[Firewall] ASA Twice NAT(Manual NAT)

Twice NAT ( = Manual NAT)

-   가장 높은 순위의 NAT 방식이다. (Section 1)

-   하나의 NAT 규칙 안에서 출발지 주소와 목적지 수소 모두를 확인할 수 있는 주소 변환 설정 방식이다.

-   관리자가 기존에 설정되어 있는 Object NAT 보다 우선되어야 하는 예외 정책을 구성하고자 할때 설정되어야 한다.

-   Manual NAT라고도 불리는데 NAT 테이블에서 정책 순위를 직접 지정할 수 있기 때문이다.

 

네트워크 구성도 

 

Twice NAT LAB.txt

0.00MB

 

ISP 라우터 Loopback 인터페이스 연결설정 확인

 

 

-   현재 Inside에서 외부와 통신을 하는 경우 목적지와 관계 없이 ASA의 Outside인터페이스 IP(1.1.100.2) 주소로 PAT 처리가 되고 있다.

 

 

 

-   내부망에 있는 Window에서 외부망으로 ping을 보내면 정상적으로 통신이 된다.

 

-   PAT 처리가 되어있기 때문에 외부로 나가는 IP는 1.1.100.2 IP주소로 동일하다.

 

 

Twice NAT 구성

 

-   Inside 대역 → 200.1.1.1(Site-A)인 경우 출발지 IP 주소를 211.100.10.1주소로 변환한다.

-   Inside 대역 → 200.2.2.1(Site-B)인 경우 출발지 IP 주소를 211.100.10.2주소로 변환한다.

-   다른 외부 통신은 1.1.100.2로 변환하여 나간다.

 

object network Site-A 

   목적지 실제 주소를 지정한다.

object network G_IP_A

   출발지 변환 주소를 지정한다.

nat (Inside,Outside) source dynamic IN_NET G_IP_A destination static Site-A Site-A

   Real:   IN_NET(real source) , 뒤에있는 Site-A(real destination)

   -   So 10.10.1.x De 200.1.1.x로 매핑한다는 의미이다.

   Mapping:   G_IP_A(mapping source), 앞에있는 Site-A(mapping destination)

   -   So 211.100.10.1 De 200.1.1.x 로 매핑한다는 의미이다.

 

<ASA> object network Site-A  subnet 200.1.1.0 255. 255.255.0 ! object network Site-B  subnet 200.2.2.0 255.255.255.0 exit object network G_IP_A  host 211.100.10.1 exit object network G_IP_B  host 211.100.10.2 exit object network IN_NET  subnet 10.10.1.0 255.255.255.0 exit nat (Inside,Outside) source dynamic IN_NET G_IP_A destination static Site-A Site-A nat (Inside,Outside) source dynamic IN_NET G_IP_B destination static Site-B Site-B !

 

-   IP주소가 변환되는것을 확인할 수 있다.

 

-   Dynamic NAT / PAT / Static NAT 등을 설정하는 것이 가능하다.

 

<ASA> object network Sales_NET  subnet 10.10.1.0 255.255.255.0 exit object network MGR_NET  subnet 10.10.2.0 255.255.255.0 exit object network HQ_NET  subnet 10.10.3.0 255.255.255.0 exit nat (Inside,Outside) source dynamic HQ_NET interface