Mô tả NAT Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh xạ có khả năng định tuyến trên mạng đích.. Các kiểu NAT 2.1 Dynamic NAT Dynamic Nat dịch một nh
Trang 11 Tổng quan về NAT
1.1 Mô tả NAT
Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh xạ có khả năng định tuyến trên mạng đích Nat gồm có 2 bước: một tiến trình dịch địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại PIX Firewall sẽ dịch địa chỉ khi một luật Nat kết hợp với packet Nếu không có sự kết hợp với luật Nat thì tiến trình xử lý packet được tiếp tục Ngoại lệ là khi kích hoạt
Nat control Nat control yêu cầu các packets từ một interface có mức an ninh cao
hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat hoặc các packets phải dừng lại
Nat có một số lợi ích như sau:
Bạn có thể sự dụng các địa chỉ riêng trên mạng inside Các địa chỉ này không được định tuyến trên Internet
Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các mạng khác vì vậy các attacker không thể học được địa chỉ thực của một host inside
Có thể giải quyết vấn đề chồng chéo địa chỉ IP
Trang 21.2 Nat control
Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat Bất
cứ host nào trên mạng inside truy cập đến một host trên mạng outside đều phải được cấu hình dịch địa chỉ
Các interface có cùng mức an ninh thì không yêu cầu sử dụng Nat để truyền thông với nhau Tuy nhiên nếu bạn cấu hình dynamic Nat hoặc Pat trên các interface có cùng mức an ninh thì tất cả các lưu lượng từ interface đến một interface có cùng mức an ninh hoặc outside interface cần phải kết hợp với một luật Nat
Tương tự nếu kích hoạt outside dynamic Nat hoặc Pat thì tất cả các lưu lượng outside cần phải kết hợp với một luật Nat khi truy cập vào mạng inside
Trang 3
2 Các kiểu NAT
2.1 Dynamic NAT
Dynamic Nat dịch một nhóm các địa chỉ thực thành một dải các địa chỉ được ánh xạ và có khả năng định tuyến trên mạng đích Các địa chỉ được ánh xạ
có thể ít hơn các địa chỉ thực Khi một host muốn dịch địa chỉ khi truy cập vào mạng đích thì PIX sẽ gán cho nó một địa chỉ trong dải địa chỉ được ánh xạ
Translation chỉ được thêm vào khi host thực khởi tạo kết nối Translation được
duy trì trong suốt quá trình kết nối Người sử dụng không thể giữ được địa chỉ IP
khi Translation time out (hết thời gian) Người sử dụng trên mạng đích không thể
khởi tạo kết nối đến host mà sử dụng dynamic Nat thậm chí kết nối này được phép bởi access list (chỉ có thể khởi tạo kết nối trong suốt translation)
Trang 4Với Dynamic Nat mà dải địa chỉ được ánh xạ có số địa chỉ ít hơn số địa chỉ thực của mạng inside thì xảy ra tình trạng thiếu địa chỉ nếu số lưu lượng vượt qua mức mong muốn
2.2 PAT
PAT dịch một nhóm các địa chỉ thực thành một địa chỉ được ánh xạ Đặc biệt, PIX dịch địa chỉ thực và port nguồn (real socket) thành địa chỉ được ánh xạ và một port duy nhất (mapped port) lớn hơn 1024 Mỗi một kết nối yêu cầu một translation riêng biệt bởi vì port nguồn là khác nhau cho mỗi kết nối
2.3 Static NAT
Static NAT tạo một translation cố định của một (hoặc nhiều) địa chỉ thực đến một (hoặc nhiều) địa chỉ được ánh xạ Đối với Dynamic NAT hoặc PAT thì mỗi host
sẽ sử dụng địa chỉ hoặc cổng khác nhau cho mỗi translation Bởi vì địa chỉ được ánh xạ là như nhau cho các kết nối liên tục và tồn tại một translation cố định do đó với static Nat, người sử dụng ở mạng đích có thể khởi tạo một kết nối đến host được dịch (nếu accsess list) cho phép
2.4 Static PAT
Static PAT cũng tương tự như Static NAT, ngoại trừ chúng ta cần phải chỉ ra giao thức (TCP hoặc UDP) và cổng cho địa chỉ thực và địa chỉ được ánh xạ
3 Cấu hình Nat Control
Nat Control yêu cầu các packets truyền từ một inside interface đến outsite
interface kết hợp với một luật Nat Để kích hoạt Nat control sử dụng lệnh sau đây:
hostname(config)# nat-control Để disable Nat control sử dụng dạng no của lệnh
này
4 Sử dụng Dynamic NAT và PAT
4.1 Thực hiện Dynamic NAT và PAT
Trang 5+ Đối với Dynamic NAT và PAT, trước hết cần cấu hình lệnh Nat để nhận diện các địa chỉ thực của các interface cần dịch Sau đó cấu hình lệnh Global riêng biệt chỉ định các địa chỉ được ánh xạ Mỗi lệnh Nat cần kết hợp với lệnh Global bởi một số được gọi là Nat ID – được chỉ ra trong mỗi lệnh Nat và global
+ Chúng ta có thể nhập lệnh Nat cho mỗi interface có cùng Nat ID Tất cả đều sử dụng cùng một lệnh Global có cùng Nat ID
Trang 6hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
+ Chúng ta cũng có thể nhập lệnh global cho mỗi interface sử dụng cùng một Nat
ID
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
Trang 7hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
hostname(config)# global (dmz) 1 10.1.1.23
+ Nếu chúng ta sử dụng các Nat ID khác nhau, chúng ta có thể thiết lập các địa chỉ
thực khác
nhau có
các địa
chỉ được
ánh xạ
khác
nhau
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (inside) 2 192.168.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
hostname(config)# global (outside) 2 209.165.201.11
+ Chúng ta có thể nhập nhiều lệnh global cho một interface sử dụng cùng một Nat
ID PIX Firewall sẽ sử dụng lệnh Global Dynamic Nat đầu tiên theo thứ tự chúng được cấu hình Sau đó mới sử dụng đến lệnh global Dynamic PAT Chúng ta có thể sử dụng cả hai lệnh Dynamic Nat global và Dynamic PAT global, nếu cần sử dụng Dynamic Nat cho một ứng dụng riêng biệt nào đó và tạo ra một trạng thái dự phòng bởi lệnh Dynamic PAT global khi lệnh Dynamic NAT global bị cạn kiệt địa chỉ
Trang 9hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (outside) 1 209.165.201.5
+ Đối với Nat outside ta sử dụng từ khóa outside trong lệnh Nat
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 outside
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255
Trang 10hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (inside) 1 10.1.2.30-1-10.1.2.40
4.2 Cấu hình Dynamic NAT và PAT
Cấu hình Dynamic Nat và Pat cũng tương tự nhau Đối với Nat thì sử dụng dải địa chỉ được ánh xạ còn Dynamic Pat thì chỉ sử dụng một địa chỉ đơn
+ Chỉ các host được dịch mới có thể tạo một Nat session Các địa chỉ được ánh xạ được gán động từ dải địa chỉ được định nghĩa bởi lệnh Global
+ Chỉ các host được dịch mới có thể tạo một Nat session Các địa chỉ được ánh xạ được định nghĩa bởi lệnh global là như nhau cho mỗi translation còn các port thì được gán động
Trang 11hostname(config)# nat (real_interface) nat_id real_ip [mask [dns] [outside] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]]
hostname(config)# global (mapped_interface) nat_id {mapped_ip[-mapped_ip] | interface}
5 Sử dụng lệnh Static NAT
Với Static Nat translation luôn luôn kích hoạt bởi vì các địa chỉ được ánh xạ được gán tĩnh từ lệnh Static
+ Không được sử dụng cùng địa chỉ thực hoặc địa chỉ được ánh xạ trong nhiều lệnh static giữa 2 interface cùng nhau Không được sử dụng một địa chỉ được ánh
xạ trong lệnh static mà nó đã được định nghĩa trong lệnh global đối với cùng interface được ánh xạ
+ Nếu gỡ lệnh static thì các kết nối đang tồn tại sử dụng translation này sẽ không
bị ảnh hưởng nếu sử dụng lệnh clear xlate Hãy sử dụng lệnh Clear local – host
Để cấu hình Static NAT sử dụng một trong hai lệnh sau:
Đối với policy Static Nat, nhập lệnh sau;
hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface}
access-list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
udp_max_conns]
Tạo access list sử dụng lệnh access – list Lệnh access – list này chỉ bao gồm các ACEs permit Subnet mask nguồn được sử dụng trong access list cũng được sử dụng cho địa chỉ được ánh xạ Chúng ta cũng có thể chỉ định port
thực và port nguồn trong access list sẻ dụng toán tử eq
Đối với regular Static Nat, nhập lệnh sau:
Trang 12hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} real_ip [netmask mask] [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
udp_max_conns]
6 Sử dụng Static PAT
Static PAT sẽ dịch địa chỉ thực thành một địa chỉ IP được ánh xạ cũng như port thực thành port được ánh xạ Thông thường thì PAT dịch port thực thành một port được ánh xạ nhưng chúng ta cũng có thể chọn dịch một port thực thành một port như thế (cùng chỉ số port)
Để cấu hình Static NAT sử dụng một trong hai lệnh sau:
Đối với policy Static PAT, nhập lệnh sau;
hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |
interface} mapped_port access-list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]
Tạo access list sử dụng lệnh access – list Lệnh access – list này chỉ bao gồm các ACEs permit Subnet mask nguồn được sử dụng trong access list cũng được sử dụng cho địa chỉ được ánh xạ Chúng ta cũng có thể chỉ định port
thực và port nguồn trong access list sẻ dụng toán tử eq
Đối với regular Static PAT, nhập lệnh sau:
hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |
interface} mapped_port real_ip real_port [netmask mask] [dns] [norandomseq] [[tcp]
tcp_max_conns [emb_limit]] [udp udp_max_conns]