root
Specialist
Basic ASA NAT Configuration
I. Giới thiệu về NAT trên Firewall ASA
- NAT: Chuyển đổi 1 địa chỉ IP thành 1 địa chỉ IP khác (IP Public thành Private, Private thành Private, Public thành Public…)
Vd: FPT hãy NAT giữa đường, NAT từ IP Public này sang IP public khác
1. NAT khác với Routing chỗ nào:
- Ví dụ:
- Đối với NAT thì khi internet truy cập vào DMZ thì sẽ phải gõ 202.1.1.1. Nghĩa là user ngoài internet muốn nói chuyện với DMZ phải nói chuyện thông qua IP của firewall rồi sau đó firewall mới redirect gói tin đó đến DMZ.
- Nhưng với Routing thì gõ trực tiếp IP của DMZ 202.2.2.2 thì có thể truy cập được. Nghĩa là một phiên làm việc trực tiếp sẽ được thiết lập giữa user ngoài internet và DMZ
- Vậy trong mô hình trên thì mình nên sử dụng NAT hay Route:
- NAT an toàn Route
- Nhưng NAT sẽ chậm hơn Route. Vì lúc này con Firewall phải lưu thêm 1 bảng trạng thái NAT chứa rất nhiều session nên việc user ngoài internet truy cập vào DMZ rất chậm.
2. Lựa chọn topology để thiết kế:
- Theo bạn thì nên chọn mô hình 1 hay mô hình 2 ?
Mô hình 1
Mô Hình 2
- Đối với cty mà chỉ có 1 site: thì việc để Firewall ra trước hay ra sau Router đều được. Ở cty này chỉ cần 1 con Firewall cắm ra internet và 1 đầu cắm vào Core switch là được.
- Đối với cty đa site, có nhiều policy ra internet… thì bắt buộc các bạn phải đưa Router ra phía trước (vì có những chức năng mà Router làm được Firewall làm ko được).
- Đối với cty có nhiều site ra internet thì nên sử dụng Router phía trước để điều khiển luồng (Firewall chỉ để giám sát ko dùng để điều khiển luồng).
- Mô hình hiện tại sử dụng nhiều:
- Từ Internet sẽ được nối với thiết bị Load Balance như: F5, Barracuda…
- Sau đó đấu vào Router
- Sau đó Router đấu vào Core Switch
- Từ Core Swich bắt đầu mới thực hiện chia VLAN
3. Cisco ASA Firewall NAT Types
- Sơ đồ Firewall ASA NAT Types:
- Show bảng NAT
- Có 4 loại IP trong NAT
- Inside Local: 192.168.2.23 địa chỉ được cấp phát cho các thiết bị inside và ko được quảng bá ra ngoài.
- Inside Global: 203.10.5.23 là địa chỉ đại diện cho địa chỉ Inside Local để kết nối ra outside
- Outside Global: 192.31.7.130 là địa chỉ được cấp phát cho các thiết bị trong mạng Outside và địa chỉ này ko được quảng cáo đến vùng Inside
- Outside Local: 1.1.1.1 là địa chỉ đại diện cho outside global để kết nối với vùng Inside.
- Static NAT ( 1- 1): Thường dùng để public server ra bên ngoài
- Dynamic NAT ( n – n)
- Tạo ra ACL: để mô tả inside local
- Pool: để mô tả inside Global
- Được sử dụng trong trương hợp sợ bị Overlap IP
- PAT ( Overload: n - 1): Nhờ thêm số port để phân biệt gói tin.
- Nếu 2 PC sinh ra port giống nhau thì sao?
- Router sẽ tự động đổi port cho PC bị trùng
- Giả sử sử dụng NAT PAT hết Range port thì sao?
- Mua thêm IP public.
- Lúc này nó trở thành NAT nhiều - nhiều là NAT dynamic nhưng bản thân bên trong nó sử dụng Port nữa.
5. NAT and TCP Load Distribute
- OutSide:
- Packet 1,2,3,4,5 có chung 1 Des IP: 206.35.91.10 là địa chủ Inside Global
- Khi Packet 1,2,3,4,5 đến Router nó thực hiện NAT các Packet như sau:
- Packet 1: Des IP: 192.168.50.1 webserver 1
- Packet 2: Des IP: 192.168.50.2 webserver 2
- Packet 3: Des IP: 192.168.50.3 webserver 3
- Packet 4: Des IP: 192.168.50.4 webserver 4
- Packet 5: Des IP: 192.168.50.1 webserver 1. Packet 5 lại quay về Server 1. Khi mà 4 web server giống nhau và được chia tải khi có quá nhiều truy cập từ bên ngoài vào.
6. NAT and Virtual Server
- Outside:
- Cùng đi đến 1 DesIP: 206.35.91.10 nhưng với số port khác nhau: packet 1 port 25, parket 2 port 80.
- Lúc này, Router sẽ thực hiện NAT với số port là 25 thì cho vào Mail server: 192.168.50.1
- Với port 80 thì NAT vào Web server
Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
- [Chapter 7.1] Basic ASA NAT Configuration
- [Chapter 7.2] Cisco ASA NAT configuration
- [Chapter 7.3] config Dynamic NAT trên ASA 8.2
- [Chapter 7.4] config Static NAT trên ASA 8.2
- [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
- [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
- [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Module 7: Address Translation on Cisco ASA
- [Lab 7.1] configure dynamic nat on cisco asa 8.2
- [Lab 7.2] Configure static nat on cisco asa 8.2
- [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
- [Lab 7.4] Cisco ASA and nat port redirection draytek
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới