Cấu hình Policy NAT trên Cisco ASA Firewall

Thảo luận trong 'Mua bán, quảng cáo khác' bắt đầu bởi chuyenkhoedep, 12/5/21.

  1. chuyenkhoedep

    chuyenkhoedep New Member

    Như chúng ta đã biết, chức năng NAT thông thường trên các thiết bị Cisco (bộ định tuyến, tường lửa ASA, v.v.) chuyển địa chỉ IP NGUỒN sang đại chỉ khác. Ngoài ra còn có cái gọi là “NAT dựa trên đích” (hoặc có thể thấy nó được gọi là “NAT ngược”) thay đổi địa chỉ IP đích. Ở đây chúng ta sẽ xử lý NAT dựa trên nguồn thông thường bằng một chính sách.

    Đôi khi chúng ta cần thay đổi địa chỉ IP nguồn thành một địa chỉ nguồn khác (hãy gọi nó là “translated-A”) khi chúng ta đang giao tiếp với “destination-A” và cũng thay đổi IP nguồn thành “translated-B” khi chúng ta đang giao tiếp với "destination-B".

    Để rõ ràng hơn, chúng ta xem xét kịch bản như sau:
    • Khi máy chủ nội bộ 192.168.1.1 muốn giao tiếp với máy chủ bên ngoài 100.100.100.1, thì máy chủ nội bộ phải được dịch sang 50.50.50.1
    • Khi máy chủ nội bộ 192.168.1.1 muốn giao tiếp với máy chủ bên ngoài 200.200.200.1, thì máy chủ nội bộ phải được dịch sang 50.50.50.2
    Chúng ta có thể đạt được chức năng trên với NAT dựa trên chính sách (Policy-Based NAT).

    Configuration Example:

    Giả sử rằng máy chủ nội bộ 192.168.1.1 được kết nối với giao diện bên trong của ASA. Giả sử dãi IP Public đang có là 50.50.50.0/24. Chúng ta sẽ sử dụng dải IP Public để dịch máy chủ nội bộ của chúng ta theo đích.

    ! Đầu tiên, hãy tạo danh sách truy cập cho Policy NAT
    ASA-TGM(config)# access-list POLICYNAT-A extended permit ip host 192.168.1.1 host 100.100.100.1
    ASA-TGM(config)# access-list POLICYNAT-B extended permit ip host 192.168.1.1 host 200.200.200.1

    ! Bây giờ hãy tạo bản dịch NAT tĩnh cho Destination-A
    ASA-TGM(config)# static(inside,outside) 50.50.50.1 access-list POLICYNAT-A

    ! Bây giờ tạo bản dịch NAT tĩnh cho Destination-B
    ASA-TGM(config)# static(inside,outside) 50.50.50.2 access-list POLICYNAT-B

    Các lệnh trên sẽ thực hiện như sau: Khi địa chỉ nguồn là 192.168.1.1 và địa chỉ đích là 100.100.100.1, thì hãy thay đổi địa chỉ nguồn thành 50.50.50.1.

    Tương tự, khi địa chỉ nguồn là 192.168.1.1 và đích là 200.200.200.1, thì hãy thay đổi địa chỉ nguồn thành 50.50.50.2.

    Các lệnh nat tĩnh ở trên sẽ chỉ có hiệu lực khi và chỉ khi lưu lượng truy cập giữa các máy chủ được tham chiếu trong danh sách truy cập (hoặc lưu lượng truy cập vào hoặc ra).

    Chi tiết xem tại:

    - Cấu hình NAT, PAT và Policy NAT trên tường lửa Firewall Cisco ASA
     
    chuyenkhoedep, 12/5/21
    #1

trang này