ASA 5500 기본 interface 설정과 NAT 개념

 

Cisco ASA 5500 시리즈 기본 interface 설정입니다.

 

각 포트별로 내부,외부,DMZ등 용도를 구분하여 설정할수 있는 부분입니다.

이 부분이 이루어져야 기본적으로 통신이 되어 네트워크를 구성할 수 있습니다.

각 인터페이스별로 이름과 IP, Media type, Duplex, Speed등을 설정할 수 있습니다.

 

 NAT(Network Address Translation)은 내부사용자의 사설 IP를 외부와의 통신이 가능한 공인 IP로의 주소 변환을 의미

        –Port Address Translation (PAT)

          • 1:N Dynamic NAT 로 1개의 대표 IP가 사용하는 Service Port 을 대상으로 내부의 모든 사설

                IP의 연결을 맵핑 하는 설정

          •특정 대표 IP를 지정하거나 Outside Interface의 IP를 그대로 사용하도록 선택 가능

               Note: 한 개의 대표 IP 당 PAT가 가능한 개수는 약 1024-~ 65535 즉, 약 65000 개

                    정도까지만 가능함, 따라서 사용되는 Connection 수가 65000개가 넘을 경우 해당 내부

                         IP 대역에 대한 대표 IP를 한 개 이상으로 설정하여야 함

      –1: 1 Dynamic Network Address Translation (NAT)

          •1:1 Dynamic NAT 로 1개의 공인 IP당 1개의 사설 IP를 동적으로 맵핑하는 설정

               Note: 지정된 범위내의 IP 대역 맵핑이 모두 사용될 경우 해당 사설 IP의 연결이 소멸되기

                    전까지 추가 연결 불가

      –1:1 Static Network Address Translation

          •공인 IP 하나에 사설 IP 하나씩 고정적으로 맵핑하는 설정

          •주로 외부에 공개 가능한 내부 서버 또는 서비스에 대해 사용

        –NAT 제외 설정(NAT Exemption Rule)

          •내부 IP가 외부로의 라우팅이 가능한 IP이면서, 공개가 가능한 IP인 경우

          •주소변환을 사용하지 않고 내부 IP 그대로 사용할 때 설정

               Note: Default 설정상 ASA 8.0 에서는 no nat-control 설정 즉, 모든 내부 IP에 대해서 마치

            NAT 제외 설정을 한 것처럼 내부 IP 그대로 사용되도록 설정되어 있음, 이 경우, 특정

            대역에 대해서 NAT 설정할 경우에만 NAT가 동작함

 

 

 Port Redirection 설정

    –NAT 응용설정으로 내부의 특정 서비스 포트에 대해서 외부에 공개된 서비스 포트를 다르게 맵핑하는 설정

    –예: 외부에서 내부로 공개된 IP TCP8080으로 접속하는 트래픽을 모두 내부 IP TCP 80 포트로 리다이렉션

    –주로 Well Known Port 에 대한 보안 목적 또는 서비스포트 중복 시 사용됨