отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Understanding and Troubleshooting ASA NAT - вопросы и ответы

 

Введение

Read the bio

Во время презентации эксперт Cisco Олег Типисов рассмотрел особенности реализации NAT в ПО межсетевых экранов ASA, а также отличия реализации NAT до версии 8.3 и в последующих версиях ПО. Также была предложена детальная методика проведения поиска и устранения возможных проблем с NAT на ASA.

 

Ссылки:

 

Вопросы и ответы

Q: Twice и Manual NAT это одно и тоже?

A: Да, это одно и тоже.

 

Q: Т.е. в 8.3 важен порядок следования правил NAT, прям как в ACL? В 8.2 такого не было

A: Да, важен, но возможность менять правила местами объективно нужна в сложных сценариях - иногда кроме как ручным перемещением правил вверх-вниз больше никак не достичь нужной логики обработки.

 

Q: При использовании Twice NAT, как лучше всего менять последовательность правил при изменении конфигурации (поднимая или опуская приоритет обработки правила)

A: С точки зрения максимальной надежности, я бы рекомендовал удалить NAT конфиг и вбить заново.

 

Q: При обновлении с 8.4(2) на 8.4(4.x) теряется ли конфигурация, включая правила NAT?

A: Нет, не теряется.

 

Q: Как правильнее писать NAT для внутренних адресов? Разрешить NAT для диапазона внутренних адресов и ACL для групп внутренних адресов? Разрешить NAT для каждого внутреннего адреса и ACL для групп внутренних адресов?

A: Если топология позволяет задать диапазон IP-адресов для трансляции, то лучше задать диапазон - конфиг будет проще и легче будет траблшутиться.

 

Q: Решена ли проблема, существующая в 8.2, когда ACL "засматривался" только в одну строну. В обратную сторону ACL вообще не рассматривается.

A: В новом синтаксисе вообще не используются ACL.  Вместо этого используется явное указание объектов, содержащих IP адреса и порты, прямо в NAT команде. Если вы используете Twice NAT в качестве статического NAT, то он всегда полностью симметричный. Вопрос о симметричности ACL в 8.2 для Policy NAT будет отвечен в рамках Ask the Expert.

 

Q: Вопрос про Real IP Access-list. Т.е получается, что сперва трафик проходит NAT, а потом проверку на ACL, и если не подпадает под правила, то DROP. Т.е нежелательный трафик в любом случае транслируется. Зачем?

A: Если речь идет о трафике, идущем из outside в inside, то единственный способ проверить трафик аксесс-листом по приватным адресам, - это предварительно его протранслировать.  Другое дело, что любой трафик, который дропается, не создает сессий и больших объемов.

 

Q: Какую версию ПО ASA рекомендуется сейчас использовать?

A: 8.4(4.x)

 

Q: Что означает "after-auto" в конфигурации?

A: Twice NAT всегда имеет приоритет над Object NAT'ом кроме тех случаев, когда в правиле Twice NAT вы указываете ключ after-auto. Тогда это конкретное правило Twice NAT'а получает более низкий приоритет по сравнению с правилами Object NAT'а. 

 

Q: Почему в версии 8.4 нет команды "nat-control"

A: Ранее в версиях 8.2 и более старых, правила динамического NAT'а состояли из двух команд - команды "nat" и команды "global". И даже когда вы применяли "no nat-control", часто это не помогало. Если система видела, что для inside-интерфейса у вас есть команда "nat", она всегда пыталась искать для нее соответствующее правило "global", и если не находила, то трафик дропался. Даже в том случае, когда использовано "no nat-control", что означает что NAT в целом не обязателен для передачи трафика. Поскольку, как видно, данная команда не очень помогала, в версии 8.3 от нее отказались и можно сказать, что в 8.3 и последующих версиях "no nat-control" - это значение по умоланию, т.е. NAT является необязательным для передачи трафика между интерфейсами.

 

Q: В какой версии есть команда "show nat divert-table"?

A: В 8.4(3) и последующих.

 

Q: Как отнатировать трафик в зависимости от порта?

A: Использовать объекты типа Service в синтаксисе Twice NAT.

 

Q: Не проще ли использовать "show nat detail" и не лезть в дебри "show asp table classify domain nat"?

A: Проще, но "show nat detail" на самом деле не показывает, по каким правилам будет обрабатываться трафик. За это отвечает 2-я команда.

 

Q: Как быть, если в живом конфиге около 200-300 правил NAT, и есть живые сессии? Как быть с очисткой конфигурации NAT? Может есть др. способ?

A: Если Вам встретился баг CSCtt11890, то др. способа, кроме как очистить конфигурацию с помощью "clear conf nat" и вбить ее заново - нет. Др. дело - как это повлияет на трафик и вообще, необходимо ли давать команду "clear xlate" при измененении конфигурации NAT. Здесь простого ответа нет. В последних версиях ПО предприняты усилия, чтобы давать команду "clear xlate" не было необходимости. Но на сегодняшний день я бы рекомендовал всегда использовать "clear xlate" при любых изменениях конфигурации NAT, что правда приведет к разрыву существующих соединений.

История версий
Редакция №
2 из 2
Последнее обновление:
‎09-01-2017 01:47 AM
Автор обновления:
 
Метки (1)
Участники
Теги (3)