Публикации помечены ‘NAT’В своих статьях Сергей описал о том, как настроить НАТ на АСА в версиях 8.3 и выше. Однако, в статье не освещается вопрос о подробностях … Итак, заинтересованным велком! Читать продолжение записи » Метки: ASA 8.3, NAT Вот мы и добрались до главного: а в какой же последовательности все это богатство трансляций обрабатывается? Глобально всю последовательность можно разделить на 3 больших блока: Да-да, именно так. И с до и после. По умолчанию трансляции Twice NAT добавляются в конец первой секции, но можно явно указать, в какое место их ставить (ура!) указав номер правила. Это очень предусмотрительно со стороны циски 🙂 потому что сами правила в I и III секциях (там, где Twice NAT) обрабатываются по порядку, в котором они записаны в конфиге. Как только совпадение будет найдено, заголовок пакета сразу транслируется и новый пакет отправляется по назначению. Мы можем принудительно записать трансляции Twice NAT и в третью секцию, указав ключевое слово Метки: ASA, ASA 8.3, NAT Пришло время добавить destination, а именно тут и начинается самое интересное. Рассмотрим для начала формат команды: Где Метки: ASA 8.3, NAT, Twice NAT С object NAT мы познакомились подробно в предыдущих статьях. Пришло время разобраться, что такое TWICE NAT и зачем он вообще нужен. При помощи данной конструкции можно сделать две принципиальные вещи, которые нельзя сделать при помощи object NAT: Рассмотрим формат команды для динамических трансляций NAT пока без указания сети назначения: Метки: ASA, ASA 8.3, NAT, Twice NAT, новый синтаксис Наверняка многие уже столкнулись с большими изменениями в синтаксисе настройки NAT при переходе от линейки ASA ОС 8.2 к 8.3. Трудно сказать, с чем связано такое резкое изменение подхода, но одно можно сказать уверенно: настройка стала менее понятна и прозрачна. Но это не повод вовсе не использовать версии 8.3, 8.4 и далее (вряд ли разработчики вернут старый синтаксис :)) Предлагаю постепенно, от простого к сложному, освоить новый синтаксис, ибо по нему регулярно возникают вопросы в форуме и необходимость статьи назрела. Даже перезрела, я бы сказал 🙂 Итак, cisco ввела два новых понятия: Object NAT и Twice NAT, заменив ими все предыдущие типы (Regular, Policy, Identity NAT). Для начала познакомимся с понятием object NAT, узнаем про последовательность обработки правил object NAT, потом познакомимся с TWICE NAT и в конце подведем черту: опишем всю последовательность правил NAT в новом синтаксисе. Планирую небольшой цикл статей — штуки 4, дабы не перегружать сразу читателей. Работать будем вот с такой топологией Рассмотрим простейшую задачу: выйти через ASA в интернет. Метки: ASA, ASA 8.3, NAT, новый синтаксис Трансляция сетевых адресов не является защитной технологией, однако она настолько часто применяется, что пропускать её не стоит. Все возможности трансляции сетевых адресов здесь описывать не буду, коснусь лишь самых частоиспользуемых. Трансляция сетевых адресов (Network Address Translation, NAT) как правило, требуется на границе между сетью компании и провайдером Интернет. Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» маршрутизатора, а внешняя трансляция подменяет адрес источника при проходе «внутрь». Направление определяется при помощи меток, написанных на интерфейсе Метки: NAT, защита, маршртизатор Кроме вышеперечисленных типичных трансляций встречаются еще и необычные задачи. Рассмотрим два случая, не перечисленных в предыдущих частях 1. Трансляция адресов между интерфейсами с одинаковым уровнем безопасности. Метки: ASA, NAT, SNAF Статические трансляции, в отличие от динамических, жестко связывают адреса (или адреса с портами). Именно эта их особенность позволяет инициировать сессии как изнутри, так и снаружи МСЭ. Но для того, чтобы раз и навсегда не путаться в написании статических трансляций, я научу вас их «читать» правильно. Итак, формат команды довольно прост: где
И читается трансляция так: Метки: ASA, NAT, SNAF, static Трансляция сетевых адресов (Network Address Translation, NAT), как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA. Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно). Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МСЭ. Метки: ASA, NAT, SNAF, динамические трансляции Наконец я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения. Задача 1. Требуется транслировать на R0:
Поскольку адрес интерфейса один, то естественно используется PAT.
Теперь нам, требуется указать для каждого интерфейса, участвующего в трансляции, является он внутренним (inside) или внешним (outside) для трансляции. Вроде все просто но вот незадача: интерфейс fa 0/1 нужно будет сделать одновременно inside и outside. Что невозможно, поскольку каждый интерфейс может быть либо inside, либо outside. Метки: ip nat enable, NAT, NVI, маршрутизатор |