Cisco ASA [Chapter 7.1] Basic ASA NAT Configuration

root · 14/05/2014

Basic ASA NAT Configuration

I. Giới thiệu về NAT trên Firewall ASA

- NAT: Chuyển đổi 1 địa chỉ IP thành 1 địa chỉ IP khác (IP Public thành Private, Private thành Private, Public thành Public…)
Vd: FPT hãy NAT giữa đường, NAT từ IP Public này sang IP public khác

1. NAT khác với Routing chỗ nào:
- Ví dụ:

Đối với NAT thì khi internet truy cập vào DMZ thì sẽ phải gõ 202.1.1.1. Nghĩa là user ngoài internet muốn nói chuyện với DMZ phải nói chuyện thông qua IP của firewall rồi sau đó firewall mới redirect gói tin đó đến DMZ.
Nhưng với Routing thì gõ trực tiếp IP của DMZ 202.2.2.2 thì có thể truy cập được. Nghĩa là một phiên làm việc trực tiếp sẽ được thiết lập giữa user ngoài internet và DMZ

- Vậy trong mô hình trên thì mình nên sử dụng NAT hay Route:

NAT an toàn Route
Nhưng NAT sẽ chậm hơn Route. Vì lúc này con Firewall phải lưu thêm 1 bảng trạng thái NAT chứa rất nhiều session nên việc user ngoài internet truy cập vào DMZ rất chậm.

=> Nên trong trương hợp này để tăng tốc độ truy cập chúng ta nên sử dụng Routing để user truy cập DMZ nhanh hơn. Nhưng đây chỉ là 1 front-server còn phần Database của server sẽ được đặt trong vùng inside (Từ vùng DMZ vào vùng inside thì mình dùng NAT để cho an toàn)

2. Lựa chọn topology để thiết kế:
- Theo bạn thì nên chọn mô hình 1 hay mô hình 2 ?

Mô hình 1

Mô Hình 2

- Tùy chính sách Routing của tưng cty mà các bạn áp dụng vị trí đặt FIREWALL.
- Đối với cty mà chỉ có 1 site: thì việc để Firewall ra trước hay ra sau Router đều được. Ở cty này chỉ cần 1 con Firewall cắm ra internet và 1 đầu cắm vào Core switch là được.

- Đối với cty đa site, có nhiều policy ra internet… thì bắt buộc các bạn phải đưa Router ra phía trước (vì có những chức năng mà Router làm được Firewall làm ko được).
- Đối với cty có nhiều site ra internet thì nên sử dụng Router phía trước để điều khiển luồng (Firewall chỉ để giám sát ko dùng để điều khiển luồng).
- Mô hình hiện tại sử dụng nhiều:

Từ Internet sẽ được nối với thiết bị Load Balance như: F5, Barracuda…
Sau đó đấu vào Router
Sau đó Router đấu vào Core Switch
Từ Core Swich bắt đầu mới thực hiện chia VLAN

3. Cisco ASA Firewall NAT Types

- Sơ đồ Firewall ASA NAT Types:

- Show bảng NAT

- Có 4 loại IP trong NAT

Inside Local: 192.168.2.23 địa chỉ được cấp phát cho các thiết bị inside và ko được quảng bá ra ngoài.
Inside Global: 203.10.5.23 là địa chỉ đại diện cho địa chỉ Inside Local để kết nối ra outside
Outside Global: 192.31.7.130 là địa chỉ được cấp phát cho các thiết bị trong mạng Outside và địa chỉ này ko được quảng cáo đến vùng Inside
Outside Local: 1.1.1.1 là địa chỉ đại diện cho outside global để kết nối với vùng Inside.

4. Có 4 kiểu NAT cơ bản:
- Static NAT ( 1- 1): Thường dùng để public server ra bên ngoài
- Dynamic NAT ( n – n)

Tạo ra ACL: để mô tả inside local
Pool: để mô tả inside Global
Được sử dụng trong trương hợp sợ bị Overlap IP

VD: khi xác nhập 2 cty, 2 chi nhánh… mà 1 bên có IP là 192.168.1.1 và bên kia cũng có IP là 192.168.1.1 thì khi xác nhập sẽ bị tình trạng Overlap.
- PAT ( Overload: n - 1): Nhờ thêm số port để phân biệt gói tin.

Nếu 2 PC sinh ra port giống nhau thì sao?
Router sẽ tự động đổi port cho PC bị trùng

- Dynamic Overload:

Giả sử sử dụng NAT PAT hết Range port thì sao?
Mua thêm IP public.
Lúc này nó trở thành NAT nhiều - nhiều là NAT dynamic nhưng bản thân bên trong nó sử dụng Port nữa.

=> Là sự kết hợp của Dynamic và PAT

5. NAT and TCP Load Distribute

- OutSide:

Packet 1,2,3,4,5 có chung 1 Des IP: 206.35.91.10 là địa chủ Inside Global

- Inside:

Khi Packet 1,2,3,4,5 đến Router nó thực hiện NAT các Packet như sau:
- Packet 1: Des IP: 192.168.50.1 webserver 1
- Packet 2: Des IP: 192.168.50.2 webserver 2
- Packet 3: Des IP: 192.168.50.3 webserver 3
- Packet 4: Des IP: 192.168.50.4 webserver 4
- Packet 5: Des IP: 192.168.50.1 webserver 1. Packet 5 lại quay về Server 1. Khi mà 4 web server giống nhau và được chia tải khi có quá nhiều truy cập từ bên ngoài vào.

=> Đây là hiện tượng giống Round-Robin. NAT loadbalancing

6. NAT and Virtual Server

- Outside:

Cùng đi đến 1 DesIP: 206.35.91.10 nhưng với số port khác nhau: packet 1 port 25, parket 2 port 80.

- Inside:

Lúc này, Router sẽ thực hiện NAT với số port là 25 thì cho vào Mail server: 192.168.50.1
Với port 80 thì NAT vào Web server

- Trưòng hợp này áp dụng cho các Server sử dụng số port cố định. Các dịch vụ như Voice, Chat, Conference… thì sử dụng port động thì ko nên áp dụng cho trường hợp này mà nên cấp cho các server này 1 IP cố định.

Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA

- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA

- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục

- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.

Tổng hợp Lab AAA - Authentication Authorization Accounting

phanphong · 24/06/2014

Những vấn đề chủ thớt ghi rất chi tiết . chủ thớt có làm thầy giáo không

root · 24/06/2014

phanphong nói:
Những vấn đề chủ thớt ghi rất chi tiết . chủ thớt có làm thầy giáo không

Hì chào bạn, mình chỉ là 1 người đa mê về IT thôi

nếu bạn cũng đa mê như mình thì chúng mình có thể kết bạn và làm lab ^^

phanphong · 25/06/2014

mình cũng đam mê IT . Công nghệ có luôn kéo theo mình phải khám phá nó. Vậy Mình kết bạn nhe

cuongpm · 03/11/2015

Add up lại ảnh bài này nhé. Mình cám ơn

root · 11/11/2015

cuongpm nói:
Add up lại ảnh bài này nhé. Mình cám ơn

Đã upload lại hình bài viết thanks bạn

Cisco ASA [Chapter 7.1] Basic ASA NAT Configuration

root

Specialist

Basic ASA NAT Configuration

I. Giới thiệu về NAT trên Firewall ASA

3. Cisco ASA Firewall NAT Types

5. NAT and TCP Load Distribute

6. NAT and Virtual Server

phanphong

Super Moderator

root

Specialist

phanphong

Super Moderator

cuongpm

Intern

root

Specialist