Cisco ASA statisk nat konfiguration
lektionens indhold
i tidligere lektioner forklarede jeg, hvordan du kan bruge dynamic NAT eller PAT, så dine værter eller servere på indersiden af dit netværk kan få adgang til omverdenen. Dette er fantastisk, men det er kun for udgående trafik eller i “ASA-terminologi”…trafik fra et højere sikkerhedsniveau, der går til et lavere sikkerhedsniveau.
hvad hvis en ekstern vært på internettet ønsker at nå en server på vores indre eller DM? Dette er umuligt med kun dynamisk NAT eller PAT. Når vi ønsker at opnå dette, skal vi gøre to ting:
- Konfigurer statisk NAT, så den interne server kan nås via en ekstern offentlig IP-adresse.
- Konfigurer en adgangsliste, så trafikken er tilladt.
for at demonstrere statisk NAT vil jeg bruge følgende topologi:
ovenfor har vi vores Asa brandvæg med to grænseflader; en til DMR og en anden til omverdenen. Forestil dig, at R1 er en internetserver, mens R2 er en vært på internettet, der ønsker at nå vores internetserver. Lad os konfigurere vores brandvæg, så dette er muligt…
statisk nat-konfiguration
først opretter vi et netværksobjekt, der definerer vores “internetserver” i DMS og konfigurerer også til hvilken IP-adresse den skal oversættes. Denne konfiguration er til ASA version 8.3 og nyere:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
konfigurationen ovenfor fortæller ASA, at når en ekstern enhed opretter forbindelse til IP-adresse 192.168.2.200, skal den oversættes til IP-adresse 192.168.1.1. Dette tager sig af NAT, men vi er stadig nødt til at oprette en adgangsliste, ellers tabes trafikken:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
adgangslisten ovenfor tillader enhver kilde-IP-adresse at oprette forbindelse til IP-adresse 192.168.1.1. Når du bruger Asa version 8.3 eller nyere, skal du angive den “rigtige” IP-adresse, Ikke den “NAT oversatte” adresse. Lad os aktivere denne adgangsliste:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
Dette muliggør adgangslisten på den udvendige grænseflade. Lad os telnet fra R2 til R1 på TCP-port 80 for at se, om det fungerer:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
Store, Vi er i stand til at oprette forbindelse fra R2 til R1, lad os se på ASA for at verificere nogle ting:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
ovenfor kan du se den statiske nat-post og også hit på adgangslisten. Alt fungerer som det skal være.
statisk NAT for hele undernet
det forrige eksempel var fint, hvis du kun har et par servere, da du kan oprette et par statiske NAT-oversættelser og gøres med det. Der er dog en anden mulighed, det er også muligt at oversætte et helt undernet til en hel pulje af IP-adresser. Lad mig give dig et eksempel på, hvad jeg taler om:
topologien ovenfor er nøjagtig den samme som det foregående eksempel, men jeg har tilføjet R3 til DMSE. Forestil dig nu, at vores internetudbyder gav os en pulje af IP-adresser, lad os sige 10.10.10.0 /24. Vi kan bruge denne pulje til at oversætte alle serverne i DMS, lad mig vise dig hvordan: