[FIREWALL ASA] Bài 3: Network Address Translation ( NAT )

1209

Người viết bài : Tuấn
Tham khảo ebook:
– [Ebook] Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

Sơ đồ :

Mô tả:
Nếu chúng ta đã từng sử dụng các dòng PIX thì sẽ thấy rằng traffic khi đi từ vùng có security-level cao đến vùng có security-level thấp hơn sẽ dùng NAT. Tuy nhiên, với các dòng ASA hiện thời thì chúng ta có thể kiểm soát việc này bằng tinh năng NAT-control. Bài lab này sẽ hướng dẫn chúng ta thực hiện static NAT và dynamic NAT, dynamic PAT thông qua firewall ASA. Bên cạnh đó, chúng ta sẽ tìm hiểu về tính năng policy NAT/PAT qua firewall ASA.

Thực hiện:
Bước 1: Cấu hình cơ bản trên thiết bị firewall ASA
Đầu tiên chúng ta sẽ cấu hình địa chỉ IP và security-level trên 2 cổng GigabitEthernet0/0 và GigabitEthernet0/1.

Ở đây chúng ta sẽ phân biệt 3 vùng kết nối với firewall ASA đó là vùng thuộc về user là inside với dải IP là 192.168.1.0/24 và vùng DMZ bao gồm các server(mail server, WEB server) thuộc dải IP là 209.165.200.224/27 và vùng outside sẽ đi internet.

Tiếp theo chúng ta sẽ bật tinh năng NAT-control trên firewall ASA:

Tính năng này sẽ làm cho traffic đi từ vùng security-level cao đến vùng security-level thấp hơn bắt buộc sẽ phải NAT. Nếu chúng ta không muốn bật tính năng này có thể dùng command “no nat-control
Kiểm tra:
Đầu tiên chúng ta sẽ kiểm tra các địa chỉ IP đã được đặt lên cổng và trạng thái các cổng qua lệnh “show int ip brief”.

Tiếp theo chúng ta sẽ kiểm tra các kết nối từ firewall ASA tới các PC1 và mail server. Đầu tiền là kết nối tới PC1.

Tiếp theo chúng ta sẽ kiểm tra kết nối tới mail server.

Bước 2: Cấu hình static NAT
Thực hiện cấu hình static NAT đảm bảo yêu cầu sau:
PC1 sẽ truy cập đến mail server bằng địa chỉ 209.165.200.232.

Chúng ta sẽ cấu hình static NAT trên firewall ASA để đảm bảo yêu cầu đặt ra.

Cấu trúc của cấu hình static NAT là:

real_infc: tên interface kết nối với các host sẽ được nat ra bên ngoài.
mapped_infc: tên interface kết nối với các host mà ASA sẽ nat tới.
mapped_ip: các IP sau khi được nat ra.
real_ip [netmask mask] : địa chỉ sẽ được nat ra bên ngoài và subnet của IP đó.

Các option còn lại là TCP, UDP, DNS, là những option có thể tùy chọn để phù hợp với từng loại static NAT khác nhau.

Kiểm tra:
Chúng ta sẽ kiểm tra bằng cách xem bảng nat trong thiết bị firewall ASA với command “show xlate”.

Tiếp tục kiểm tra bằng việc ping kết nối từ PC1 đến mail server:

Như vậy là chúng ta đã static NAT thành công.

Bước 3: Cấu hình dynamic NAT
Thực hiện yêu cầu sau: để các PC thuộc subnet 192.168.1.0/24 có thể truy cập cả web server và mail server.

Chúng ta sẽ cấu hình dynamic NAT cho các địa chỉ thuộc subnet 192.168.1.0/24. Đầu tiên là định ra dải địa chỉ sẽ được NAT.

Cấu trúc của 1 câu lệnh dynamic NAT:

Chúng ta sẽ phân tích câu lệnh trên dưa vào cú pháp chuẩn của dynamic NAT:
inside : tên interface sẽ được NAT.
1 : đây là NAT ID.
192.168.1.0 255.255.255.0 : dải ip sẽ được NAT và subnet mask của IP đó.

Tiếp theo chúng ta sẽ cấu hình interface và dải địa chỉ sẽ được dịch ra tương ứng với dải địa chỉ của “real_ifc”.

Cấu trúc của câu lệnh :

Chúng ta hãy cùng phân tích câu lệnh vừa cấu hình:
dmz : interface sẽ dịch những địa chỉ IP của dải địa chỉ thuộc interface bên trong(inside) ra dải địa chỉ thuộc interface cần tới( ở đây là vùng DMZ).
1 : nat_id , thông số này phải khớp với lên NAT bên trên.
209.165.200.230-209.165.200.237 : dải địa chỉ sau khi được NAT.

Bước 4: Cấu hình dynamic PAT
Thực hiện yêu cầu cấu hình cho các máy thuộc dài địa chỉ 192.168.1.0/24 sẽ đi được internet.

Đầu tiên chúng ta sẽ cấu hình dải địa chỉ được phép đi internet:

Cấu trúc của câu lệnh tương tự như khi chúng ta thực hiên dynamic NAT. Dải địa chỉ thuộc vùng inside sẽ được NAT là 192.168.1.0/24.
Tiếp theo chúng ta sẽ cấu hình global interface để đi internet.

Tương tự như dynamic NAT thì cấu trúc câu lệnh của dynamic PAT là:

Ở đây có thêm 1 option nữa, thay vì chúng ta sẽ sử dụng “global_ip” thì ta có thể thay thế bằng chính interface kết nối.
Kiểm tra:


Chúng ta sẽ dùng PC1 để tiến hành ping DNS GOOGLE là 8.8.8.8

Chúng ta tiếp tục kiểm tra bảng NAT trên firewall ASA bằng command “show xlate”.

Đến đây thì chúng ta đã thực hiện PAT thành công!

Bước 5: Cấu hình policy NAT/PAT
Chúng ta sẽ tiếp tục thực hiện lại cấu hình đi internet đối với các máy thuộc vùng inside, tuy nhiên lần này chúng ta chỉ cho phép máy có địa chỉ IP 192.168.1.2/24 được phép đi internet còn các máy còn lại thì không. Chúng ta sẽ thực hiện cơ chế policy PAT để hoàn thành yêu cầu này.

Đầu tiên chúng ta sẽ tạo 1 Access-list để cho phép(permit) các địa chỉ được phép đi internet.

Tiếp theo chúng ta sẽ thực hiện policy PAT để cho phép địa chỉ này đi internet.

Chúng ta sẽ cùng điểm qua cấu trúc của 2 lệnh trên xem có sự khác biệt giữa PAT thông thường và policy PAT như sau:

Sự khác biệt ở đây chính là việc thêm vào access-list sẽ giúp cho quá trình PAT diễn ra một cách có chọn lọc. Những địa chỉ nào nằm trong access-list được liệt kê ở trên sẽ có thể được thực hiện PAT còn lại thì sẽ không thực hiện.

Kiểm tra:
Chúng ta sẽ kiểm tra chi tiết gói tin sẽ được lọc như thế nào qua command “show xlate debug” .

Đến đây là chúng ta đã cấu hình policy PAT thành công!

Đánh giá sao từ người đọc :
[ Tổng : 0 - Trung bình: 0 ]

2 COMMENTS

  1. Bạn cấu hình interface giga0/0 địa chỉ IP là 192.168.1.1 255.255.255.0 Sao lệnh “show int ip br” sao interface giga0/0 lại hiển thị địa chỉ là 192.168.10.1 255.255.255.0

LEAVE A REPLY