Cisco ASA Statisk NAT-Konfigurasjon
Leksjonsinnhold
I tidligere leksjoner forklarte jeg hvordan du kan bruke dynamic NAT eller PAT, slik at vertene eller serverne på innsiden av nettverket ditt kan få tilgang til omverdenen. Dette er flott, men det er bare for utgående trafikk eller I “ASA terminologi”…trafikk fra et høyere sikkerhetsnivå går til et lavere sikkerhetsnivå.
Hva om en ekstern vert på Internett ønsker å nå en server på innsiden eller DMZ? Dette er umulig med bare dynamisk NAT eller PAT. Når vi ønsker å oppnå dette må vi gjøre to ting:
- Konfigurer statisk NAT slik at den interne serveren kan nås via en ekstern offentlig IP-adresse.
- Konfigurer en tilgangsliste slik at trafikken er tillatt.
for å demonstrere statisk NAT vil jeg bruke følgende topologi:
Ovenfor har Vi VÅR ASA brannmur med to grensesnitt; en FOR DMZ og en annen for omverdenen. Tenk deg At R1 er en webserver på DMZ mens R2 er noen vert på Internett som ønsker å nå vår webserver. La oss konfigurere brannmuren slik at dette er mulig…
Statisk Nat-Konfigurasjon
først vil vi opprette et nettverksobjekt som definerer VÅR” webserver ” I DMZ og også konfigurere til HVILKEN IP-adresse den skal oversettes. Denne konfigurasjonen er FOR ASA versjon 8.3 og senere:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
konfigurasjonen ovenfor forteller ASA at når en ekstern enhet kobles TIL IP-adresse 192.168.2.200 at den skal oversettes TIL IP-adresse 192.168.1.1. Dette tar vare PÅ NAT, men vi må fortsatt opprette en tilgangsliste eller trafikken vil bli droppet:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
tilgangslisten ovenfor tillater at en hvilken som helst kilde-IP-adresse kobles til IP-adresse 192.168.1.1. NÅR DU bruker ASA versjon 8.3 eller senere må du angi” ekte “IP-adresse, ikke” nat oversatt ” adresse. La oss aktivere denne tilgangslisten:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
dette aktiverer tilgangslisten på det eksterne grensesnittet. La oss telnet Fra R2 Til R1 PÅ TCP port 80 for å se om det fungerer:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
Flott, vi kan koble Fra R2 Til R1, la OSS ta en titt PÅ ASA for å verifisere noen ting:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
Over kan du se den statiske nat-oppføringen og også treffet på tilgangslisten. Alt fungerer som det skal være.
Statisk NAT for hele delnett
det forrige eksemplet var fint hvis du bare har noen få servere siden du kan lage et par statiske nat-oversettelser og bli ferdig med det. Det er et annet alternativ, men det er også mulig å oversette et helt delnett til ET helt utvalg AV IP-adresser. La meg gi deg et eksempel på hva jeg snakker om:
topologien ovenfor er nøyaktig den samme som forrige eksempel, men jeg har lagt R3 TIL DMZ. Forestill deg nå at VÅR ISP ga oss ET basseng MED IP-adresser, la oss si 10.10.10.0 / 24. Vi kan bruke dette bassenget til å oversette alle serverne I DMZ, la meg vise deg hvordan: