cisco service news letter | technical document | 8.3 | asa firewall · 실제 이 문서의...

이번 호 에서는 ASA firewall version 8.3 이후에 NAT 동작우선 순위에 대해서 소개해 드리고 실제로 발생되었던 케이스를 study해 보도록 하겠습니다.

ASA firewall 8.2에서 8.3으로 바뀌면서 ASA 내부에서 NAT 동작을 간소화시키기 위해서 NAT가 재 디자인되었고, real IP 및 global ACL을 사용할 수 있도록 바뀌었습니다.

실제로 이 문서의 내용으로 열리는 케이스가 많이 있으며, 이 문서를 통해서 관련 SR이 많이 줄어들 것으로 예상 해봅니다.

Cisco Service News Letter | Technical Document | 8.3 이후에서 NAT 동작 우선순위 | ASA Firewall

1 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC.

위 목차의 순서대로

우선 NAT 종류를 확인한 후 ASA Firewall에서의 NAT 동작 우선 순위 와 Real-IP 사용 방법에 대해서 알아 볼 예정입니다.

그리고 마지막으로 case study를 통해 적용사례, 장비 output을 확인해 보도록 하겠습니다.

2


All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC.

• Object-NAT (Auto-NAT)란

Object NAT는 가장 간단한 형태의 NAT이며, object 안에서 정의가 되며, source-only에 대해서 NAT을 할 경우에 매우 적합합니다. NAT 테이블의 section 2 (본 문서 8 page 참조)에 해당 되며, 이는 automatic하게 우선 순위가 정해집니다.

• Manual-NAT (Twice-NAT)란

Manual NAT에서는 source 및 destination translation을 명시할 수 있습니다. NAT 테이블의 section 1 또는 section 3 (본 문서 8 page 참조)에 해당이 됩니다. Manual하게 우선 순위를 정할 수 있습니다.

All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. Cisco Korea TAC. 3


위 내용은 Object NAT의 하나인 Network NAT에 대한 설정을 ASA firewall 8.3이후 version과 8.3 이전 version에서 확인한 내용입니다.

Inside의 subnet 10.0.54.0/24에 있는 모든 host들이 203.0.113.0/24로 static하게 NAT되는 network NAT의 예 입니다.



위 내용은 Object NAT의 하나인 Host NAT에 대한 설정을 ASA firewall 8.3이후 version과 8.3 이전 version에서 확인한 내용입니다.

Inside에 있는 host 10.3.19.50/32가 198.51.100.50으로 static하게 NAT되는 Host NAT의 예입니다.



위 내용은 Object NAT의 하나인 Dynamic NAT에 대한 설정을 ASA firewall 8.3이후 version과 8.3 이전 version에서 확인한 내용입니다.

Inside의 subnet 192.168.2.0/24에 있는 모든 host들이 dynamic하게 outside interface로 PAT되는 Dynamic PAT의 예 입니다.



위 내용은 Manual NAT의 하나인 NAT 0 또는 nat exempt에 대한 설정을 ASA firewall 8.3이후 version과 8.3 이전 version에서 확인한 내용입니다.

Inside의 subnet 10.10.10.0/24에 있는 host들이 192.168.1.0/24에 있는 host들과 통신을 할 경우에만, nat가 되지 않도록 하는 nat exempt의 예 이며, 이러한 nat exempt는 site2site나 remote access vpn인 경우에 항상 사용이 됩니다.



위에 있는 그림은 NAT 우선 순위를 보여 주고 있습니다.

ASA NAT 설정하면 NAT 테이블이 만들어 지며, NAT 테이블은 First Match(top to bottom)으로 적용이 됩니다.

* 추가적으로 설명을 드리면 NAT 테이블은 위에서 보시는 것 처럼, 3개의 section들로 구성이 되어 있으며, IOS에서 사용하는 ACL과 마찬가지로 먼저 match되는 NAT 항목이 있으면 더 이상 NAT 테이블을 참조하지 않고 바로 NAT 테이블을 빠져나가게 됩니다.

Section 1은 Manual NAT 정책, section 2는 Auto NAT 정책, section 3은 Manual NAT[after auto] 정책으로 구성되어 있습니다.



위 내용처럼 ‘show nat (detail)’ 명령어를 사용하여 NAT 동작 우선 순위를 확인할 수 있습니다.

앞 슬라이드에서 보신 것처럼 Section 1은 Manual NAT 정책, section 2는 Auto NAT 정책, section 3은 Manual NAT[after auto] 정책으로 구성되어 있는 것을 확인할 수 있으며, translate_hits 카운터를 통해서 해당 NAT 정책이 적용이 되고 있는지를 알 수 있습니다.

* 참고로 ‘show nat pool’를 사용하여 할당된 주소나 포트를 확인할 수 있습니다.



앞서 말씀 드린 데로 버전 8.3이후부터는 Real-IP가 ACL에서 사용이 되며, 모든 NAT에 적용이 됩니다.

위 예는 ACL에 서버의 Real(local) IP(10.3.19.50)을 포함하고 있는 HOST NAT의 예 입니다.

8.3이전 버전에서는 아래와 같이 ACL에 mapped IP(198.51.100.50)를 사용하도록 되어 있습니다.

access-list allowIn permit tcp any host 198.51.100.50 eq 80



실제로 한 고객분이 L2L 또는 S2S vpn을 한국과 홍콩간에 사용하려고 하는 상황에서,

홍콩에서 시도하면 vpn tunnel이 up이 되어서 정상적으로 트래픽이 흐르고,

한국에서 시도하면 vpn tunnel이 up이 되지만 정상적으로 트래픽이 흐르지 않는

이슈가 발생하여 SR을 진행한 적이 있습니다.

참고) vpn tunnel을 up하기 위해서는 10.81.0.0/16 과 10.83.0.0/16간에 흐르는 패킷이 있어야함



기본적인 vpn tunnel 설정에는 아무런 이상이 없었으며, 한국에 있는 ASA에서 NAT설정은 위와 같이 되어 있었습니다.

고객 분은 Manual NAT 정책만을 사용하고 있었고, 첫 번째 nat 설정은 Inside에 있는 모든 host들은 outside에 있는 IP로 dynamic하게 PAT가 되도록 설정이 되어 있었으며, 마지막 nat 설정은 inside의 subnet 10.83.0.0/16에 있는 모든 host들이 10.81.0.0/16으로 통신을 할 경우에는 NAT가 되지 않도록 설정이 되어 있었습니다.



한국에 있는 ASA에서 show nat의 output은 위와 같이 첫 번째 NAT에만 translate_hits 카운트가 있고 마지막 NAT의 translate_hits 카운트가 없음을 알 수 있습니다.

NAT 우선 순위에 있는 first match 규칙에 따라서 첫 번째 NAT에만 hitting되어 NAT가 되지 않아야 되는 트래픽이 NAT되는 것을 알 수 있었습니다.



현재 NAT 설정에서는 처음에 정의된 NAT에 hit가 되기 때문에 한국에서 홍콩으로 vpn tunnel이 up이 되지만 정상적으로 트래픽이 흐르지 않는 이유였으며, 처음에 정의된 NAT configuration을 지우고 다시 적용함으로써 Match 되는 순서를 바꿔줌으로서 이슈를 해결 하였습니다.

지금까지 여러분은 NAT 우선 순위가 어떠한 식으로 적용이 되는지를 실례로 확인하였고, NAT 우선 순위는 first match 규칙이 section 1,2,3 및 각 section 별로 적용된다는 것을 보았습니다.



8.3+ 또는 이후 버전에 대한 자세한 설정에 대한 내용은 아래에 있는 url를 참조하시면 됩니다.

http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/nat_overview.html#wp1118157



http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/nat_overview.html

http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/nat_overview.html

cisco service news letter | technical document | 8.3 | asa firewall · 실제 이 문서의...

Documents