Tweet
Có mấy loại NAT trên ASA???
Bài viết này trình bày năm loại NAT tiêu biểu trong hệ thống Cisco ASA, phân tích chức năng, đặc điểm và ứng dụng cụ thể của từng loại NAT.
1. Static NAT
Static NAT (NAT tĩnh) tạo ánh xạ cố định một-một giữa địa chỉ IP nội bộ và địa chỉ IP bên ngoài. Khi một gói tin rời khỏi ASA, địa chỉ nguồn sẽ được thay thế bởi một địa chỉ tĩnh đã định nghĩa trước, và khi gói tin phản hồi quay trở lại, nó sẽ được ánh xạ ngược lại đúng địa chỉ nội bộ tương ứng.
Mục đích sử dụng:
Static NAT thường được sử dụng để công bố các dịch vụ nội bộ ra Internet, chẳng hạn như Web server, Mail server, hoặc bất kỳ dịch vụ nào cần truy cập từ bên ngoài vào hệ thống mạng nội bộ.
Ví dụ cấu hình:
2. Dynamic NAT
Dynamic NAT là hình thức NAT trong đó nhiều địa chỉ IP nội bộ được ánh xạ động đến một dải địa chỉ IP công cộng. Không giống Static NAT, ánh xạ trong Dynamic NAT không cố định và có thể thay đổi tùy thuộc vào thời điểm và địa chỉ có sẵn.
Mục đích sử dụng:
Dynamic NAT thích hợp cho các tổ chức có số lượng lớn thiết bị truy cập Internet nhưng không đủ địa chỉ IP công cộng cho mỗi thiết bị.
Ví dụ cấu hình:
3. Dynamic PAT
Dynamic PAT, hay còn gọi là NAT overload, là kỹ thuật cho phép nhiều địa chỉ IP nội bộ sử dụng một địa chỉ IP công cộng duy nhất bằng cách phân biệt các phiên kết nối qua số hiệu cổng (port). Đây là hình thức NAT tiết kiệm địa chỉ công cộng nhất.
Mục đích sử dụng:
Được sử dụng phổ biến để cho phép toàn bộ người dùng trong mạng nội bộ truy cập Internet thông qua một địa chỉ IP duy nhất.
Ví dụ cấu hình:
4. Identity NAT
Identity NAT là kỹ thuật NAT trong đó địa chỉ IP trước và sau khi NAT là giống nhau. Cisco ASA vẫn áp dụng quá trình NAT, nhưng không thực hiện bất kỳ sự thay đổi nào đối với địa chỉ IP.
Mục đích sử dụng:
Được áp dụng trong các tình huống mà lưu lượng cần đi qua firewall nhưng không được phép thay đổi địa chỉ IP, chẳng hạn như trong kết nối VPN site-to-site hoặc giao tiếp giữa các vùng bảo mật mà không cần dịch địa chỉ.
Ví dụ cấu hình:
5. Policy NAT
Policy NAT hay Twice NAT là hình thức NAT cho phép kiểm soát ánh xạ NAT dựa trên các điều kiện cụ thể, chẳng hạn như nguồn, đích hoặc giao thức. Đây là loại NAT duy nhất cho phép dịch cả địa chỉ nguồn và địa chỉ đích đồng thời trong một chính sách NAT duy nhất.
Mục đích sử dụng:
Policy NAT được sử dụng khi cần NAT có điều kiện, chẳng hạn như chỉ NAT khi lưu lượng đến một địa chỉ hoặc cổng cụ thể. Ngoài ra, đây cũng là lựa chọn duy nhất khi cần kết hợp NAT với ACL hoặc dịch đồng thời hai địa chỉ.
Ví dụ cấu hình:
1. Static NAT
Static NAT (NAT tĩnh) tạo ánh xạ cố định một-một giữa địa chỉ IP nội bộ và địa chỉ IP bên ngoài. Khi một gói tin rời khỏi ASA, địa chỉ nguồn sẽ được thay thế bởi một địa chỉ tĩnh đã định nghĩa trước, và khi gói tin phản hồi quay trở lại, nó sẽ được ánh xạ ngược lại đúng địa chỉ nội bộ tương ứng.
Mục đích sử dụng:
Static NAT thường được sử dụng để công bố các dịch vụ nội bộ ra Internet, chẳng hạn như Web server, Mail server, hoặc bất kỳ dịch vụ nào cần truy cập từ bên ngoài vào hệ thống mạng nội bộ.
Ví dụ cấu hình:
| object network obj-webserver host 192.168.10.10 nat (inside,outside) static 203.0.113.10 |
2. Dynamic NAT
Dynamic NAT là hình thức NAT trong đó nhiều địa chỉ IP nội bộ được ánh xạ động đến một dải địa chỉ IP công cộng. Không giống Static NAT, ánh xạ trong Dynamic NAT không cố định và có thể thay đổi tùy thuộc vào thời điểm và địa chỉ có sẵn.
Mục đích sử dụng:
Dynamic NAT thích hợp cho các tổ chức có số lượng lớn thiết bị truy cập Internet nhưng không đủ địa chỉ IP công cộng cho mỗi thiết bị.
Ví dụ cấu hình:
| object network obj-inside subnet 192.168.10.0 255.255.255.0 nat (inside,outside) dynamic 203.0.113.0 |
Dynamic PAT, hay còn gọi là NAT overload, là kỹ thuật cho phép nhiều địa chỉ IP nội bộ sử dụng một địa chỉ IP công cộng duy nhất bằng cách phân biệt các phiên kết nối qua số hiệu cổng (port). Đây là hình thức NAT tiết kiệm địa chỉ công cộng nhất.
Mục đích sử dụng:
Được sử dụng phổ biến để cho phép toàn bộ người dùng trong mạng nội bộ truy cập Internet thông qua một địa chỉ IP duy nhất.
Ví dụ cấu hình:
| object network obj-inside subnet 192.168.10.0 255.255.255.0 nat (inside,outside) dynamic interface |
4. Identity NAT
Identity NAT là kỹ thuật NAT trong đó địa chỉ IP trước và sau khi NAT là giống nhau. Cisco ASA vẫn áp dụng quá trình NAT, nhưng không thực hiện bất kỳ sự thay đổi nào đối với địa chỉ IP.
Mục đích sử dụng:
Được áp dụng trong các tình huống mà lưu lượng cần đi qua firewall nhưng không được phép thay đổi địa chỉ IP, chẳng hạn như trong kết nối VPN site-to-site hoặc giao tiếp giữa các vùng bảo mật mà không cần dịch địa chỉ.
Ví dụ cấu hình:
| object network obj-vpn subnet 192.168.10.0 255.255.255.0 nat (inside,outside) static 192.168.10.0 |
Policy NAT hay Twice NAT là hình thức NAT cho phép kiểm soát ánh xạ NAT dựa trên các điều kiện cụ thể, chẳng hạn như nguồn, đích hoặc giao thức. Đây là loại NAT duy nhất cho phép dịch cả địa chỉ nguồn và địa chỉ đích đồng thời trong một chính sách NAT duy nhất.
Mục đích sử dụng:
Policy NAT được sử dụng khi cần NAT có điều kiện, chẳng hạn như chỉ NAT khi lưu lượng đến một địa chỉ hoặc cổng cụ thể. Ngoài ra, đây cũng là lựa chọn duy nhất khi cần kết hợp NAT với ACL hoặc dịch đồng thời hai địa chỉ.
Ví dụ cấu hình:
| object network obj-src host 192.168.10.10 object network obj-dst host 10.1.1.100 nat (inside,outside) source static obj-src obj-src destination static obj-dst obj-dst |