Настройка Cisco ASA. Урок 2.1 Настройка динамической трансляции NAT
Версии Cisco ASA до 8.3
В этом разделе мы опишем динамическую трансляцию NAT с несколькими сценариями. Динамический NAT реализуется с помощью комбинации двух команд: «nat» и «global». Реальная IP-сеть, которая должна быть преобразована, определяется командой «nat», а пул сопоставленных IP-адресов, который будет использоваться для преобразования, определяется командой «global». Формат команд «nat» и «global», используемых в динамическом NAT, показан ниже:
ciscoasa(config)# nat (Настоящее_имя_интерфейса) “nat-id” “диапазон IP- адресов внутренней сети”
ciscoasa(config)# global (Имя_сопоставленного_интерфейса) “nat-id” “диапазон внешнего IP-пула”
Cisco ASA версии 8.3 и новее
В Cisco ASA версии 8.3 (анонсировано 8 марта 2010 г.) конфигурация NAT была полностью изменена. Команды «nat-control», «static» и «global» больше не доступны. Кроме того, в синтаксисе новой версии команда nat используется иначе. Если вы используете версию до 8.3 (например, 7.x, 8.0, 8.1, 8.2) и хотите обновить ее до 8.3, имейте в виду, что обновление памяти также требуется для моделей 5505, 5510, 5520, 5540. Также после обновления произойдет миграция старых операторов NAT на новые.
В версиях 8.3 и новее (включая версии 9.x) межсетевой экран ASA реализует NAT двумя способами:
- “Network object NAT”
- “Twice NAT”
Cisco рекомендует использовать «Network object NAT» вместо «Twice NAT», поскольку его проще настроить и он более надежен. С другой стороны, Twice NAT более масштабируем и имеет некоторые дополнительные функции, но более сложен, чем Network object NAT. В этом уроке мы сосредоточимся только на Network object NAT.
Конфигурация Network Object NAT
В основном вы настраиваете NAT под сетевым объектом. Сетевой объект сам определяет реальный IP-адрес/подсеть, который будет транслироваться. Кроме того, внутри сетевого объекта вы настраиваете команду «nat», которая определяет пару интерфейсов, между которыми будет выполняться NAT, и пул сопоставленных IP-адресов.
Шаг 1:
Создайте сетевые объекты для определения реальных IP-адресов и сопоставленных IP-адресов. Сетевые объекты могут содержать один IP-адрес (хост), сетевую подсеть или диапазон IP-адресов. Сетевой объект, определяющий реальные IP-адреса, должен также содержать оператор «nat».
ciscoasa(config)# object network [obj-name]
ciscoasa(config-network-object)# {host ip-addr | subnet net-addr net-mask | range ip1-ip2}
Шаг 2:
Затем мы настраиваем оператор «nat» внутри сетевого объекта, который определяет реальные IP-адреса.
ciscoasa(config-network-object)# nat (real if , mapped if) dynamic [mapped-ip | mapped-obj]
«real if» и «mapped if» определяют внутренний и внешний интерфейсы, соответственно, между которыми будет выполняться динамический NAT. После ключевого слова «dynamic» мы используем сопоставленный IP-адрес или сопоставленный сетевой объект, который определяет IP-адреса, в которые будут преобразованы реальные адреса. Вместо «real if» или «mapped if» мы можем использовать ключевое слово «any», чтобы указать любой интерфейс.
Сценарий 1: Простая динамическая внутренняя трансляция NAT
Версии Cisco ASA до 8.3
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 (Внутренняя сеть для трансляции)
ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0 (Внешний пул)
В приведенном выше сценарии межсетевой экран будет выполнять динамический NAT для всех внутренних хостов (192.168.1.0/24). Исходные IP-адреса исходящего трафика изнутри наружу будут преобразованы в адреса из внешнего глобального пула с 100.1.1.2 по 100.1.1.50. Обратите внимание на значение nat–id (1). Этот номер связывает команду nat с командой global. Его важность станет яснее в наших следующих сценариях.
Также обратите внимание на имена «inside» и «outside», используемые в командах nat и global. Это те имена, которые назначаются в конфигурации интерфейса с помощью команды «nameif».
Cisco ASA версии 8.3 и новее
ciscoasa(config)# object network mapped_public_pool (Создайте объект сопоставленных адресов)
ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50 (Внешний пул адресов)
ciscoasa(config)# object network my_internal_lan (Создайте объект реальных IP-адресов)
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 (Трансляция LAN) ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_public_pool
В приведенном выше примере внутренняя подсеть 192.168.1.0/24 будет скрыта за диапазоном общедоступных внешних адресов в диапазоне от 100.1.1.2 до 100.1.1.50. Трансляция динамического NAT будет происходить между внутренним и внешним интерфейсами.
Примечание: поскольку внутренняя сеть имеет больше IP-адресов, чем сопоставленный общий пул, мы можем использовать IP-адрес внешнего интерфейса в качестве запасного варианта NAT. После того как сопоставленные IP-адреса будут израсходованы, будет использоваться IP-адрес сопоставленного интерфейса (вне интерфейса ASA). См. ниже, как настроить динамический резерв NAT:
ciscoasa(config)# object network my_internal_lan (Создайте объект реальных IP-адресов)
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 (Трансляция LAN) ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_public_pool interface
Используйте ключевое слово «interface» сразу после сетевого объекта «mapped_public_pool».
