Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cấu hình Dynamic NAT trong FTD

    Đây là một chủ đề cực kỳ quan trọng trong vận hành Cisco Secure Firewall Threat Defense (FTD), đặc biệt khi anh em triển khai ở Internet edge. NAT (Network Address Translation) trên FTD được quản lý qua FMC (Firepower Management Center), với hai dạng hay dùng nhất:
    • Dynamic NAT (1-to-1 nhưng theo pool)
    • Dynamic PAT hay Overload NAT (nhiều IP nội bộ chia sẻ một địa chỉ IP công cộng thông qua port)

    Mình sẽ viết chi tiết theo phong cách CCIE Security, có ví dụ thực tế và giải thích cơ chế cho cộng đồng dễ nắm.
    🔥 1. Khái niệm nhanh
    • Dynamic NAT: ánh xạ địa chỉ private thành một địa chỉ trong pool public, theo cơ chế first come – first served. Khi pool hết IP, kết nối mới sẽ bị từ chối.
    • Dynamic PAT (Overload): nhiều địa chỉ private chia sẻ chung một hoặc vài địa chỉ public, phân biệt bằng số port TCP/UDP. Đây là kiểu NAT overload mà ta hay gặp trong mạng doanh nghiệp.

    Trên FTD, NAT được cấu hình dưới dạng NAT Rule trong FMC, không còn CLI như ASA cũ. FMC sẽ push policy xuống FTD.
    🔥 2. Các bước cấu hình trên FMC

    Bước 1: Chuẩn bị Object
    • Vào Objects > Object Management
    • Tạo Network Object cho Inside LAN (ví dụ INSIDE-LAN: 192.168.1.0/24)
    • Tạo Network Object hoặc Range Object cho pool NAT ngoài (ví dụ NAT-POOL: 203.0.113.100-203.0.113.110)
    • Nếu dùng overload NAT, có thể chỉ cần một Interface Object đại diện cho IP public trên cổng outside.
    Bước 2: Tạo NAT Rule


    Đi đến Policies > NAT
    Chọn policy gắn với thiết bị FTD → Add Rule a) Dynamic NAT (pool)
    • Type: Dynamic NAT
    • Original Source: chọn INSIDE-LAN
    • Translated Source: chọn NAT-POOL
    • Interface: Inside → Outside

    Cơ chế: mỗi host trong LAN sẽ được ánh xạ sang 1 IP public trong pool 203.0.113.100-110.

    Ví dụ:
    192.168.1.10 → 203.0.113.100 192.168.1.11 → 203.0.113.101 …
    Khi hết pool thì user mới sẽ không đi được ra Internet.
    b) Dynamic PAT (Overload NAT)
    • Type: Dynamic PAT (interface overload)
    • Original Source: INSIDE-LAN
    • Translated Source: Outside Interface

    Cơ chế: toàn bộ host trong LAN chia sẻ IP public của interface outside, phân biệt bằng port number. Đây chính là kiểu NAT mà ISP hay dùng cho hộ gia đình.

    Ví dụ:
    192.168.1.10:50000 → 203.0.113.1:50000 192.168.1.11:50001 → 203.0.113.1:50001
    Bước 3: Deploy Policy
    • Save → Deploy xuống FTD.
    • Lưu ý: NAT rule có thứ tự (Order of Operation) trong FMC. Dynamic NAT và PAT thường đặt ở phần Auto NAT (object NAT) hoặc Manual NAT (section 1/3), tùy yêu cầu.
    🔥 3. Xác minh NAT


    Trên FTD CLI:
    > show nat > show xlate > show conn
    Ví dụ:
    > show xlate 3 in use, 3 most used PAT Global 203.0.113.1(50000) Local 192.168.1.10(50000)
    Trên FMC GUI:
    • Vào Analysis > Connections > Events để xem log NAT.
    • Có thể lọc theo IP nội bộ để kiểm tra IP public được dịch.
    🔥 4. Giải thích thêm
    • Dynamic NAT thường dùng khi cần mapping mỗi client ra một IP riêng (ví dụ khi upstream ISP yêu cầu), nhưng ít phổ biến vì tốn IP public.
    • Dynamic PAT (Overload) là default trong mạng doanh nghiệp: hàng trăm client chia sẻ một IP public.

    Ví dụ thực tế:
    • Công ty có 50 nhân viên, được ISP cấp 1 IP public trên interface outside → dùng Dynamic PAT.
    • Công ty được cấp /28 (16 IP public) và muốn phân bố ra cho từng nhóm server nội bộ → dùng Dynamic NAT pool.
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X