Witam,
która z metod konfiguracji NAT na ASA jest zalecana - Twice NAT czy Object NAT?
Witam,
która z metod konfiguracji NAT na ASA jest zalecana - Twice NAT czy Object NAT?
Na urządzeniach Cisco ASA w wersji 8.3 i nowszych zmieniła się metoda konfiguracji funkcjonalności NAT. Są 3 sekcje, wykonywane w poniższej kolejności:
Każda sekcja może nie zawierać żadnej lub może zawierać wiele translacji. Nie ma oficjalnej sugestii od Cisco (na dzień 2015.02.11), która wskazywałaby, w której z sekcji należy umieszczać wpisy translacji. Aby dokonać właściwego wyboru, wymieńmy główne różnice pomiędzy Object NAT a Twice NAT.
Pierwszą istotną różnicą jest, aby pamiętać, że wpisy w sekcji 2 są porządkowane automatycznie, natomiast w sekcjach 1 i 3 możemy je dowolnie między sobą przesuwać.
Drugą różnicą są możliwości klasyfikacji ruchu, który obejmie reguła NAT. Najlepiej obrazuje to okno dialogowe konfiguracji Object NAT:
i Twice NAT:
Jak widzimy, Object NAT obejmuje translację na obiekcie typu Network (zazwyczaj). Natomiast Twice NAT daje szersze możliwości wskazania, o który przepływ konkretnie chcemy modyfikować regułą NAT.
Uwaga od strony praktycznej:
Object NAT jest wygodną i szybką metodą wdrożenia reguły NAT, więc oczywiście z niej korzystamy. Natomiast jak zaczniemy przesuwać reguły w górę i w dół zmieniając ich kolejność, to zdarzyło mi się, że reguła Object NAT "wskoczyła" do sekcji 1 lub 2. Czyli ASDM przekształcił ją w regułę Twice NAT. Ale w drugą stronę nie udało mi się jej przywrócić do sekcji 2 (ASA 8.4). W efekcie, jeśli dużo kombinujemy w konfiguracji NAT na ASA, to z czasem zostają same wpisy Twice NAT, wygoda przesuwania jakoś powoduje, że z czasem tak się po prostu dzieje.