Безопасность : Устройства защиты Cisco PIX серии 500

Использование инструкций NAT и PAT для брандмауэра Cisco Secure PIX

4 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (13 сентября 2013) | Английский (24 октября 2008) | Отзыв

Интерактивный документ: в данном документе содержится анализ конкретного устройства Cisco.


Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Несколько инструкций NAT с NAT 0
      Схема сети
Несколько глобальных пулов
      Схема сети
Комбинация глобальных инструкций NAT и PAT
      Схема сети
Несколько инструкций NAT со списком доступа NAT 0
      Схема сети
Использование Policy NAT
      Схема сети
Связанные обсуждения сообщества поддержки Cisco
Дополнительная информация

Введение

Данный документ содержит примеры основных конфигураций преобразования сетевых адресов (NAT) и преобразования адресов портов (PAT) в брандмауэре Cisco Secure PIX. Кроме того, в этом документе приведены упрощенные схемы сети. Дополнительную информацию см. в документации PIX вашей версии ПО PIX.

Дополнительную информацию об основных конфигурациях NAT и PAT для устройств безопасности Cisco PIX серии 500 см. в инструкции по PIX/ASA 7.x NAT и PAT.

Дополнительную информацию о командах nat, global, static, conduit и access-list и перенаправлении портов в PIX для ПО PIX 5.x и выше см. в разделе Использование команд nat, global, static, conduit, access-list и функции перенаправления портов в PIX.

Предварительные условия

Требования

Рекомендуется сначала ознакомиться с брандмауэром Cisco Secure PIX.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение брандмауэра Cisco Secure PIX версии 5.3.1 и выше.

Примечание: Policy NAT введено начиная с версии 6.2.

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе Технические советы Cisco. Условные обозначения.

Несколько инструкций NAT с NAT 0

Схема сети

19-1.gif

В этом примере поставщик услуг Интернета (ISP) предоставляет диспетчеру сети диапазон адресов (например 172.16.1.1 — 172.16.1.63). (ISP предоставляет публичные IP-адреса. Однако для цели обсуждения в данном документе используются частные IP-адреса.) Диспетчер сети решил присвоить 172.16.1.1 внутреннему интерфейсу интернет-маршрутизатора, а 172.16.1.2 — внешнему интерфейсу PIX.

Администратор сети уже имеет адрес класса C, назначенный сети, 192.168.10.0/24, а также некоторые рабочие станции, использующие эти адреса для доступа к Интернету. Этим рабочим станциям не требуется преобразование адреса, поскольку они уже имеют действительные адреса. Однако новым рабочим станциям назначаются адреса в сети 10.0.0.0/8, которые должны быть преобразованы (поскольку 10.x.x.x является одним из немаршрутизируемых адресных пространств согласно RFC 1918 leavingcisco.com).

Для согласования с этой структурой сети администратор сети должен использовать две инструкции NAT и один глобальный пул в конфигурации PIX:

global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
nat (inside) 0 192.168.10.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0 

Эта конфигурация не преобразует адрес источника любого трафика, исходящего из сети 192.168.10.0/24. Она преобразует адрес источника в сети 10.0.0.0/8 в адрес из диапазона 172.16.1.3 — 172.16.1.62.

Примечание: Если применяется интерфейс с политикой NAT и отсутствует глобальный пул для другого интерфейса, необходимо использовать nat 0, чтобы настроить исключение NAT.

Несколько глобальных пулов

Схема сети

19-2.gif

В этом примере диспетчер сети имеет два диапазона IP-адресов, зарегистрированных для Интернета. Диспетчер сети должен преобразовывать все внутренние адреса из диапазона 10.0.0.0/8 в зарегистрированные адреса. Диапазоны IP-адресов, которые должен использовать диспетчер сети: 172.16.1.1 — 172.16.1.62 и 172.20.1.1 — 172.20.1.254. Диспетчер сети может сделать это следующим образом:

global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
global (outside) 1 172.20.1.1-172.20.1.254  netmask 255.255.255.0 
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Обратите внимание, что в инструкции NAT используется схема адресации с маской шаблона. Эта инструкция указывает PIX на необходимость преобразовывать любой внутренний адрес источника при его подключение к Интернету. При необходимости в этой команде можно указывать конкретный адрес.

Комбинация глобальных инструкций NAT и PAT

Схема сети

19-3.gif

В этом примере поставщик услуг Интернета (ISP) предоставляет диспетчеру сети диапазон адресов 172.16.1.1 — 172.16.1.63 для использования организацией. Диспетчер сети решил использовать 172.16.1.1 для внутреннего интерфейса интернет-маршрутизатора, а 172.16.1.2 — для внешнего интерфейса PIX. Остается диапазон адресов 172.16.1.3 — 172.16.1.62, чтобы использовать для пула NAT. Однако диспетчеру сети известно, что в любой момент времени более 60 пользователей могут попытаться выйти за пределы PIX. Диспетчер сети решил использовать 172.16.1.62 и сделать его РАТ адресом, чтобы несколько пользователей могли одновременно использовать один адрес.

global (outside) 1 172.16.1.3-172.16.1.61  netmask 255.255.255.192
global (outside) 1 172.16.1.62  netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Эти команды указывают PIX на необходимость преобразовывать адрес источника 172.16.1.3 — 172.16.1.61 для первых 59 внутренних пользователей, выходящих за пределы PIX. После того как эти адреса будут заняты, PIX преобразует все последующие адреса источников к 172.16.1.62, пока не освободится один из адресов в пуле NAT.

Примечание: В инструкции NAT используется схема адресации с маской шаблона. Эта инструкция указывает PIX на необходимость преобразовывать любой внутренний адрес источника при его подключение к Интернету. При необходимости в этой команде можно указывать конкретный адрес.

Несколько инструкций NAT со списком доступа NAT 0

Схема сети

19-4.gif

В этом примере поставщик услуг Интернета (ISP) предоставляет диспетчеру сети диапазон адресов 172.16.1.1 — 172.16.1.63. Диспетчер сети решил присвоить 172.16.1.1 внутреннему интерфейсу интернет-маршрутизатора, а 172.16.1.2 — внешнему интерфейсу PIX.

Однако в этом сценарии другой частный сегмент локальной сети размещен после интернет-маршрутизатора. Диспетчер сети предпочитает не использовать адреса из глобального пула, если узлы в этих двух сетях обмениваются данными между собой. Диспетчеру сети по-прежнему необходимо преобразовывать адрес источника для всех внутренних пользователей (10.0.0.0/8) при их подключении к Интернету.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Эта конфигурация не преобразует адреса, где адрес источника 10.0.0.0/8, а адрес назначения 192.168.1.0/24. Она преобразует адрес источника любого трафика, исходящего из сети 10.0.0.0/8 и предназначенного любому адресату, кроме 192.168.1.0/24, в адрес из диапазона 172.16.1.3 — 172.16.1.62.

При наличии результата выполнения команды write terminal для устройства Cisco можно использовать средство интерпретации выходных данных (только для зарегистрированных пользователей).

Использование Policy NAT

Схема сети

19-2.gif

При использовании списка доступа с командой nat для любого идентификатора NAT, отличного от 0, включается Policy NAT.

Policy NAT позволяет идентифицировать локальный трафик для преобразования адреса путем указания адресов источника и назначения (или портов) в списке доступа. Обычное NAT использует адреса/порты только источника. Policy NAT использует адреса/порты источника и назначения.

Примечание: Все типы NAT поддерживают policy NAT кроме исключения NAT (список доступа nat 0). Исключение NAT использует список управления доступом, чтобы идентифицировать локальные адреса, но отличается от policy NAT тем, что не использует порты.

Используя policy NAT можно создавать несколько NAT или статических инструкций, которые идентифицируют один и тот же локальный адрес, пока комбинация источник/порт и назначение/порт остается уникальной для каждой инструкции. Затем можно сопоставить разные глобальные адреса каждой паре источник/порт и назначение/порт.

В этом примере диспетчер сети должен предоставить доступ IP-адресу назначения 172.30.1.11 к порту 80 (web) и порту 23 (Telnet), но должен использовать два разных IP-адреса в качестве адреса источника. 172.16.1.3 используется в качестве адреса источника для web, а 172.16.1.4 используется для Telnet и необходимо преобразовывать все внутренние адреса из диапазона 10.0.0.0/8. Диспетчер сети может сделать это следующим образом.

access-list WEB permit tcp 10.0.0.0 255.0.0.0 
172.30.1.11  255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 172.30.1.11  
255.255.255.255 eq 23 

nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 172.16.1.3  255.255.255.192
global (outside) 2 172.16.1.4  255.255.255.192

Вы можете использовать средство интерпретации выходных данных (только для зарегистрированных пользователей) для выявления проблем и поиска их решений.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительная информация


Document ID: 15243