dwndoc

User Tools

Site Tools

Trace: day-2021-02-11
journal:2021:day-2021-02-11

Table of Contents

Présentation NAT

Objectifs du lab

L'objectif de la mise en oeuvre du NAT sur les ASA est le suivant:

  1. le trafic qui a pour destination 10.37.246.28 doit être translaté en 10.103.246.48
  2. le trafic qui a pour destination 10.103.246.28 NE DOIT PAS être translaté.

Flux à destination de 10.37.246.28

ASA sf034 VLAN 246 10.13.246.0/24 SRC 10.13.254.146 SRC 10.13.254.146 DST 10.103.246.28 DST 10.37.246.28 VLAN 254 10.13.254.0/24 - 10.103.246.28 SRC 10.103.246.28 SRC 10.37.246.28 DST 10.13.254.146 DST 10.13.254.146 10.13.254.146

Flux à destination de 10.103.246.28

ASA sf034 VLAN 246 10.13.246.0/24 VLAN 251 10.13.254.0/24 SRC 10.13.251.85 SRC 10.13.251.85 DST 10.103.246.28 DST 10.103.246.28 10.13.251.85 - 10.103.246.28 SRC 10.13.251.85 SRC 10.13.251.85 DST 10.103.246.28 DST 10.103.246.28

Architecture mise en oeuvre

Descriptionn génerale

On prend pour exemple, la partition LXTST (10.103.246.28) hébergée sur le mainframe IBM , pour établir une translation NAT statique, il faut procéder comme suit:

  • Configurer les commutateurs pour diriger le trafic vers les ASAs
  • Configurer le NAT statique pour que le serveur interne soit accessible via une l'adresse IP d'origine (10.37.246.28) configurée sur le Mainframe de Tours.

Pour démontrer le NAT statique, on utilise la topologie suivante:

LXTST sf033 ASA1 sf034 LINUX 10.13.254.146 .28 10.103.246.0/24 .33 INSIDE 192.168.212.0/24 .40 192.168.212.0/24 .40 OUTSIDE .34
  • Pare-feu ASA: deux interfaces; 1) INSIDE 2) OUTSIDE.
  • sw035_5500_0130009 sur la INSIDE (DMZ)
  • Sf033_A5500_013SNS2-1 sur OUTSIDE.
  • LXTST le serveur qui doit être adressé depuis l'extérieur

Flux du routage

WAN Aller Sf034 b8 b11 ip route-static 10.37.246.28 32 192.168.212.33 route inside 10.103.0.0 255.255.0.0 192.168.212.33 ip route-static 0.0.0.0 0.0.0.0 192.1168.103.34 b8 b11 Sf033 ip route-static 192.172.0.0 16 192.168.103.34 Retour Zvm 10.103.246.28 | SRC 10.13.254.146 DST 10.103.246.28 outside ASA BVI1 inside SRC 10.103.246.28 DST 10.13.254.146 |

NATAGE des flux

Pour NATER les flux à destination des machines secourues on utilise le ManualNAT pour pouvoir orienter le flux retour.

1-Sur les ASA on utilise une règle de ManualNAT pour cacher les adresses des clients:

object network TRS-246
subnet 10.37.246.0 255.255.255.0
object network MRS-246
subnet 10.103.246.0 255.255.255.0
object network INSIDE-172
range 192.172.0.0 192.172.255.254
nat (outside,inside) source dynamic any INSIDE-172 destination static TRS-246 MRS-246

Lorsqu'on décompose chaque clause de la commande nat ... sur une ligne distincte:

nat (outside,inside)
source dynamic any
INSIDE-172 destination static TRS-246 MRS-246

On peut traduire les actions ainsi :
* Lorsque le trafic outside correspond:
… une source (lient) any
… une destination (serveur) 10.37.246.0/24
* Envoyer à inside et translater
… la source (client) en utilisant une traduction dynamique en 192.172.0.0/16
… la destination (serveur) en utilisant une traduction statique en 10.103.246.0/24

2-Sur le commutateur en face de l'interface inside (sf033), indiquer une route pour le flux retour:

ip route-static 192.172.0.0 255.255.0.0 192.168.212.34

ASA 10.103.246.28 10.13.251.85 SRC 10.13.251.85 SRC 192.172.0.1 DST 10.37.246.28 DST 10.103.246.28 SRC 10.37.246.28 SRC 10.103.246.28 DST 10.13.251.85 DST 192.172.0.1 - Inside Outside - 10.103.218.28 10.13.254.146 SRC 192.172.0.2 NAT statique : SRC 10.13.254.146 DST 10.103.238.28 10.103.246.28 10.37.246.28 DST 10.37.238.28 10.103.238.28 10.37.238.28 NAT Dynamique : 192.172.0.1 10.13.254.146 192.172.0.2 10.13.251.85 SRC 10.103.238.28 SRC 10.37.238.28 DST 192.172.0.2 DST 10.13.254.146
journal/2021/day-2021-02-11.txt · Last modified: 2025/02/19 10:59 by 127.0.0.1