Cisco ASA staattiset Nat-Asetukset
oppitunnin sisältö
aiemmilla tunneilla selitin, miten voit käyttää dynamic Natia tai Patia niin, että verkon sisällä olevat isännät tai palvelimet pääsevät ulkomaailmaan. Tämä on hienoa, mutta se on vain lähtevää liikennettä varten, tai “ASA terminologiassa”…liikennettä korkeammalta turvatasolta alemmalle turvatasolle.
mitä jos ulkopuolinen isäntä Internetissä haluaa päästä palvelimelle meidän sisällä tai DMZ? Tämä on mahdotonta vain dynamic NAT tai PAT. Kun haluamme saavuttaa tämän, meidän on tehtävä kaksi asiaa:
- Määritä staattinen NAT niin, että sisäinen palvelin on tavoitettavissa ulkopuolisen julkisen IP-osoitteen kautta.
- Määritä käyttöoikeuslista siten, että liikenne on sallittua.
staattisen NAT I: n osoittamiseen käytetään seuraavaa topologiaa:
yläpuolella on ASA-palomuuri, jossa on kaksi liitäntää; toinen DMZ: lle ja toinen ulkomaailmalle. Kuvittele, että R1 on webserver DMZ kun taas R2 on joitakin isäntä Internetissä, joka haluaa päästä meidän webserver. Konfiguroidaan palomuurimme niin, että tämä on mahdollista…
Staattinen Nat-konfiguraatio
ensin luomme verkkoobjektin, joka määrittelee “palvelimemme” DMZ: ssä ja määrittää myös, mihin IP-osoitteeseen se pitäisi kääntää. Tämä kokoonpano on ASA-versiolle 8.3 ja uudemmille:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
yllä oleva kokoonpano kertoo ASA: lle, että aina kun ulkolaite muodostaa yhteyden IP-osoitteeseen 192.168.2.200, se tulee kääntää IP-osoitteeseen 192.168.1.1. Tämä hoitaa natin, mutta meidän on vielä luotava pääsy-lista tai liikenne lopetetaan.:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
yllä oleva käyttöoikeusluettelo sallii minkä tahansa lähteen IP-osoitteen yhdistämisen IP-osoitteeseen 192.168.1.1. Kun käytät ASA-versiota 8.3 tai uudempaa, sinun on määritettävä “oikea” IP-osoite, ei “Nat translated” – osoite. Aktivoidaan tämä pääsylista:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
tämä mahdollistaa access-list ulkopuolella käyttöliittymä. Katsotaanpa telnet R2 R1 TCP-portti 80 nähdä, jos se toimii:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
hienoa, voimme yhdistää R2 R1, Katsotaanpa katsomaan ASA tarkistaa joitakin asioita:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
yllä näet staattisen Nat merkintä ja osuma access-lista. Kaikki toimii niin kuin pitääkin.
Staattinen NAT koko aliverkolle
edellinen esimerkki oli hieno, jos sinulla on vain muutama palvelin, sillä voit luoda pari staattista Nat-käännöstä ja tehdä sen. On toinenkin vaihtoehto, vaikka, se on myös mahdollista kääntää koko aliverkon koko joukko IP-osoitteita. Annan esimerkin siitä, mistä puhun.:
yllä oleva topologia on täsmälleen sama kuin edellisessä esimerkissä, mutta olen lisännyt DMZ: ään R3: n. Nyt kuvitella, että meidän ISP antoi meille joukon IP-osoitteita, sanotaan 10.10.10.0 / 24. Voimme käyttää tätä poolia kääntämään kaikki DMZ: n palvelimet, anna minun näyttää miten: