В данном документе мы рассмотрим примеры самых простых конфигураций для
сетевой трансляции адресов (Network Address Translation, NAT) и
трансляции портов (Port Address Translation, PAT) на Cisco PIX или
Cisco ASA. Для удобства и понимания ниже приведены сетевые диаграммы к
каждому рассматриваемому вопросу.
Несколько NAT и NAT 0
В этом примере ISP выдал
сетевому администратору диапазон IP адресов от 199.199.199.1 до
199.199.199.63. Администратор решил адрес 199.199.199.1 на внутренний
интерфейс Интернет роутера, а 199.199.199.2 на внешний интерфейс PIXа.
Сетевая диаграмма:
У
администратора уже есть внутренняя сеть класса C, 200.200.200.0/24, а
также имеются хосты в этой сети, использующие эти адреса для доступа в
Интернет. Этим хостам не нужна никакая трансляция адресов, так как они
уже имеют действительные маршрутизируемые адреса. Однако, новым
станциям назначаются адреса из пространства 10.0.0.0/8 и их необходимо
транслировать, поскольку, диапазон 10.x.x.x является не
маршрутизируемым адресным пространством (RFC 1918)
Для
того, чтобы обеспечить такой сетевой дизайн, вам как, сетевому
администратору, нужно использовать две NAT записи и один глобальный пул
при конфигурации PIX:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
Такая
конфигурация не транслирует адреса отправителей из сети
200.200.200.0/24. Она транслирует адреса отправителей сети 10.0.0.0/8 в
адресное пространство 199.199.199.3 – 199.199.199.62
Несколько глобальных пулов
В
этом примере у администратора есть два диапазона сетевых адресов
зарегистрированных в Интернет. И он должен конвертировать все
внутренние адреса из диапазона 10.0.0.0/8 в зарегистрированные адреса.
Диапазон IP адресов которые можно использовать – это от 199.199.199.1 до 199.199.199.62 и от 150.150.150.1 до 150.150.150.254.
Можно сделать так:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Данные операции говорят PIX транслировать любые внутренние SRC адреса, когда они будут выходит в Интернет.
Смесь NAT и PAT
В
этом примере ISP выдал сетевому администратору диапазон IP адресов от
199.199.199.1 до 199.199.199.63 для использование в компании.
Администратор решил адрес 199.199.199.1 на внутренний интерфейс
Интернет роутера, а 199.199.199.2 на внешний интерфейс PIXа
Однако
в данном сценарии, еще один частный сегмент подсоединен к Интернет
роутеру. Вероятно, не стоит растрачивать адреса из глобального пула,
когда эти сети будут обмениваться друг с другом данными. Однако все еще
необходимо транслировать все внутренние SRC адреса всех пользователей
(10.0.0.0/8) когда они выходят в Интернет.
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
Такая конфигурация НЕ транслирует
адреса пакетов, с адресом отправителя из сети 10.0.0.0/8 и адресом
получателя в сети 192.168.1.0/24, но транслирует SRC адреса любого
трафика инициированного из сети 10.0.0.0/8 и предназначенного куда
угодно, кроме сети 192.168.1.0/24 в адреса из диапазона от
199.199.199.1 до 199.199.199.63
Использование Полиси-NAT
Когда вы используете access-list с командой nat для любого NAT ID отличного от 0, вы включаете NAT по условию или полиси-NAT.
Полиси
NAT позволяет вам идентифицировать локальный трафик для трансляции
адресов, когда вы указываете адреса или порты отправителя или
получателя в access-list.
Все типы NAT поддерживают полиси-NAT кроме, NAT исключения (nat 0 access-list).
NAT исключение использует лист доступа для идентификации трафика,
который не нужно транслировать. В NAT 0 рассматриваются только адреса
источника и получателя. Порты источника и получателя не рассматриваются.
С
полиси NAT вы можете создать несколько NAT или статических записей для
одного и того же локального адреса, но так, чтобы комбинация src
port/dst port была уникальна.
В данном примере, мы организуем
доступ к IP адресу 209.165.201.11 port 80 (web) и port 23 (телнет), но
будем использовать два различных адреса как SRC IP адрес.
- IP 199.199.199.3 используется как SRC адрес для Web
- IP 199.199.199.4 используется как SRC адрес для Telnet
А также нам нужно транслировать все адреса из диапазона 10.0.0.0/8. Мы выполняем это следующим образом:
access-list WEB permit tcp 10.0.0.0 255.0.0.0 209.165.201.11 255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 209.165.201.11 255.255.255.255 eq 23
nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 199.199.199.3 255.255.255.192
global (outside) 2 199.199.199.4 255.255.255.192
Статический NAT
Статичный
NAT создает однозначное преобразование и транслирует определенный адрес
в другой адрес. Такой тип конфигурации создает постоянную запись в NAT
таблице и позволяет и внутреннему и внешним хостам инициировать
соединение.
Это
является наиболее полезной функцией для хостов, которые предоставляют
прикладные сервисы, такие как почта, Веб, FTP и т.д. В этом примере,
конфигурируется NAT, чтобы разрешить для внутренних и внешних
пользователей доступ к веб серверу в DMZ.
Статический NAT строится следующим образом; Обратите внимание на порядок отображаемого и настоящего IP адресов:
static (real_interface,mapped_interface) mapped_ip real_ip netmask mask
Ниже
создается статическая трансляция, чтобы дать пользователям на inside
интерфейсе доступ к серверам в DMZ. Она создает преобразование между
адресом на inside интерфейсе и адресом сервера в DMZ. Теперь
пользователи на inside сети смогут получить доступ к серверам в DMZ
через inside адрес.
static (DMZ,inside)10.0.0.10 192.168.100.10 netmask 255.255.255.255
Далее
создаем статическую трансляцию, чтобы дать пользователям на outside
интерфейсе доступ к серверам в DMZ. Она создает преобразование между
адресом на outside интерфейсе и адресом сервера в DMZ. Теперь
пользователи на outside сети смогут получить доступ к серверам в DMZ
через outside адрес.
static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255
Поскольку
outside имеет меньший уровень безопасности, чем DMZ, должен быть создан
access-list, чтобы разрешить доступ внешним пользователям к серверам в
DMZ. Этот access-list будет давать право выполнить преобразование
адресов в статической трансляции. Рекомендуется создавать access-list
настолько специфичным насколько это возможно. В примере ниже, любому
хосту разрешен доступ только к порту 80 (http) и 443 (https) на
веб-сервере.
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https
Затем этот access-list необходимо применить к outside интерфейсу
access-group OUTSIDE in interface outside
Источник: http://www.ciscolab.ru/
|
