» » NAT и PAT для PIX и ASA 8.2

Лаборатория Сетей Cisco
 
 
 

NAT и PAT для PIX и ASA 8.2

Автор: HunSolo от 3-07-2013, 16:47, посмотрело: 4207

0 В данном документе мы рассмотрим примеры самых простых конфигураций для сетевой трансляции адресов (Network Address Translation, NAT) и трансляции портов (Port Address Translation, PAT) на Cisco PIX или Cisco ASA. Для удобства и понимания ниже приведены сетевые диаграммы к каждому рассматриваемому вопросу.

Несколько NAT и NAT 0

В этом примере ISP выдал сетевому администратору диапазон IP адресов от 199.199.199.1 до 199.199.199.63. Администратор решил адрес 199.199.199.1 на внутренний интерфейс Интернет роутера, а 199.199.199.2 на внешний интерфейс PIXа.
Сетевая диаграмма:

NAT и PAT для PIX и ASA 8.2

У администратора уже есть внутренняя сеть класса C, 200.200.200.0/24, а также имеются хосты в этой сети, использующие эти адреса для доступа в Интернет. Этим хостам не нужна никакая трансляция адресов, так как они уже имеют действительные маршрутизируемые адреса. Однако, новым станциям назначаются адреса из пространства 10.0.0.0/8 и их необходимо транслировать, поскольку, диапазон 10.x.x.x является не маршрутизируемым адресным пространством (RFC 1918)

Для того, чтобы обеспечить такой сетевой дизайн, вам как, сетевому администратору, нужно использовать две NAT записи и один глобальный пул при конфигурации PIX:

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0


Такая конфигурация не транслирует адреса отправителей из сети 200.200.200.0/24. Она транслирует адреса отправителей сети 10.0.0.0/8 в адресное пространство 199.199.199.3 – 199.199.199.62

Несколько глобальных пулов
В этом примере у администратора есть два диапазона сетевых адресов зарегистрированных в Интернет. И он должен конвертировать все внутренние адреса из диапазона 10.0.0.0/8 в зарегистрированные адреса.

NAT и PAT для PIX и ASA 8.2


Диапазон IP адресов которые можно использовать – это от 199.199.199.1 до 199.199.199.62 и от 150.150.150.1 до 150.150.150.254.
Можно сделать так:

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0 
nat (inside) 1 0.0.0.0 0.0.0.0 0 0


Данные операции говорят PIX транслировать любые внутренние SRC адреса, когда они будут выходит в Интернет.

Смесь NAT и PAT

В этом примере ISP выдал сетевому администратору диапазон IP адресов от 199.199.199.1 до 199.199.199.63 для использование в компании. Администратор решил адрес 199.199.199.1 на внутренний интерфейс Интернет роутера, а 199.199.199.2 на внешний интерфейс PIXа

NAT и PAT для PIX и ASA 8.2


Однако в данном сценарии, еще один частный сегмент подсоединен к Интернет роутеру. Вероятно, не стоит растрачивать адреса из глобального пула, когда эти сети будут обмениваться друг с другом данными. Однако все еще необходимо транслировать все внутренние SRC адреса всех пользователей (10.0.0.0/8) когда они выходят в Интернет.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0


Такая конфигурация НЕ транслирует адреса пакетов, с адресом отправителя из сети 10.0.0.0/8 и адресом получателя в сети 192.168.1.0/24, но транслирует SRC адреса любого трафика инициированного из сети 10.0.0.0/8 и предназначенного куда угодно, кроме сети 192.168.1.0/24 в адреса из диапазона от 199.199.199.1 до 199.199.199.63

Использование Полиси-NAT

Когда вы используете access-list с командой nat для любого NAT ID отличного от 0, вы включаете NAT по условию или полиси-NAT.
Полиси NAT позволяет вам идентифицировать локальный трафик для трансляции адресов, когда вы указываете адреса или порты отправителя или получателя в access-list.
Все типы NAT поддерживают полиси-NAT кроме, NAT исключения (nat 0 access-list). NAT исключение использует лист доступа для идентификации трафика, который не нужно транслировать. В NAT 0 рассматриваются только адреса источника и получателя. Порты источника и получателя не рассматриваются.

NAT и PAT для PIX и ASA 8.2


С полиси NAT вы можете создать несколько NAT или статических записей для одного и того же локального адреса, но так, чтобы комбинация src port/dst port была уникальна.

В данном примере, мы организуем доступ к IP адресу 209.165.201.11 port 80 (web) и port 23 (телнет), но будем использовать два различных адреса как SRC IP адрес.
  • IP 199.199.199.3 используется как SRC адрес для Web
  • IP 199.199.199.4 используется как SRC адрес для Telnet

А также нам нужно транслировать все адреса из диапазона 10.0.0.0/8. Мы выполняем это следующим образом:

access-list WEB permit tcp 10.0.0.0 255.0.0.0 209.165.201.11  255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 209.165.201.11  255.255.255.255 eq 23 

nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET

global (outside) 1 199.199.199.3 255.255.255.192
global (outside) 2 199.199.199.4 255.255.255.192


Статический NAT

Статичный NAT создает однозначное преобразование и транслирует определенный адрес в другой адрес. Такой тип конфигурации создает постоянную запись в NAT таблице и позволяет и внутреннему и внешним хостам инициировать соединение.

NAT и PAT для PIX и ASA 8.2


Это является наиболее полезной функцией для хостов, которые предоставляют прикладные сервисы, такие как почта, Веб, FTP и т.д. В этом примере, конфигурируется NAT, чтобы разрешить для внутренних и внешних пользователей доступ к веб серверу в DMZ.

Статический NAT строится следующим образом; Обратите внимание на порядок отображаемого и настоящего IP адресов:

static (real_interface,mapped_interface) mapped_ip real_ip netmask mask

Ниже создается статическая трансляция, чтобы дать пользователям на inside интерфейсе доступ к серверам в DMZ. Она создает преобразование между адресом на inside интерфейсе и адресом сервера в DMZ. Теперь пользователи на inside сети смогут получить доступ к серверам в DMZ через inside адрес.

static (DMZ,inside)10.0.0.10 192.168.100.10 netmask 255.255.255.255


Далее создаем статическую трансляцию, чтобы дать пользователям на outside интерфейсе доступ к серверам в DMZ. Она создает преобразование между адресом на outside интерфейсе и адресом сервера в DMZ. Теперь пользователи на outside сети смогут получить доступ к серверам в DMZ через outside адрес.

static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255


Поскольку outside имеет меньший уровень безопасности, чем DMZ, должен быть создан access-list, чтобы разрешить доступ внешним пользователям к серверам в DMZ. Этот access-list будет давать право выполнить преобразование адресов в статической трансляции. Рекомендуется создавать access-list настолько специфичным насколько это возможно. В примере ниже, любому хосту разрешен доступ только к порту 80 (http) и 443 (https) на веб-сервере.

access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https


Затем этот access-list необходимо применить к outside интерфейсу

access-group OUTSIDE in interface outside


Публикация статьи с сайта разрешено только при обязательном указании источника www.ciscolab.ru



Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Семьдесят одежек И все без застежек
Ответ:*
Введите два слова, показанных на изображении: *