Cấu hình Auto NAT trên Cisco Secure Firewall Threat Defense (FTD)


Một trong những chức năng quan trọng khi triển khai Cisco Secure Firewall Threat Defense (trước đây gọi là FTD) tại rìa mạng Internet (internet edge) là dịch địa chỉ mạng (NAT – Network Address Translation). Cơ chế này đảm bảo các địa chỉ IP private bên trong hệ thống (client và server) có thể được ánh xạ sang địa chỉ public phù hợp để truy cập hoặc cung cấp dịch vụ trên Internet.

---

NAT trong thực tế triển khai


Trong mô hình doanh nghiệp, NAT được sử dụng cho nhiều kịch bản, phổ biến nhất gồm: 1. Client truy cập Internet

• Người dùng trong mạng LAN thường sử dụng private IP (theo RFC1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
• Khi truy cập website hay dịch vụ Internet, gói tin phải được dịch sang một public IP để có thể được định tuyến trên Internet.
• Trường hợp phổ biến nhất là Port Address Translation (PAT): nhiều client dùng chung một địa chỉ IP công cộng – thường chính là IP của Outside interface của firewall.

2. Client truy cập dịch vụ trong DMZ

• Doanh nghiệp thường đặt các dịch vụ (web, mail, application) ở DMZ với private IP.
• Khi client ở Inside muốn truy cập dịch vụ trong DMZ, firewall sẽ thực hiện NAT dựa trên interface zone để đảm bảo lưu lượng được phân biệt rõ ràng.
• Ví dụ: khi tạo rule NAT cho DMZ server ra ngoài Internet, bạn cần thay thế đối tượng inside_zone bằng outside_zone.

3. Server nội bộ cung cấp dịch vụ Internet

• Một số dịch vụ (web, VPN, mail) đặt trong nội bộ nhưng cần Internet client truy cập.
• Trường hợp này yêu cầu Static NAT (one-to-one mapping): ánh xạ 1 địa chỉ private (server) sang 1 địa chỉ public cố định.
• Public IP này thường được đăng ký trong DNS công cộng để client bên ngoài phân giải đúng.

---

Auto NAT trên Cisco Secure Firewall


Auto NAT (hay còn gọi là object NAT) là cơ chế cấu hình NAT trực tiếp trong Network Object. Khi bạn định nghĩa một host, range hoặc subnet object, bạn có thể gán luôn thông tin dịch địa chỉ cho đối tượng đó. Ưu điểm:

• Cấu hình đơn giản, dễ quản lý.
• Trực quan vì gắn NAT với chính đối tượng mạng.
• Thích hợp cho các tình huống NAT cơ bản: PAT cho client, Static NAT cho server.

---

Quy trình cấu hình Auto NAT

1. Tạo Network Object cho host/subnet cần dịch địa chỉ.
2. Trong network object, bật NAT và chọn:
   • Dynamic PAT → dùng cho client đi Internet.
   • Static NAT → dùng cho server cần public IP.
3. Xác định interface tham chiếu: thường là Inside → Outside hoặc DMZ → Outside.
4. Triển khai chính sách và kiểm tra bằng công cụ như packet-tracer hoặc bắt gói trên firewall.

---

Xác minh (Verification)


Sau khi cấu hình, kỹ sư cần:

• Kiểm tra bảng NAT bằng lệnh CLI:
  show nat show xlate
• Thực hiện test ping, truy cập web, hoặc kiểm tra kết nối từ Internet vào server.
• Dùng packet-tracer trong FMC/FTD để mô phỏng luồng gói tin đi qua firewall.

Tóm tắt


Auto NAT trong Cisco Secure Firewall Threat Defense là giải pháp nhanh gọn – dễ quản lý cho hầu hết các nhu cầu NAT cơ bản. Trong các tình huống phức tạp (chồng chéo địa chỉ, chính sách đặc biệt), bạn có thể cần đến Manual NAT (Policy NAT) để kiểm soát chi tiết hơn.
​