#Présentation NAT ## Objectifs du lab L'objectif de la mise en oeuvre du NAT sur les ASA est le suivant: - le trafic qui a pour destination **10.37.246.28** doit être translaté en **10.103.246.48** - le trafic qui a pour destination **10.103.246.28** NE DOIT PAS être translaté. ### Flux à destination de 10.37.246.28 '-=------------------------------------------' | VLAN 246 10.13.246.0/24 | | | | '-=----------------' | '-=------------------' | | SRC:10.13.254.146| | | SRC:10.13.254.146 | | .----.DST:10.103.246.28| | .----.DST:10.37.246.28 | | .-----. |[yn]|-----------------' .----. |[yn]|-------------------' .-----. | | |<------| |--------------------|[PK]|--| |---------------------|[YL] |---' '-=-----------------------' | | | '----' |ASA | '----' |sf034| | | VLAN 254 10.13.254.0/24 | | | | .----. | | .----. | | | | | | | |--------------------------|[yn]|-| |---------------------|[yn]|--| |-' | | | | .-----. '-=----------------| | .----. '-=----------------| | .-----. | | | .-----. | | 10.103.246.28 |SRC:10.103.246.28 '----' | |SRC:10.37.246.28 '----' | '------------| | | | |DST:10.13.254.146 | | |DST:10.13.254.146 | '------------->| | | | '-------------------' | '-------------------' | .-----. | | | | 10.13.254.146 | '--------------------------------------------' '-------------------------' [yn]: {"a2s:type":"diamond","a2s:delref":true} [PK]: {"fill":"#FFAAAA","a2s:delref":true} [YL]: {"fill":"#ffff33","a2s:delref":true} ### Flux à destination de 10.103.246.28 '-=------------------------------------------' '-=-----------------------' | VLAN 246 10.13.246.0/24 | | VLAN 251 10.13.254.0/24 | | | | | | '-=----------------' | '-=------------------' | .-----. | | | SRC:10.13.251.85 | | | SRC:10.13.251.85 | '--------------| | | | .----.DST:10.103.246.28| | .----.DST:10.103.246.28 | | '----------->| | | | .-----. |[yn]|-----------------' .----. |[yn]|-------------------' .-----. | | | .-----. | | | |<------| |--------------------|[PK]|--| |---------------------|[YL] |-' | | 10.13.251.85 | | | | '----' |ASA | '----' |sf034| | '-------------------------' | | | .----. | | .----. | | | | | |--------------------------|[yn]|-| |---------------------|[yn]|--| |---' | .-----. '-=----------------| | .----. '-=----------------| | .-----. | 10.103.246.28 |SRC:10.13.251.85 '----' | |SRC:10.13.251.85 '----' | |DST:10.103.246.28 | | |DST:10.103.246.28 | | '-------------------' | '-------------------' | | '--------------------------------------------' [yn]: {"a2s:type":"diamond","a2s:delref":true} [PK]: {"fill":"#FFAAAA","a2s:delref":true} [YL]: {"fill":"#ffff33","a2s:delref":true} ## Architecture mise en oeuvre ### Descriptionn génerale On prend pour exemple, la partition LXTST (10.103.246.28) hébergée sur le mainframe IBM , pour établir une translation NAT statique, il faut procéder comme suit: * Configurer les commutateurs pour diriger le trafic vers les ASAs * Configurer le NAT statique pour que le serveur interne soit accessible via une l'adresse IP d'origine (10.37.246.28) configurée sur le Mainframe de Tours. Pour démontrer le NAT statique, on utilise la topologie suivante: .----------. | | | LXTST | | |<---------------------------------' .----------. | |.28 | | | |10.103.246.0/24 | | | .----------. | |[YL] | | | sf033 | | | | | .----------. | |.33 | | | INSIDE |192.168.212.0/24 | | : |.40 | .----------. .----------. .---------------. |[PK] | 192.168.212.0/24 |[YL] | | | |ASA1 |------------------| sf034 |--| LINUX | | |.40 OUTSIDE .34| | | 10.13.254.146 | .----------. .----------. .---------------. [PK]: {"fill":"#FFAAAA","a2s:delref":true} [YL]: {"fill":"#ffff33","a2s:delref":true} * **Pare-feu ASA**: deux interfaces; 1) INSIDE 2) OUTSIDE. * **sw035\_5500\_0130009** sur la INSIDE (DMZ) * **Sf033\_A5500\_013SNS2-1** sur OUTSIDE. * **LXTST** le serveur qui doit être adressé depuis l'extérieur ### Flux du routage .----------------------------------------------------------------------------------------------------------------------------------. | | | WAN | | | .----------------------------------------------------------------------------------------------------------------------------------. | ^ '-=-----' | | | Aller | | : '-------' | | | | | .-------------------' | | | SRC 10.13.254.146 | | | .----.DST 10.103.246.28 | | | |[yn]|------------------. | | .----. : v | | .-----------------------. | '-=----------------------------------------------' | Sf034 | | | ip route-static 10.37.246.28 32 192.168.212.33 | | | | '------------------------------------------------' | b8 b11 | | | .-----------------------. | : | ^ | | | | outside | '-=------------------------------------------------' | .--------|--------. | |route inside 10.103.0.0 255.255.0.0 192.168.212.33| | | ASA '--' | : '--------------------------------------------------' | | | BVI1| | | | | '--' | '-=-----------------------------------------------' : | .--------|--------. | ip route-static 0.0.0.0 0.0.0.0 192.1168.103.34 | | | | inside '-------------------------------------------------' | | | | | | v : | .-----------------------. | | | b8 b11 | '-=-----------------------------------------------' | | | | ip route-static 192.172.0.0 16 192.168.103.34 | | | Sf033 | '-------------------------------------------------' | .-----------------------. | | ^ | | | : .----. | | '------------------|[yn]| | | | SRC 10.103.246.28.----. | | | DST 10.13.254.146 | | | .-------------------. | | | | | '-=------' | | | Retour | | | '--------' v .----------------------------------------------------------------------------------------------------------------------------------. | | | Zvm 10.103.246.28 | | | .----------------------------------------------------------------------------------------------------------------------------------. [yn]: {"a2s:type":"diamond","a2s:delref":true} ## NATAGE des flux Pour NATER les flux à destination des machines secourues on utilise le ManualNAT pour pouvoir orienter le flux retour.\\ \\ 1-Sur les ASA on utilise une règle de ManualNAT pour cacher les adresses des clients:\\ \\ object network TRS-246\\ subnet 10.37.246.0 255.255.255.0\\ object network MRS-246\\ subnet 10.103.246.0 255.255.255.0\\ object network INSIDE-172\\ range 192.172.0.0 192.172.255.254\\ nat (outside,inside) source dynamic any INSIDE-172 destination static TRS-246 MRS-246\\ \\ Lorsqu'on décompose chaque clause de la commande `nat ...` sur une ligne distincte:\\ \\ nat (outside,inside)\\ source dynamic any\\ INSIDE-172 destination static TRS-246 MRS-246\\ \\ On peut traduire les actions ainsi :\\ * Lorsque le trafic outside correspond:\\ ... une source (lient) any\\ ... une destination (serveur) 10.37.246.0/24\\ * Envoyer à inside et translater\\ ... la source (client) en utilisant une traduction dynamique en 192.172.0.0/16\\ ... la destination (serveur) en utilisant une traduction statique en 10.103.246.0/24\\ \\ 2-Sur le commutateur en face de l'interface inside (sf033), indiquer une route pour le flux retour:\\ \\ ip route-static 192.172.0.0 255.255.0.0 192.168.212.34 '-=--------------------------------------------------------------' '-=------------------------------------------' | | | | |10.103.246.28 | | .----. 10.13.251.85 | | .----. .----. | '---------|[yn]|---------------------' .----. | | | |<---|[yn]|-------------------------------' | | | '----'SRC 10.13.251.85 | | | | | | | | '----'SRC 192.172.0.1 | | | | : | DST 10.37.246.28 | '---| | | | | | | DST 10.103.246.28 | | | | | '------------------' | | | | | | '-------------------' | | | | | | | | | | | | | | .----. | | | | | | .----. | | | '-------|[yn]|------------------------>| | | | | |---------------------------|[yn]|------' | | | | | '----'SRC 10.37.246.28 | | | | | | | | SRC 10.103.246.28'----' | | | | | | | DST 10.13.251.85 | | | | | | | | DST 192.172.0.1 | | | | | | | '------------------' .----. | | .----. '-------------------' | | .------. | | | | '----------------------------------------------|-|-=----------|[PK] | | | '--------------------------------------------' | | Inside | ASA | Outside | | | | | | | | '-=------------------------------------------' '-=--------------------------------------------|-|-=----------| | | | | | |10.103.218.28 | | | | | | | 10.13.254.146 | | .----. .----. | | .---------| |--------------. | | | .----. .----. | | | |<-------|[yn]|-----------------------' | | | .------. | | | '-----|[yn]|-------------------------| | | | | | .----.SRC 192.172.0.2 | | | | |NAT statique : | | | | | '----'SRC 10.13.254.146 | | | | | | | | DST 10.103.238.28 | | | '--|10.103.246.28 <-> 10.37.246.28 |<-' | | : | DST 10.37.238.28 | | | | | | | '-------------------' | '--->|10.103.238.28 <-> 10.37.238.28 |----' | | '-------------------' | | | | | | | |NAT Dynamique : | | | | | | | | | .----. '------|192.172.0.1 <-> 10.13.254.146|<-----' | .----. | | | | | |----------------------------|[yn]|--------->|192.172.0.2 <-> 10.13.251.85 |------------|[yn]|------------------------>| | | | | | | SRC 10.103.238.28'----' .-------------------------------. | '----'SRC 10.37.238.28 | | | | | | | | DST 192.172.0.2 | | | | DST 10.13.254.146 | | | | | .----. '-------------------' | | '-------------------' .----. | | | | | '---------------------------------------------------------------' '--------------------------------------------' [yn]: {"a2s:type":"diamond","a2s:delref":true} [PK]: {"fill":"#FFAAAA","a2s:delref":true} [YL]: {"fill":"#ffff33","a2s:delref":true}