?或者说A ...

同样关心这个问题。
dong chen
Beginner
kldcjadele 发表于 2014-6-11 16:33 back.gif
老师您好,今天听课时候有听到策略NAT。 这个技术是不是可以代替策略路由来实现ASA的双运营商选路?或者说A ...

还有个问题,状态化表项优于路由表。这样是不是说,对外提供服务的web服务器,即使没有做任何操作,也不会出现来回路径不一致的情况?
Junling Yao
Cisco Employee
david_liang 发表于 2014-6-11 14:50 back.gif
您好,老师,我的问题是,在asa中使用PAT,asa输出的日志都是这样:
6 Jun 11 2014 14:47:47 172.20.XX ...

如果将系统日志或者buffer的日志设置成为informational, 是可以看到这个客户端访问了外部哪些地址的。日志级别的设置方法为:

Logging trap informational
Or
Logging buffered informational.
以 asa 8.2.5为例, 内网的主机192.168.20.253被动态翻译为10.75.61.175, 它访问外部的10.75.61.176。在连接成功后,我们可以看到:
ciscoasa(config)# show conn address 192.168.20.253
3 in use, 4 most used
TCP outside 10.75.61.176:23 inside2 192.168.20.253:55045, idle 0:00:33, bytes 65, flags UIO
//可以看到访问的外部地址为10.75.61.176
也可以用命令:
ciscoasa(config)# show local-host 192.168.20.253 //这个命令可以看到当前所有这个地址发出的所有的连接
Interface inside1: 0 active, 0 maximum active, 0 denied
Interface inside2: 1 active, 1 maximum active, 0 denied
local host: <192.168.20.253>,
TCP flow count/limit = 1/unlimited
TCP embryonic count to host = 0
TCP intercept watermark = unlimited
UDP flow count/limit = 0/unlimited
Xlate:
PAT Global 10.75.61.175(40028) Local 192.168.20.253(55045)
Conn:
TCP outside 10.75.61.176:23 inside2 192.168.20.253:55045, idle 0:01:38, bytes 65 flags UIO
Interface inside: 0 active, 0 maximum active, 0 denied
Interface outside: 4 active, 5 maximum active, 0 denied
此时从日志中可以看到:
Jun 08 2014 03:34:06: %ASA-6-305011: Built dynamic TCP translation from inside2:192.168.20.253/55045 to outside:10.75.61.175/40028
Jun 08 2014 03:34:06: %ASA-6-302013: Built outbound TCP connection 7 for outside:10.75.61.176/23 (10.75.61.176/23) to inside2:192.168.20.253/55045
(10.75.61.175/40028) //先建立动态的xlate, 然后建立连接
而当telnet的连接被拆除后,我们从系统日志中可以看到:
Jun 08 2014 03:36:09: %ASA-6-302014: Teardown TCP connection 7 for outside:10.75.61.176/23 to inside2:192.168.20.253/55045 duration 0:02:02 bytes 83 TCP
FINs
Jun 08 2014 03:36:36: %ASA-6-305012: Teardown dynamic TCP translation from inside2:192.168.20.253/55045 to outside:10.75.61.175/40028 duration 0:02:30
//连接先拆除,然后在连接拆除后的30秒,xlate表项也被拆除。
在9.x中做动态PAT, 结果如下:(命令输出过程的顺序同上面的例子8.2一样,不再写文字说明)
ciscoasa# show conn address 192.168.20.253
5 in use, 23 most used
TCP outside 10.75.61.176:23 inside2 192.168.20.253:30260, idle 0:00:41, bytes 65, flags UIO
ciscoasa# show local-host 192.168.20.253
Interface inside1: 0 active, 0 maximum active, 0 denied
Interface inside2: 1 active, 1 maximum active, 0 denied
local host: <192.168.20.253>,
TCP flow count/limit = 1/unlimited
TCP embryonic count to host = 0
TCP intercept watermark = unlimited
UDP flow count/limit = 0/unlimited
Xlate:
TCP PAT from inside2:192.168.20.253/30260 to outside:10.75.61.175/30260 flags ri idle
0:01:06 timeout 0:00:30
Conn:
TCP outside 10.75.61.176:23 inside2 192.168.20.253:30260, idle 0:01:06, bytes 65, flags UIO
日志结果:
Jun 08 2014 03:19:00: %ASA-6-305011: Built dynamic TCP translation from inside2:192.168.20.253/30260 to outside:10.75.61.175/30260
Jun 08 2014 03:19:00: %ASA-6-302013: Built outbound TCP connection 652 for outside:10.75.61.176/23 (10.75.61.176/23) to inside2:192.168.20.253/30260
(10.75.61.175/30260)
//建立连接的日志
Jun 08 2014 03:22:04: %ASA-6-302014: Teardown TCP connection 652 for outside:10.75.61.176/23 to inside2:192.168.20.253/30260 duration 0:03:04 bytes 83 TCP
FINs
Jun 08 2014 03:22:35: %ASA-6-305012: Teardown dynamic TCP translation from inside2:192.168.20.253/30260 to outside:10.75.61.175/30260 duration 0:03:35
//拆除连接的日志
综上所述,如果启动了informational级别的日志,无论在asa的哪个版本中都 应该可以看到这个用户所访问的外部地址的,如果看不到,有可能是在系统日志中做了过滤,只能看到某些类型的日志,如果确实做了日志的过滤,建议打上命令“logging message 302013” 和“logging message 302014”来启动对连接日志的查看,另外如果是从buffer看日志的,建议将buffer的缓存加大,再查看(logging buffer-size xx, type ? to input maximum value for it)
Junling Yao
Cisco Employee
kldcjadele 发表于 2014-6-11 16:33 back.gif
老师您好,今天听课时候有听到策略NAT。 这个技术是不是可以代替策略路由来实现ASA的双运营商选路?或者说A ...

目前ASA上还没有实现策略路由的特性。策略NAT不能替代策略性路由,由于策略NAT是根据一定的条件(如扩展访问控制列表)来进行源地址的翻译,而最终出口的下一跳的选择在ASA上还是要依靠在这个接口上是否有路由决定, 而ASA只支持一条缺省路由,如果在一个出口上配置了缺省路由,在另一个接口上就不能配置,如果要配,只能配置明细路由,工作量是非常大的,不是一种很现实的选择。如要实施策略性路由,最好还是结合路由器来实现。
推荐的拓扑如下:
Asa (nat)---------------------router (dual line, policy route configured).
764963038cisco
Beginner
这论坛太好了,可以学习很多心东西
Yanli Sun
Community Manager
764963038cisco 发表于 2014-6-12 10:00 back.gif
这论坛太好了,可以学习很多心东西

大家的肯定,就是我们前进滴动力