1. Tổng quan về NAT 1.1. Mô tả NAT Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh xạ có khả năng định tuyến trên mạng đích. Nat gồm có 2 bước: một tiến trình dịch địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại. PIX Firewall sẽ dịch địa chỉ khi một luật Nat kết hợp với packet. Nếu không có sự kết hợp với luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt Nat control. Nat control yêu cầu các packets t ừ một interface có mức an ninh cao hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat hoặc các packets phải dừng lại. Nat có một số lợi ích như sau: Bạn có thể sự dụng các địa chỉ riêng trên mạng inside. Các địa chỉ này không được định tuyến trên Internet Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các mạng khác vì vậy các attacker không thể học được địa chỉ thực của một host inside Có thể giải quyết vấn đề chồng chéo địa chỉ IP.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1. Tổng quan về NAT
1.1. Mô tả NAT
Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được
ánh xạ có khả năng định tuyến trên mạng đích. Nat gồm có 2 bước: một tiến trình
dịch địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại. PIX
Firewall sẽ dịch địa chỉ khi một luật Nat kết hợp với packet. Nếu không có sự kết
hợp với luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt
Nat control. Nat control yêu cầu các packets từ một interface có mức an ninh cao
hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một
luật Nat hoặc các packets phải dừng lại.
Nat có một số lợi ích như sau:
Bạn có thể sự dụng các địa chỉ riêng trên mạng inside. Các địa chỉ này
không được định tuyến trên Internet
Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các mạng khác vì
vậy các attacker không thể học được địa chỉ thực của một host inside
Có thể giải quyết vấn đề chồng chéo địa chỉ IP.
1.2. Nat control
Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside)
đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat. Bất
cứ host nào trên mạng inside truy cập đến một host trên mạng outside đều phải
được cấu hình dịch địa chỉ.
Các interface có cùng mức an ninh thì không yêu cầu sử dụng Nat để truyền thông
với nhau. Tuy nhiên nếu bạn cấu hình dynamic Nat hoặc Pat trên các interface có
cùng mức an ninh thì tất cả các lưu lượng từ interface đến một interface có cùng
mức an ninh hoặc outside interface cần phải kết hợp với một luật Nat
Tương tự nếu kích hoạt outside dynamic Nat hoặc Pat thì tất cả các lưu lượng
outside cần phải kết hợp với một luật Nat khi truy cập vào mạng inside
2. Các kiểu NAT
2.1 Dynamic NAT
Dynamic Nat dịch một nhóm các địa chỉ thực thành một dải các địa chỉ
được ánh xạ và có khả năng định tuyến trên mạng đích. Các địa chỉ được ánh xạ
có thể ít hơn các địa chỉ thực. Khi một host muốn dịch địa chỉ khi truy cập vào
mạng đích thì PIX sẽ gán cho nó một địa chỉ trong dải địa chỉ được ánh xạ.
Translation chỉ được thêm vào khi host thực khởi tạo kết nối. Translation được
duy trì trong suốt quá trình kết nối. Người sử dụng không thể giữ được địa chỉ IP
khi Translation time out (hết thời gian). Người sử dụng trên mạng đích không thể
khởi tạo kết nối đến host mà sử dụng dynamic Nat thậm chí kết nối này được phép
bởi access list. (chỉ có thể khởi tạo kết nối trong suốt translation).
Với Dynamic Nat mà dải địa chỉ được ánh xạ có số địa chỉ ít hơn số địa chỉ thực
của mạng inside thì xảy ra tình trạng thiếu địa chỉ nếu số lưu lượng vượt qua mức
mong muốn.
2.2. PAT
PAT dịch một nhóm các địa chỉ thực thành một địa chỉ được ánh xạ. Đặc biệt, PIX
dịch địa chỉ thực và port nguồn (real socket) thành địa chỉ được ánh xạ và một port
duy nhất (mapped port) lớn hơn 1024. Mỗi một kết nối yêu cầu một translation
riêng biệt bởi vì port nguồn là khác nhau cho mỗi kết nối.
2.3. Static NAT
Static NAT tạo một translation cố định của một (hoặc nhiều) địa chỉ thực đến một
(hoặc nhiều) địa chỉ được ánh xạ. Đối với Dynamic NAT hoặc PAT thì mỗi host
sẽ sử dụng địa chỉ hoặc cổng khác nhau cho mỗi translation. Bởi vì địa chỉ được
ánh xạ là như nhau cho các kết nối liên tục và tồn tại một translation cố định do đó
với static Nat, người sử dụng ở mạng đích có thể khởi tạo một kết nối đến host
được dịch (nếu accsess list) cho phép.
2.4. Static PAT
Static PAT cũng tương tự như Static NAT, ngoại trừ chúng ta cần phải chỉ ra giao
thức (TCP hoặc UDP) và cổng cho địa chỉ thực và địa chỉ được ánh xạ.
3. Cấu hình Nat Control
Nat Control yêu cầu các packets truyền từ một inside interface đến outsite
interface kết hợp với một luật Nat. Để kích hoạt Nat control sử dụng lệnh sau đây:
hostname(config)# nat-control . Để disable Nat control sử dụng dạng no của lệnh
này.
4. Sử dụng Dynamic NAT và PAT
4.1. Thực hiện Dynamic NAT và PAT
+ Đối với Dynamic NAT và PAT, trước hết cần cấu hình lệnh Nat để nhận diện
các địa chỉ thực của các interface cần dịch. Sau đó cấu hình lệnh Global riêng biệt
chỉ định các địa chỉ được ánh xạ. Mỗi lệnh Nat cần kết hợp với lệnh Global bởi
một số được gọi là Nat ID – được chỉ ra trong mỗi lệnh Nat và global.
+ Chúng ta có thể nhập lệnh Nat cho mỗi interface có cùng Nat ID. Tất cả đều sử