root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Basic ASA NAT Configuration


I. Giới thiệu về NAT trên Firewall ASA


- NAT: Chuyển đổi 1 địa chỉ IP thành 1 địa chỉ IP khác (IP Public thành Private, Private thành Private, Public thành Public…)
Vd: FPT hãy NAT giữa đường, NAT từ IP Public này sang IP public khác

1. NAT khác với Routing chỗ nào:

- Ví dụ:
  • Đối với NAT thì khi internet truy cập vào DMZ thì sẽ phải gõ 202.1.1.1. Nghĩa là user ngoài internet muốn nói chuyện với DMZ phải nói chuyện thông qua IP của firewall rồi sau đó firewall mới redirect gói tin đó đến DMZ.
  • Nhưng với Routing thì gõ trực tiếp IP của DMZ 202.2.2.2 thì có thể truy cập được. Nghĩa là một phiên làm việc trực tiếp sẽ được thiết lập giữa user ngoài internet và DMZ
 basic configuration cisco asa (1)

- Vậy trong mô hình trên thì mình nên sử dụng NAT hay Route:
  • NAT an toàn Route
  • Nhưng NAT sẽ chậm hơn Route. Vì lúc này con Firewall phải lưu thêm 1 bảng trạng thái NAT chứa rất nhiều session nên việc user ngoài internet truy cập vào DMZ rất chậm.
=> Nên trong trương hợp này để tăng tốc độ truy cập chúng ta nên sử dụng Routing để user truy cập DMZ nhanh hơn. Nhưng đây chỉ là 1 front-server còn phần Database của server sẽ được đặt trong vùng inside (Từ vùng DMZ vào vùng inside thì mình dùng NAT để cho an toàn)

2. Lựa chọn topology để thiết kế:

- Theo bạn thì nên chọn mô hình 1 hay mô hình 2 ?
 basic configuration cisco asa (2)

Mô hình 1

 basic configuration cisco asa (3)

Mô Hình 2

- Tùy chính sách Routing của tưng cty mà các bạn áp dụng vị trí đặt FIREWALL.
- Đối với cty mà chỉ có 1 site: thì việc để Firewall ra trước hay ra sau Router đều được. Ở cty này chỉ cần 1 con Firewall cắm ra internet và 1 đầu cắm vào Core switch là được.
 basic configuration cisco asa (4)
- Đối với cty đa site, có nhiều policy ra internet… thì bắt buộc các bạn phải đưa Router ra phía trước (vì có những chức năng mà Router làm được Firewall làm ko được).
- Đối với cty có nhiều site ra internet thì nên sử dụng Router phía trước để điều khiển luồng (Firewall chỉ để giám sát ko dùng để điều khiển luồng).
- Mô hình hiện tại sử dụng nhiều:
  • Từ Internet sẽ được nối với thiết bị Load Balance như: F5, Barracuda…
  • Sau đó đấu vào Router
  • Sau đó Router đấu vào Core Switch
  • Từ Core Swich bắt đầu mới thực hiện chia VLAN
 basic configuration cisco asa (5)


3. Cisco ASA Firewall NAT Types


- Sơ đồ Firewall ASA NAT Types:
 basic configuration cisco asa (6)

- Show bảng NAT
 basic configuration cisco asa (7)

- Có 4 loại IP trong NAT
  • Inside Local: 192.168.2.23 địa chỉ được cấp phát cho các thiết bị inside và ko được quảng bá ra ngoài.
  • Inside Global: 203.10.5.23 là địa chỉ đại diện cho địa chỉ Inside Local để kết nối ra outside
  • Outside Global: 192.31.7.130 là địa chỉ được cấp phát cho các thiết bị trong mạng Outside và địa chỉ này ko được quảng cáo đến vùng Inside
  • Outside Local: 1.1.1.1 là địa chỉ đại diện cho outside global để kết nối với vùng Inside.
4. Có 4 kiểu NAT cơ bản:
- Static NAT ( 1- 1): Thường dùng để public server ra bên ngoài
- Dynamic NAT ( n – n)
  • Tạo ra ACL: để mô tả inside local
  • Pool: để mô tả inside Global
  • Được sử dụng trong trương hợp sợ bị Overlap IP
VD: khi xác nhập 2 cty, 2 chi nhánh… mà 1 bên có IP là 192.168.1.1 và bên kia cũng có IP là 192.168.1.1 thì khi xác nhập sẽ bị tình trạng Overlap.
- PAT ( Overload: n - 1): Nhờ thêm số port để phân biệt gói tin.
  • Nếu 2 PC sinh ra port giống nhau thì sao?
  • Router sẽ tự động đổi port cho PC bị trùng
- Dynamic Overload:
  • Giả sử sử dụng NAT PAT hết Range port thì sao?
  • Mua thêm IP public.
  • Lúc này nó trở thành NAT nhiều - nhiều là NAT dynamic nhưng bản thân bên trong nó sử dụng Port nữa.
=> Là sự kết hợp của Dynamic và PAT

5. NAT and TCP Load Distribute


 basic configuration cisco asa (8)

- OutSide:
  • Packet 1,2,3,4,5 có chung 1 Des IP: 206.35.91.10 là địa chủ Inside Global
- Inside:
  • Khi Packet 1,2,3,4,5 đến Router nó thực hiện NAT các Packet như sau:
    • Packet 1: Des IP: 192.168.50.1 webserver 1
    • Packet 2: Des IP: 192.168.50.2 webserver 2
    • Packet 3: Des IP: 192.168.50.3 webserver 3
    • Packet 4: Des IP: 192.168.50.4 webserver 4
    • Packet 5: Des IP: 192.168.50.1 webserver 1. Packet 5 lại quay về Server 1. Khi mà 4 web server giống nhau và được chia tải khi có quá nhiều truy cập từ bên ngoài vào.
=> Đây là hiện tượng giống Round-Robin. NAT loadbalancing

6. NAT and Virtual Server


 basic configuration cisco asa (9)

- Outside:
  • Cùng đi đến 1 DesIP: 206.35.91.10 nhưng với số port khác nhau: packet 1 port 25, parket 2 port 80.
- Inside:
  • Lúc này, Router sẽ thực hiện NAT với số port là 25 thì cho vào Mail server: 192.168.50.1
  • Với port 80 thì NAT vào Web server
- Trưòng hợp này áp dụng cho các Server sử dụng số port cố định. Các dịch vụ như Voice, Chat, Conference… thì sử dụng port động thì ko nên áp dụng cho trường hợp này mà nên cấp cho các server này 1 IP cố định.


Các bài lý thuyết trong
Module 7
: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:
Những vấn đề chủ thớt ghi rất chi tiết . chủ thớt có làm thầy giáo không
 
Những vấn đề chủ thớt ghi rất chi tiết . chủ thớt có làm thầy giáo không

Hì chào bạn, mình chỉ là 1 người đa mê về IT thôi :) nếu bạn cũng đa mê như mình thì chúng mình có thể kết bạn và làm lab ^^
 
mình cũng đam mê IT . Công nghệ có luôn kéo theo mình phải khám phá nó. Vậy Mình kết bạn nhe
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu