1. Tổng quan về NAT 1.1. Mô tả NAT Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh xạ có khả năng định tuyến trên mạng đích. Nat gồm có 2 bước: một tiến trình dịch địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại. PIX Firewall sẽ dịch địa chỉ khi một luật Nat kết hợp với packet. Nếu không có sự kết hợp với luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt Nat control. Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat hoặc các packets phải dừng lại. Nat có một số lợi ích như sau:  Bạn có thể sự dụng các địa chỉ riêng trên mạng inside. Các địa chỉ này không được định tuyến trên Internet  Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các mạng khác vì vậy các attacker không thể học được địa chỉ thực của một host inside  Có thể giải quyết vấn đề chồng chéo địa chỉ IP. 1.2. Nat control Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat. Bất cứ host nào trên mạng inside truy cập đến một host trên mạng outside đều phải được cấu hình dịch địa chỉ. Các interface có cùng mức an ninh thì không yêu cầu sử dụng Nat để truyền thông với nhau. Tuy nhiên nếu bạn cấu hình dynamic Nat hoặc Pat trên các interface có cùng mức an ninh thì tất cả các lưu lượng từ interface đến một interface có cùng mức an ninh hoặc outside interface cần phải kết hợp với một luật Nat Tương tự nếu kích hoạt outside dynamic Nat hoặc Pat thì tất cả các lưu lượng outside cần phải kết hợp với một luật Nat khi truy cập vào mạng inside 2. Các kiểu NAT 2.1 Dynamic NAT Dynamic Nat dịch một nhóm các địa chỉ thực thành một dải các địa chỉ được ánh xạ và có khả năng định tuyến trên mạng đích. Các địa chỉ được ánh xạ có thể ít hơn các địa chỉ thực. Khi một host muốn dịch địa chỉ khi truy cập vào mạng đích thì PIX sẽ gán cho nó một địa chỉ trong dải địa chỉ được ánh xạ. Translation chỉ được thêm vào khi host thực khởi tạo kết nối. Translation được duy trì trong suốt quá trình kết nối. Người sử dụng không thể giữ được địa chỉ IP khi Translation time out (hết thời gian). Người sử dụng trên mạng đích không thể khởi tạo kết nối đến host mà sử dụng dynamic Nat thậm chí kết nối này được phép bởi access list. (chỉ có thể khởi tạo kết nối trong suốt translation). Với Dynamic Nat mà dải địa chỉ được ánh xạ có số địa chỉ ít hơn số địa chỉ thực của mạng inside thì xảy ra tình trạng thiếu địa chỉ nếu số lưu lượng vượt qua mức mong muốn. 2.2. PAT PAT dịch một nhóm các địa chỉ thực thành một địa chỉ được ánh xạ. Đặc biệt, PIX dịch địa chỉ thực và port nguồn (real socket) thành địa chỉ được ánh xạ và một port duy nhất (mapped port) lớn hơn 1024. Mỗi một kết nối yêu cầu một translation riêng biệt bởi vì port nguồn là khác nhau cho mỗi kết nối. 2.3. Static NAT Static NAT tạo một translation cố định của một (hoặc nhiều) địa chỉ thực đến một (hoặc nhiều) địa chỉ được ánh xạ. Đối với Dynamic NAT hoặc PAT thì mỗi host sẽ sử dụng địa chỉ hoặc cổng khác nhau cho mỗi translation. Bởi vì địa chỉ được ánh xạ là như nhau cho các kết nối liên tục và tồn tại một translation cố định do đó với static Nat, người sử dụng ở mạng đích có thể khởi tạo một kết nối đến host được dịch (nếu accsess list) cho phép. 2.4. Static PAT Static PAT cũng tương tự như Static NAT, ngoại trừ chúng ta cần phải chỉ ra giao thức (TCP hoặc UDP) và cổng cho địa chỉ thực và địa chỉ được ánh xạ. 3. Cấu hình Nat Control Nat Control yêu cầu các packets truyền từ một inside interface đến outsite interface kết hợp với một luật Nat. Để kích hoạt Nat control sử dụng lệnh sau đây: hostname(config)# nat-control . Để disable Nat control sử dụng dạng no của lệnh này. 4. Sử dụng Dynamic NAT và PAT 4.1. Thực hiện Dynamic NAT và PAT + Đối với Dynamic NAT và PAT, trước hết cần cấu hình lệnh Nat để nhận diện các địa chỉ thực của các interface cần dịch. Sau đó cấu hình lệnh Global riêng biệt chỉ định các địa chỉ được ánh xạ. Mỗi lệnh Nat cần kết hợp với lệnh Global bởi một số được gọi là Nat ID – được chỉ ra trong mỗi lệnh Nat và global. + Chúng ta có thể nhập lệnh Nat cho mỗi interface có cùng Nat ID. Tất cả đều sử dụng cùng một lệnh Global có cùng Nat ID. hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10 + Chúng ta cũng có thể nhập lệnh global cho mỗi interface sử dụng cùng một Nat ID hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10 hostname(config)# global (dmz) 1 10.1.1.23 + Nếu chúng ta sử dụng các Nat ID khác nhau, chúng ta có thể thiết lập các địa chỉ thực khác nhau có các địa chỉ được ánh xạ khác nhau hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# nat (inside) 2 192.168.1.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10 hostname(config)# global (outside) 2 209.165.201.11 + Chúng ta có thể nhập nhiều lệnh global cho một interface sử dụng cùng một Nat ID. PIX Firewall sẽ sử dụng lệnh Global Dynamic Nat đầu tiên theo thứ tự chúng được cấu hình. Sau đó mới sử dụng đến lệnh global Dynamic PAT. Chúng ta có thể sử dụng cả hai lệnh Dynamic Nat global và Dynamic PAT global, nếu cần sử dụng Dynamic Nat cho một ứng dụng riêng biệt nào đó và tạo ra một trạng thái dự phòng bởi lệnh Dynamic PAT global khi lệnh Dynamic NAT global bị cạn kiệt địa chỉ. hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4 hostname(config)# global (outside) 1 209.165.201.5 + Đối với Nat outside ta sử dụng từ khóa outside trong lệnh Nat. hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 outside hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 hostname(config)# static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4 hostname(config)# global (inside) 1 10.1.2.30-1-10.1.2.40 4.2. Cấu hình Dynamic NAT và PAT Cấu hình Dynamic Nat và Pat cũng tương tự nhau. Đối với Nat thì sử dụng dải địa chỉ được ánh xạ còn Dynamic Pat thì chỉ sử dụng một địa chỉ đơn. + Chỉ các host được dịch mới có thể tạo một Nat session. Các địa chỉ được ánh xạ được gán động từ dải địa chỉ được định nghĩa bởi lệnh Global + Chỉ các host được dịch mới có thể tạo một Nat session. Các địa chỉ được ánh xạ được định nghĩa bởi lệnh global là như nhau cho mỗi translation còn các port thì được gán động. [...]...hostname(config)# nat (real_interface) nat_ id real_ip [mask [dns] [outside] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]] hostname(config)# global (mapped_interface) nat_ id {mapped_ip[-mapped_ip] | interface} 5 Sử dụng lệnh Static NAT Với Static Nat translation luôn luôn kích hoạt bởi vì các địa chỉ được ánh xạ được gán... lệnh static thì các kết nối đang tồn tại sử dụng translation này sẽ không bị ảnh hưởng nếu sử dụng lệnh clear xlate Hãy sử dụng lệnh Clear local – host Để cấu hình Static NAT sử dụng một trong hai lệnh sau:  Đối với policy Static Nat, nhập lệnh sau; hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} access-list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]]... mask nguồn được sử dụng trong access list cũng được sử dụng cho địa chỉ được ánh xạ Chúng ta cũng có thể chỉ định port thực và port nguồn trong access list sẻ dụng toán tử eq  Đối với regular Static Nat, nhập lệnh sau: hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} real_ip [netmask mask] [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] 6... thực thành port được ánh xạ Thông thường thì PAT dịch port thực thành một port được ánh xạ nhưng chúng ta cũng có thể chọn dịch một port thực thành một port như thế (cùng chỉ số port) Để cấu hình Static NAT sử dụng một trong hai lệnh sau:  Đối với policy Static PAT, nhập lệnh sau; hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip | interface} mapped_port access-list acl_name . 1. Tổng quan về NAT 1.1. Mô tả NAT Dịch địa chỉ là thay thế địa chỉ thực trong một packet. luật Nat kết hợp với packet. Nếu không có sự kết hợp với luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt Nat control. Nat