ASA 8.4(4): عدم السماح بتكوين معين ل NAT للهوية

المقدمة

قد ترفض أجهزة الأمان المعدلة (ASAs) التي تشغل الإصدار 8.4(4) أو إصدارا أعلى تكوينات NAT معينة وتعرض رسالة خطأ مماثلة لهذه:

ERROR: <mapped address range> overlaps with <interface> standby interface
   address
ERROR: NAT Policy is not downloaded

يمكن أن تظهر هذه المشكلة أيضا عند ترقية ASA الخاص بك إلى 8.4(4) أو أعلى من إصدار سابق. أنت يستطيع لاحظت أن بعض nat أمر لم يعد يتواجد في ال running-config من ال ASA. في هذه الأمثلة، يجب أن تنظر إلى رسائل وحدة التحكم التي تمت طباعتها لمعرفة ما إذا كانت هناك رسائل موجودة بالتنسيق أعلاه.

تأثير آخر قد تلاحظ أن حركة مرور البيانات لشبكات فرعية معينة خلف ASA قد تتوقف عن المرور عبر نفق (نفق) الشبكة الخاصة الظاهرية (VPN) الذي ينتهي على ASA. يوضح هذا المستند كيفية حل هذه المشاكل.

قبل البدء

المتطلبات

يجب استيفاء هذه الشروط من أجل مواجهة هذه المشكلة:

• ASA الذي يشغل الإصدار 8.4(4) أو إصدارا أعلى، أو تمت ترقيته إلى الإصدار 8.4(4) أو إصدارا أعلى من إصدار سابق.

• تم تكوين ASA بعنوان IP إحتياطي على واجهة واحدة على الأقل.

• شكلت nat مع القارن أعلاه بما أن ال يخطط قارن.

المكونات المستخدمة

أسست المعلومة في هذا وثيقة على هذا جهاز وبرمجية صيغة:

• ASAs التي تشغل الإصدار 8.4(4) أو أعلى

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

المشكلة

بما أن الخطأ يقترح، إن ال يخطط عنوان مدى في ساكن إستاتيكي nat يتضمن العنوان "إستعداد" يعين إلى ال يخطط قارن، ال nat أمر رفض. كان هذا تصرف دائما يتواجد ل ساكن إستاتيكي أيسر redirection، غير أن يتلقى يكون قدمت ل ساكن إستاتيكي واحد إلى واحد nat well with version 8.4(4) كإصلاح ل cisco بق id CSCtw82147 (يسجل زبون فقط).

تم تصنيف هذا الخطأ لأنه قبل 8.4(4) كان ASA يسمح للمستخدمين بتكوين العنوان المعين في تكوين ساكن إستاتيكي nat ليكون هو نفسه عنوان IP الاحتياطي الذي تم تعيينه للواجهة المعينة. مثلا، نظرت في هذا قصاصة التشكيل من ASA:

ciscoasa(config)# show run int e0/0
!
interface Ethernet0/0
 nameif vm
 security-level 0
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
ciscoasa(config)# show run nat
!
object network obj-10.76.76.160
 nat (tftp,vm) static 192.168.1.2

على الرغم من قبول الأمر، إلا أن تكوين NAT هذا لن يعمل أبدا حسب التصميم. ونتيجة لذلك، بدءا من 8.4(4)، لا يسمح ASA بتكوين قاعدة nat هذه في المقام الأول.

وقد أدى ذلك إلى مشكلة أخرى غير متوقعة. على سبيل المثال، ضع في الاعتبار السيناريو الذي يتضمن انتهاء نفق VPN للمستخدم على ASA ويريد السماح للشبكة الفرعية "الداخلية" بأن تكون قادرة على التحدث إلى الشبكة الفرعية لشبكة VPN البعيدة.

من بين الأوامر الأخرى المطلوبة لتكوين نفق VPN، واحد من التكوينات الأكثر أهمية هو التأكد من أن حركة مرور البيانات بين الشبكات الفرعية لشبكة VPN لا تحصل على NATed. يتم تنفيذ هذا الإجراء باستخدام 8.3 والإصدارات الأحدث باستخدام أمر NAT ثنائي/Manual بضعف هذا التنسيق:

interface Ethernet0/0
 nameif inside
 security-level 0
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!
object network obj-192.168.1.0
 description Inside subnet
 subnet 192.168.1.0 255.255.255.0
object network obj-10.10.10.0
 description Remote VPN subnet
 subnet 10.10.10.0 255.255.255.0
!
nat (inside,any) source static obj-192.168.1.0 obj-192.168.1.0 destination
   static obj-10.10.10.0 obj-10.10.10.0
!
object network obj-192.168.1.0
 nat (inside,outside) dynamic interface

عندما تتم ترقية ASA هذا إلى 8.4(4) أو أعلى، لن يكون هذا الأمر nat موجودا في config running-config الخاص ب ASA وسيتم طباعة هذا الخطأ على وحدة تحكم ASA:

ERROR: 192.168.1.0-192.168.1.255 overlaps with inside standby interface
   address
ERROR: NAT Policy is not downloaded

ونتيجة لذلك، لن يعود تدفق حركة المرور بين الشبكات الفرعية 192.168.1.0/24 و 10.10.10.0/24 يتدفق عبر نفق VPN.

الحل

هناك إثنان ممكن حل بديل لهذا الشرط:

• قم بتعيين الأمر nat بشكل محدد قدر الإمكان قبل الترقية إلى 8.4(4) حتى لا تكون الواجهة التي تم تعيينها "أي". على سبيل المثال، يمكن تغيير الأمر nat أعلاه إلى الواجهة التي من خلالها يمكن الوصول إلى الشبكة الفرعية لشبكة VPN البعيدة (المسماة "خارج" في السيناريو أعلاه):

  nat (inside,outside) source static obj-192.168.1.0 obj-192.168.1.0 destination
     static obj-10.10.10.0 obj-10.10.10.0

• إذا لم يكن الحل المذكور أعلاه ممكنا، أكمل الخطوات التالية:

  1. عندما يكون ASA قيد التشغيل 8.4(4) أو أعلى، قم بإزالة عنوان IP الاحتياطي المعين للواجهة.

  2. طبقت ال nat أمر.

  3. أعد تطبيق عنوان IP الاحتياطي على الواجهة.

  على سبيل المثال:

  ciscoasa(config)# interface Ethernet0/0
  ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
  ciscoasa(config-if)# exit
  ciscoasa(config)# nat (inside,any) 1 source static obj-192.168.1.0
     obj-192.168.1.0 destination static obj-10.10.10.0 obj-10.10.10.0
  ciscoasa(config)# interface Ethernet0/0
  ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
  

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems