Network/ASA/ADSM/동적 자동 NAT

ASA NAT

- 사설 IP를 이용하는 네트워크에서 인터넷을 사용하기 위한 설정.

NAT 테이블

- NAT의 종류에 따라 우선순위 적용

각 테이블은 우선순위에 따라 섹션화 되어 있고 섹션 1 섹션 2 섹션 3 순서로 높은 우선순위를 가진다. 우선순위에 따라 일반적인 경우와 예외 경우를 나누어 처리해야 한다. 만약 일반적인 경우가 섹션1에 설정되어 있을 경우 나머지 섹션2 섹션 3의 예외적인 경우는 일반적인 경우에 포함되어 버리기 때문에 예외적인 경우의 룰이 적용 되지 않기 때문이다.

• Section 1 : Manual NAT Policies
• Section 2 : Auto NAT Policies
• Section 3 : Manual NAT Policies after auto]
• 각 테이블 확인은 show nat로 한다.
• 원래 IP와 NAT 할당된 IP 대역 보는 기능 추가는
  show nat detail 옵션을 주어 확인가능하다.

현재 활동 중인 NAT 정보 확인

- show xlate local [해당 Original IP 주소]

• idle : NAT 주소 할당을 받고 나서 지난 시간.
• timeout : 해당 NAT 주소가 얼마나 지나야 expired 되는지 나타낸 시간.
• timeout이 0인경우 static으로 nat가 설정된 경우이며 무한정으로 할당되어 있다.

>> 매핑이 유지된 시간에는 외부에서 내부로 접근이 가능하다.

 - rule을 추가해 특정 IP만 접속하게, 접속하지 못하기 만들거나 timeout 시간을 줄여 외부에서 내부로 접근하지 못하게 하는것이 NAT의 보안 목적상 맞다.

IOS와 ASA의 차이점

IOS는 NAT 설정을 액세스 리스트로 설정하였음.

>> ASA는 네트워크 오브젝트 기반으로 NAT설정을 설정.

• ASA의 NAT는 객체가 NAT라는 설정을 가지고 있다는 것에 큰 의미가 있다.

네트워크 구성도

Object의 종류

network와 service 가 존재.

- network : 특정 호스트, 서브넷 , ip 범위를 말함.

- service : 프로토콜 이나 포트를 말함.

• 일반적인 객체 선언
  obejct network TEST_OBJECT
• 명령
  (config)# object network object-name
  (config-network-object)# host ip-address 또는
  (config-network-object)# subnet subnet-address subnet-mask 또는
  (config-network-object)# range start-ip-address end-ip-address

Obejct 생성 - Range

- object netowrk NAT_POOL

- range 150.1.1.101 150.1.1.200

•  총 100개의 IP 주소가 timeout 시간이 expiered 되기 전까지 할당 받을 수 있고 외부와 통신 할 수있다.

Object 생성 - 두개의 네트워크 지정

- 네트워크 1 : 10.1.1.0

- 네트워크 2 : 10.1.2.0

• object network LOCAL_USERS
• range 10.1.1.0 10.1.2.255

Object 생성 - Pat-pool 적용

- (config) # object network obejct-name-of-real-address

- (config-network-object) # nat (src-interface-name, dst-interface-name) dynamic pat-pool pool-object-name

• object network LOCAL_NET1
• nat (Inside, Outside) dynamic pat-pool NAT_POOL
  nat pool이 가득 찼을 떄 pat pool이 동작.

Object 생성 -  subnet 사용 +  동적 pool을 외부 네임 인터페이스의 주소를 사용

- (config) # object network OutsidePool

- (config-network-object) # subnet 10.1.3.0 255.255.255.0

- (config-network-object) # nat (Inside, Outside) dynamic interface[g0/0, fa0/0 등]

자동 NAT

정적의 의미 : 외부에서 내부로 접근 할때 NAT 주소는 고정적이여야 접근이 가능함.

동적의 의미 : 내부에서 외부로 접근 할때 NAT 주소가 고정적이지 않아도 접근이 가능함.

- 자동 NAT 종류

• 정적(Static) 자동 NAT (외부 -> 내부)
• 정적(Static) 자동 PAT (외부 -> 내부)
• 동적(Dynamic) 자동 NAT (내부 -> 외부)

자동 NAT - 동적 자동 NAT

• 내부 -> 외부 통신
• 매핑 IP로 풀을 사용할 수 있고, 인터페이스에 설정된 IP를 사용 가능.

ASDM을 이용한 동적 자동 NAT 구성

- ASDM :  CLI 명령을 생성하여 ASA에 전송하는 프로그램

- 명령 전송 전 검토하는 설정

• Tool -> Preferendce -> General -> Communication -> Preview commands before sending them to the device 옵션 체크

Object 생성 창

NAT 설정 창

-> Object 생성창에서 NAT 항목을 확장

Advanced 옵션 지정 창

PAT-POOL 추가 옵션

NAT_POOL이 아닌 인터페이스를 통한 네트워크 오브젝트 생성

NAT 정보 확인

- Firewall 항목에서 NAT Rule 선택

ASDM - GNS3 구성도

object NAT 설정시 주의사항

- object network LOCAL_NET1

nat (InsideA,Outside) dynamic NAT_POOL

으로 NAT설정을 하였을 때 먼저 nat 값이 들어가 있는 상태이다.

이 상태에서 nat 설정을 덮어쓸경우 먼저 적용했던  NAT_POOL은 해당 객체 에서 지워진다.

• nat (InsideA,Outside) dynamic interface
• 

ASDM 실행방법

- asdm을 설치한 후 

1. 접속한 웹페이지에서 run asdm버튼을 눌러 실행
2. asdm 폴더에서 asdm-launcher 배치 파일을 실행.
3. 명령 프롬프트에서 asdm 폴더로 위치를 바꾼후 java -jar adsm-launcher.jar를 입력해서 실행.

ASDM Firewall 항목이 보이지 않는 경우

- View탭에서 Configuration을 체크하면 활성화 된다.

ASDM 에서 Command Line 사용하기

Tools > Command Line Interface 클릭

Single Line을 선택하고 아래 바에 명령어를 입력.

- Line은 여러줄의 명령어를 입력 할 수 있다.Multi *