2 votes

Cisco Network Object NAT pour obtenir Internet ?

J'ai donc hérité d'un Cisco ASA 5505, et je n'ai aucune expérience en la matière ! Il y a deux interfaces réseau, toutes deux orientées vers le WAN, et l'interface LAN bien sûr. Maintenant, dans les règles NAT, il y a deux règles :

Match Criteria: Original Packet                           Action Translated Packet: 
  SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original
4  inside    Outside-ISP2  obj_Any2   any        any      Outside-ISP2   original    original

Si je supprime l'un ou l'autre de ces NAT, personne ne peut accéder à quoi que ce soit en dehors du réseau local sur ladite interface dont j'ai supprimé la règle NAT. Que fait cette règle ?

3voto

jwbensley Points 4092

Sans vouloir paraître condescendant, vous devez vérifier votre compréhension des éléments suivants NAT ;

Les clients du réseau local ont probablement un adresses IP privées (de RFC1918 ) qui ne sont pas routables sur Internet. Les deux interfaces WAN ont probablement des adresses IP publiques routables attribuées par les deux FAI auxquels elles sont connectées.

Lorsqu'un hôte du réseau local se connecte à un hôte sur Internet, tel qu'un serveur Web, il envoie la demande à l'ASA, qui la transmet à l'hôte Internet distant, mais traduit l'adresse IP de l'hôte du réseau local dans la demande en l'une de ses adresses IP publiques. Si l'ASA envoie la requête via la première interface WAN, l'ASA change l'IP source de la requête par l'IP assignée de la première interface WAN ;

 Action Translated Packet: 
 Source:
 Outside-ISP1

Si la demande est envoyée via la deuxième interface WAN, elle utilise l'autre règle, Outside-ISP2 et la requête est modifiée pour utiliser l'adresse IP source de la deuxième interface WAN, au lieu de l'adresse IP privée interne du LAN.

Si vous laissez tomber l'une ou l'autre de ces règles de NAT, les adresses des hôtes du réseau local ne sont pas traduites en une adresse publique routable et la demande envoyée au site Web ne recevra pas de réponse, car le site Web ne peut pas communiquer avec un hôte sur une adresse IP privée, il ne saura pas où il se trouve ni comment s'y rendre sur Internet.

Comme les deux règles sont apparemment les mêmes, il suffit de regarder la première :

  SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original

Cette règle dit "Tout le trafic qui entre dans l'interface appelée inside (qui sera probablement l'interface LAN), qui est destiné à l'interface appelée Outside-ISP1 (qui sera vraisemblablement la première interface WAN, et qui s'y rendra probablement à cause d'une route par défaut sur l'ASA), qui provient de l'IP source correspondant à celles de l'interface obj_Any (qui correspond vraisemblablement à n'importe quelle IP d'hôte interne au LAN) cherchant à atteindre une Destination de any et par un Service de any ; L'IP source sera changée en Outside-ISP1 (l'IP de l'interface WAN1) et le Destination laissé tel quel, et le Service laissé tel quel.

Ces options supplémentaires permettant de faire correspondre le trafic en fonction de la destination et du service peuvent être utilisées pour d'autres types de règles NAT, telles que la redirection de port ou le routage basé sur des politiques.

0voto

Craig Points 361

Vous jouez avec la configuration pendant les heures de production ? :)

Il effectue une traduction NAT... en changeant l'adresse source du client qui initie le trafic par l'adresse IP source de l'interface extérieure (Outside-ISP1 ou Outside-ISP2 selon la règle NAT qu'il rencontre).

Il dit :

Si la source est un objet de la liste "obj_Any" et la destination est N'IMPORTE QUELLE destination sur N'IMPORTE QUEL service/port. ALORS la nouvelle IP source est l'IP de l'interface Outside-ISP1 et l'IP de destination et le service/port restent les originaux/changés.

Vous devez vous documenter sur le NAT... ce qu'il est, pourquoi il existe, etc. C'est plus complexe que cette simple explication (tables NAT, NAT/PAT, etc. etc.).

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X