Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Инструкции NAT и PAT PIX/ASA 7.x

4 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Интерактивный: в данном документе содержится анализ конкретного устройства Cisco.


Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Команда nat-control
      Несколько инструкций NAT с NAT 0
Несколько глобальных пулов
      Схема сети
Смешанное использование глобальных инструкций NAT и PAT
      Схема сети
Несколько инструкций NAT с NAT 0 Access-List
      Схема сети
Использование политики NAT
      Схема сети
Статическое преобразование сетевых адресов (NAT)
      Схема сети
Проверка
Поиск и устранение неисправностей
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

Данный документ содержит примеры основных конфигураций преобразования сетевых адресов (NAT) и преобразования адресов портов (PAT) в брандмауэрах Cisco PIX серии 500. В документе приведены упрощенные схемы сетей. Дополнительную информацию см. в документации PIX вашей версии ПО PIX.

См. Использование команд nat, global, static, conduit, access-list и функции перенаправления портов в PIX, чтобы получить дополнительную информацию о командах nat, global, static, conduit и access-list и перенаправлении портов в PIX, начиная с версии 5.x.

Дополнительную информацию об основных конфигурациях NAT и PAT для брандмауэра Cisco Secure PIX см. в документе Использование инструкций NAT и PAT для брандмауэра Cisco Secure PIX.

Предварительные условия

Требования

Для работы с этим документом необходимо иметь представление о Security Appliances Cisco PIX серии 500.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения:

  • ПО Security Appliances Cisco PIX серии 500 начиная с версии 7.0.

Примечание. Политика NAT добавлена начиная с версии 6.2.

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в документе Технические рекомендации Cisco. Условные обозначения.

Команда nat-control

Команда nat-control в PIX указывает на то, что у всего трафика, идущего через брандмауэр, должна быть определенная запись преобразования (инструкция nat с инструкцией проверки соответствия global или static); в таком случае он сможет пройти через брандмауэр. Команда nat-control обеспечивает такой же способ преобразования, как и в в брандмауэрах PIX с версиями ПО, предшествующими 7.0. По умолчанию в конфигурации PIX 7.0 используется команда no nat-control. В брандмауэре PIX версии 7.0 можно изменить данное поведение посредством ввода команды nat-control.

При отключении nat-control PIX пересылает пакеты с более защищенного интерфейса на менее защищенный интерфейс без наличия специальной записи преобразования в конфигурации. Для того, чтобы трафик проходил с менее защищенного интерфейса на более защищенный, необходимо использовать списки доступа. В результате PIX будет пересылать трафик. В данном документе акцентируется внимание на поведении брандмауэра PIX при включении nat-control.

Несколько инструкций NAT с NAT 0

Схема сети

pix70-nat-pat-1.gif

В этом примере провайдер ISP обеспечил диспетчера сети диапазоном адресов от 199.199.199.1 до 199.199.199.63. Диспетчер сети решил присвоить 199.199.199.1 внутреннему интерфейсу маршрутизатора Интернета и 199.199.199.2 внешнему интерфейсу PIX.

Администратор сети уже назначил сети адрес класса C, 200.200.200.0/24, а некоторые рабочие станции используют эти адреса для доступа к Интернету. Этим рабочим станциям не требуется преобразование адреса, поскольку им уже присвоены действительные адреса. Однако новым рабочим станциям назначаются адреса сети 10.0.0.0/8, которые требуют преобразования (поскольку 10.x.x.x является одним из немаршрутизируемых адресных пространств согласно RFC 1918 leavingcisco.com).

Для согласования с этой структурой сети администратор сети должен использовать в конфигурации PIX две инструкции NAT и один глобальный пул, как показано в следующих выходных данных:

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

nat (inside) 0 200.200.200.0 255.255.255.0 0 0

nat (inside) 1 10.0.0.0 255.0.0.0 0 0 

Эта конфигурация не преобразует адрес источника трафика, исходящего из сети 200.200.200.0/24. Она преобразует адрес источника из сети 10.0.0.0/8 в адрес из диапазона от 199.199.199.3 до 199.199.199.62.

Ниже приведено подробное разъяснение применения этой конфигурации с использованием Adaptive Security Device Manager (ASDM).

Примечание. Выполните все изменения конфигурации с использованием либо интерфейса командной строки, либо ASDM. Использование для изменения конфигурации и интерфейса командной строки, и ASDM может привести к неустойчивой работе с параметрами, измененными при помощи ASDM. Это не является ошибкой, но происходит вследствие особенностей работы ASDM.

Примечание. При открытии приложения ASDM оно импортирует текущую конфигурацию из PIX и пользуется этой конфигурацией при внесении и применении изменений. Если в PIX внесены изменения при открытой сессии ASDM, приложение ASDM больше не работает с тем, что оно "считает" текущей конфигурацией PIX. При внесении изменений в конфигурацию при помощи интерфейса командной строки следует убеждаться в закрытии всех сеансов ASDM. При необходимости работы с использованием графического интерфейса ASDM следует открыть снова.

  1. Запустите ASDM, перейдите на вкладку Configuration и щелкните NAT.

  2. Для создания нового правила щелкните Add.

    pix70-nat-pat-2.gif

  3. Откроется новое окно, которое позволит пользователю изменять параметры NAT для данной записи NAT. В данном примере используйте NAT для пакетов, поступающих на внутренний интерфейс, источником которых является сеть 10.0.0.0/24.

    PIX преобразует эти пакеты в динамический пул IP-адресов внешнего интерфейса. После ввода информации, описывающей трафик, подвергающийся NAT, следует определить пул IP-адресов для преобразуемого трафика. Для добавления нового пула IP-адресов щелкните Manage Pools.

    pix70-nat-pat-3.gif

  4. Выберите outside и щелкните Add.

    pix70-nat-pat-4.gif

  5. Укажите диапазон IP-адресов для пула и присвойте пулу уникальный целочисленный идентификатор.

    pix70-nat-pat-5.gif

  6. После ввода соответствующих значений щелкните OK, после чего увидите новый пул, заданный для внешнего интерфейса.

    pix70-nat-pat-6.gif

  7. После определения пула щелкните OK, чтобы вернуться к окну настройки правил NAT.

    Убедитесь в том, что в выпадающем меню Address Pool выбран только что созданный пул.

    pix70-nat-pat-7.gif

  8. Сейчас было создано преобразование NAT для пакетов, идущих через брандмауэр. Однако необходимо создать запись NAT, которая определяет трафик, не подвергающийся NAT. Щелкните переключатель Translation Exemption Rules, расположенный в верхней части окна. Затем для создания нового правила щелкните Add.

    pix70-nat-pat-8.gif

  9. В качестве источника выберите интерфейс inside и укажите подсеть 200.200.200.0/24. Оставьте установленные по умолчанию значения поля "When connecting".

    pix70-nat-pat-9.gif

  10. На данном этапе определены правила NAT. Для применения изменений к текущей рабочей конфигурации брандмауэра щелкните Apply.

    Приведенные выходные данные показывают фактические добавления в конфигурацию PIX. Их вид немного отличается от результатов команд, введенных вручную, однако сами данные одинаковы.

    access-list inside_nat0_outbound extended permit 
    ip 200.200.200.0 255.255.255.0 any
    
    global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
    
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 10.0.0.0 255.255.255.0

Несколько глобальных пулов

Схема сети

pix70-nat-pat-10.gif

В этом примере диспетчер сети имеет два диапазона IP-адресов, зарегистрированных для Интернета. Диспетчер сети должен преобразовывать все внутренние адреса из диапазона 10.0.0.0/8 в зарегистрированные адреса. Диапазон IP адресов, которые должен использовать диспетчер сети: от 199.199.199.1 до 199.199.199.62 и от 150.150.150.1 до 150.150.150.254. Диспетчер сети может сделать это следующим образом:

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Примечание. В инструкции NAT используется схема адресации с символом подстановки. Эта инструкция указывает PIX на необходимость преобразовывать адрес любого внутреннего источника при его подключении к Интернету. При необходимости в этой команде можно указывать более конкретный адрес.

Смешанное использование глобальных инструкций NAT и PAT

Схема сети

pix70-nat-pat-11.gif

В этом примере ISP обеспечил диспетчера сети диапазоном адресов от 199.199.199.1 до 199.199.199.63 для использования компанией. Диспетчер сети решил использовать 199.199.199.1 для внутреннего интерфейса Интернет-маршрутизатора, а 199.199.199.2 — для внешнего интерфейса PIX. Для использования пула NAT остается диапазон адресов от 199.199.199.3 до 199.199.199.62. Однако диспетчеру сети известно, что в любой момент времени за пределы PIX могут попытаться выйти более 60 пользователей. Поэтому диспетчер сети решил использовать 199.199.199.62 и сделать его адресом РАТ, чтобы несколько пользователей могли одновременно использовать один адрес.

global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192

global (outside) 1 199.199.199.62 netmask 255.255.255.192

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Эти команды указывают PIX на необходимость преобразовывать адреса источников в адреса от 199.199.199.3 до 199.199.199.61 для первых 59 внутренних пользователей, выходящих за пределы PIX. После того, как эти адреса будут заняты, PIX преобразует все последующие адреса источников в 199.199.199.62, пока не освободится один из адресов в пуле NAT.

Примечание. В инструкции NAT используется схема адресации с символом подстановки. Эта инструкция указывает PIX на необходимость преобразовывать адрес любого внутреннего источника при его подключении к Интернету. При необходимости в этой команде можно указывать более конкретный адрес.

Несколько инструкций NAT с NAT 0 Access-List

Схема сети

pix70-nat-pat-12.gif

В этом примере ISP обеспечил диспетчера сети диапазоном адресов от 199.199.199.1 до 199.199.199.63. Диспетчер сети решил присвоить 199.199.199.1 внутреннему интерфейсу маршрутизатора Интернета и 199.199.199.2 внешнему интерфейсу PIX.

Однако в этом случае другой сегмент частной локальной сети размещен за Интернет-маршрутизатором. Диспетчер сети предпочитает не использовать адреса из глобального пула, если узлы в этих двух сетях обмениваются данными между собой. Диспетчеру сети по-прежнему необходимо преобразовывать адреса источников для всех внутренних пользователей (10.0.0.0/8) при их подключении к Интернету.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192

nat (inside) 0 access-list 101

nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Эта конфигурация не преобразует адреса, где адрес источника 10.0.0.0/8, а адрес назначения 192.168.1.0/24. Она преобразует адрес источника любого трафика, исходящего из сети 10.0.0.0/8 и предназначенного любому адресату, не принадлежащему сети 192.168.1.0/24, в адрес из диапазона от 199.199.199.3 до 199.199.199.62.

При наличии выходных данных команды write terminal для устройства Cisco, можно использовать утилиту Output Interpreter (только для зарегистрированных пользователей).

Использование политики NAT

Схема сети

pix70-nat-pat-10.gif

При использовании списка доступа с командой nat для любого идентификатора NAT, отличного от 0, включается политика NAT.

Политика NAT позволяет распознавать локальный трафик, предназначенный для преобразования адресов при указании адресов (или портов) источника и места назначения в списке доступа. В обычном режиме NAT использует только исходные адреса/порты, тогда как политика NAT использует адреса/порты как источника, так и места назначения.

Примечание. Политику NAT поддерживают все типы NAT кроме исключений NAT (nat 0 access-list). Для определения локальных адресов исключение NAT использует список контроля доступа, но оно отличается от политики NAT тем, что не использует порты.

Используя политику NAT можно создавать несколько инструкций NAT или статических инструкций, которые указывают на один и тот же локальный адрес, пока комбинация источник/порт и назначение/порт остается уникальной для каждой инструкции. Затем каждой паре источник/порт и назначение/порт можно сопоставить разные глобальные адреса.

В данном примере диспетчер сети предоставляет доступ для IP-адреса назначения 209.165.201.11 для порта 80 (web) и порта 23 (Telnet), но в качестве адреса источника он должен использовать два разных IP-адреса. IP-адрес 199.199.199.3 используется в качестве адреса источника для web. IP-адрес 199.199.199.4 используется для Telnet и необходимо преобразовывать все внутренние адреса из диапазона 10.0.0.0/8. Диспетчер сети может сделать это следующим образом:

access-list WEB permit tcp 10.0.0.0 255.0.0.0 209.165.201.11 
255.255.255.255 eq 80

access-list TELNET permit tcp 10.0.0.0 255.0.0.0 209.165.201.11 
255.255.255.255 eq 23 

nat (inside) 1 access-list WEB

nat (inside) 2 access-list TELNET

global (outside) 1 199.199.199.3 255.255.255.192

global (outside) 2 199.199.199.4 255.255.255.192

Можно использовать утилиту Output Interpreter (только для зарегистрированных пользователей) для выявления проблем и поиска их решений.

Статическое преобразование сетевых адресов (Static NAT)

Схема сети

pix70-nat-pat-13.gif

Конфигурация статического NAT создает сопоставление "один к одному" и преобразует определенный адрес в другой адрес. Данный тип конфигурации создает в таблице NAT постоянную запись, существующую до тех пор, пока существует конфигурация, и разрешает инициировать соединения как внутренним, так и внешним хостам. Обычно это используется для хостов, на которых запущены службы, например, электронная почта, веб-сервер, FTP и другие. В данном примере статические инструкции NAT настроены так, чтобы позволять внутренним и внешним пользователям получать доступ к веб-серверу в демилитаризованной зоне.

Приведенные выходные данные демонстрируют построение статической инструкции. Следует помнить о порядке сопоставленных и реальных IP-адресов.

static (real_interface,mapped_interface) mapped_ip real_ip netmask mask

Ниже приведен пример статического преобразования, созданного для того, чтобы пользователи с внутреннего интерфейса могли получить доступ к серверу в демилитаризованной зоне. Здесь создается сопоставление между внутренним адресом и адресом сервера в демилитаризованной зоне. При этом внутренние пользователи могут получать доступ к серверу в демилитаризованной зоне с использованием внутреннего адреса.

static (DMZ,inside)10.0.0.10 192.168.100.10 netmask 255.255.255.255

Ниже приведен пример статического преобразования, созданного для того, чтобы пользователи с внешнего интерфейса могли получить доступ к серверу в демилитаризованной зоне. Здесь создается сопоставление между внешним адресом и адресом сервера в демилитаризованной зоне. При этом внешние пользователи могут получать доступ к серверу в демилитаризованной зоне с использованием внешнего адреса.

static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255

Примечание. Поскольку уровень защиты внешнего интерфейса ниже уровня защиты демилитаризованной зоны, необходимо также создать список доступа, позволяющий внешним пользователям подключаться к серверу в демилитаризованной зоне. Список доступа должен предоставлять пользователям доступ к сопоставленному адресу в статическом преобразовании. Рекомендуется делать этот список доступа как можно более конкретным. В данном случае любой хост может получить доступ только к портам 80 (www/http) и 443 (https) веб-сервера.

access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https

Список доступа также необходимо применить к внешнему интерфейсу.

access-group OUTSIDE in interface outside

Дополнительные сведения по командам access-list и access-group см. в документах access-list extended и access-group.

Проверка

Для этой конфигурации процедура проверки в настоящий момент отсутствует.

Поиск и устранение неисправностей

Для этой конфигурации отсутствуют сведения о поиске и устранении неисправностей.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 64758