Skip to main content

NAT Exemption ဆိုတာဘာလဲ?

NAT Exemption ဆိုသည္မွ IP Packet တစ္ခုသည္ NAT Router ကိုျဖတ္သြားေသာအခါ Network Address မ်ား (Source-IP, Destination IP) ကိုအျခား IP Address တစ္ခုသို႔ ေျပာင္းလဲမသြားေစရန္ Configure ျပဳလုပ္ထားျခင္းသာ ျဖစ္ပါတယ္။
NAT Exemption ဆိုတာနားလည္ဖို႔အတြက္ ပထမဦးစြာ NAT ကိုအေျခခံအားျဖင့္ နားလည္ထားဖို႔လိုပါမယ္။ NAT သည္ Network Address Translation ျဖစ္ၿပီး IETF မွ သတ္မွတ္ျပဌာန္းေပးထားေသာ Standard တစ္ခုလည္းျဖစ္ပါတယ္။
Network တစ္ခုတြင္ Public IP Address တစ္ခု (သို႔) Public IP address ပမာဏအနည္းငယ္ရွိယုံမၽွျဖင့္ Private Network ထဲရွိ user ေပါင္းမ်ားစြာသည္ NAT ကိုသုံးျခင္းအားျဖင့္ Public Internet သို႔ ေရာက္ရွိနိုင္မည္ ျဖစ္သည္။ Router တြင္ NAT Function ကိုအသုံးျပဳလိုက္ေသာအခါ IP Packet မ်ား၏ Private Source IP ကို Public IP Address တစ္ခုသို႔ ေျပာင္းလဲလိုက္ျခင္းအားျဖင့္ Internet သို႔ေရာက္ရွိနိုင္မည္ျဖစ္သည္။
ထိုကဲ့သို႔ NAT Service ကိုမ်ားေသာအားျဖင့္ Router, Firewall, NAT Server စသည္တို႔တြင္ configure ျပဳလုပ္၍ သုံးနိုင္မည္ ျဖစ္မည္။



Dynamic NAT PAT Configuration on Cisco ASA Firewall for Internet Access


Private Network မွ Public Internet သို႔ Internet ခ်ိတ္ဆက္ရန္ အတြက္သာဆိုလၽွင္ NAT Router တြင္ NAT Exemption လုပ္ရန္မလိုေသာ္လည္း NAT Router ၏ Outside ဘက္အျခမ္းတြင္ VPN Tunnel ျဖင္ခ်ိတ္ဆက္ထားေသာ Private Network တစ္ခုရွိေနလၽွင္ NAT Exemption ကိုမျဖစ္မေနျပဳလုပ္ေပးရမည္ျဖစ္သည္။
ဥပမာအေနျဖင့္ Cisco ASA Firewall တစ္လုံးတြင္ Firewall ၏ Inside ဘက္မွ 172.20.1.0/24 Network မွ Internet Access ရရန္အတြက္ Dynamic NAT PAT ကို Configure ျပဳလုပ္ေပးရမွာ ျဖစ္ပါတယ္။ သို႔ရာတြင္ ၎ NAT Policy သည္ မည္သည့္ IP Packet ကို NAT Translation ျပဳလုပ္ရမလဲဆိုတာကို Firewall ဆီသို႔ ဝင္လာေသာ Packet ၏ Source IP ကိုသာ ၾကည့္မွာ ျဖစ္ပါတယ္။



NAT and NAT Exemption Configuration for both internet access and branch office access

အကယ္၍ ASA Firewall တြင္ 172.20.1.0/24 network Internet Access ရရန္အတြက္သာ Dynamic NAT PAT ကို configure ျပဳလုပ္ၿပီး 172.20.1.0/24 subnet မွ Branch Office 1 သို႔သြားေသာ Traffic မ်ားကို NAT Exemption မလုပ္ခဲ့ပါက 172.20.1.0/24 subnet မွ Branch Office 1 သို႔ သြားေသာ Packet မ်ားကို NAT Translation ျပဳလုပ္လိုက္သျဖင့္ Connection Error မ်ားေတြ႕ၾကဳံရမွာ ျဖစ္ပါတယ္။
အကယ္၍ ထိုအေျခအေနတြင္ Firewall တြင္ NAT Exemption ကိုျပလုပ္လိုက္မယ္ဆိုရင္ေတာ့ 172.20.1.0/24 subnet မွာရွိေနတဲ users မ်ား Internet Access ရေနတဲ့အခ်ိန္မွာပဲ branch1 office ဆီကိုလည္း vpn tunnel ေပၚမွတဆင့္ ေရာက္ရွိနိုင္မွာျဖစ္ပါတယ္။
 


NAT Exemption ဆိုတာဘာလဲ?

NAT Exemption ဆိုသည်မှ IP Packet တစ်ခုသည် NAT Router ကိုဖြတ်သွားသောအခါ Network Address များ (Source-IP, Destination IP) ကိုအခြား IP Address တစ်ခုသို့ ပြောင်းလဲမသွားစေရန် Configure ပြုလုပ်ထားခြင်းသာ ဖြစ်ပါတယ်။
NAT Exemption ဆိုတာနားလည်ဖို့အတွက် ပထမဦးစွာ NAT ကိုအခြေခံအားဖြင့် နားလည်ထားဖို့လိုပါမယ်။ NAT သည် Network Address Translation ဖြစ်ပြီး IETF မှ သတ်မှတ်ပြဌာန်းပေးထားသော Standard တစ်ခုလည်းဖြစ်ပါတယ်။
Network တစ်ခုတွင် Public IP Address တစ်ခု (သို့) Public IP address ပမာဏအနည်းငယ်ရှိယုံမျှဖြင့် Private Network ထဲရှိ user ပေါင်းများစွာသည် NAT ကိုသုံးခြင်းအားဖြင့် Public Internet သို့ ရောက်ရှိနိုင်မည် ဖြစ်သည်။ Router တွင် NAT Function ကိုအသုံးပြုလိုက်သောအခါ IP Packet များ၏ Private Source IP ကို Public IP Address တစ်ခုသို့ ပြောင်းလဲလိုက်ခြင်းအားဖြင့် Internet သို့ရောက်ရှိနိုင်မည်ဖြစ်သည်။
ထိုကဲ့သို့ NAT Service ကိုများသောအားဖြင့် Router, Firewall, NAT Server စသည်တို့တွင် configure ပြုလုပ်၍ သုံးနိုင်မည် ဖြစ်မည်။


Private Network မှ Public Internet သို့ Internet ချိတ်ဆက်ရန် အတွက်သာဆိုလျှင် NAT Router တွင် NAT Exemption လုပ်ရန်မလိုသော်လည်း NAT Router Outside ဘက်အခြမ်းတွင် VPN Tunnel ဖြင်ချိတ်ဆက်ထားသော Private Network တစ်ခုရှိနေလျှင် NAT Exemption ကိုမဖြစ်မနေပြုလုပ်ပေးရမည်ဖြစ်သည်။
ဥပမာအနေဖြင့် Cisco ASA Firewall တစ်လုံးတွင် Firewall Inside ဘက်မှ 172.20.1.0/24 Network မှ Internet Access ရရန်အတွက် Dynamic NAT PAT ကို Configure ပြုလုပ်ပေးရမှာ ဖြစ်ပါတယ်။ သို့ရာတွင် ၎င်း NAT Policy သည် မည်သည့် IP Packet ကို NAT Translation ပြုလုပ်ရမလဲဆိုတာကို Firewall ဆီသို့ ဝင်လာသော Packet Source IP ကိုသာ ကြည့်မှာ ဖြစ်ပါတယ်။



အကယ်၍ ASA Firewall တွင် 172.20.1.0/24 network Internet Access ရရန်အတွက်သာ Dynamic NAT PAT ကို configure ပြုလုပ်ပြီး 172.20.1.0/24 subnet မှ Branch Office 1 သို့သွားသော Traffic များကို NAT Exemption မလုပ်ခဲ့ပါက 172.20.1.0/24 subnet မှ Branch Office 1 သို့ သွားသော Packet များကို NAT Translation ပြုလုပ်လိုက်သဖြင့် Connection Error များတွေ့ကြုံရမှာ ဖြစ်ပါတယ်။
အကယ်၍ ထိုအခြေအနေတွင် Firewall တွင် NAT Exemption ကိုပြလုပ်လိုက်မယ်ဆိုရင်တော့ 172.20.1.0/24 subnet မှာရှိနေတဲ users များ Internet Access ရနေတဲ့အချိန်မှာပဲ branch1 office ဆီကိုလည်း vpn tunnel ပေါ်မှတဆင့် ရောက်ရှိနိုင်မှာဖြစ်ပါတယ်။



Comments

Popular Posts

Cisco ASA Firewall Configuration (Part-1)

Cisco ASA Firewall Configuration (Part-1) ASA Firewall Interface Security Levels and Interface Configuration ASA Firewall တြင္ security level ဆိုသည္မွာ Firewall ၏ interface မ်ားတြင္ သတ္မွတ္ေပးထားနိုင္သည့္ ယုံၾကည္စိတ္ခ်ရမႈ (trusted value) တန္ဖိုးမ်ားပင္ ျဖစ္သည္။ သတ္မွတ္ေပးနိုင္ေသာ တန္ဖိုးမွာ 0 မွ 100 အထိျဖစ္သည္။ Firewall ၏ interface တစ္ခုသည္ network တစ္ခုကိုခ်ိတ္ဆက္ထားရာတြင္ interface တြင္သတ္မွတ္ထားေသာ security level တန္ဖိုးျမင့္ေလေလ ၎ network ကိုပို၍ ယုံၾကည္စိတ္ခ်ရေသာ network တစ္ခုအျဖစ္သတ္မွတ္နိုင္ေလျဖစ္သည္။ ဥပမာ- Internet ခ်ိတ္ထားေသာ ouside network security level = 0 Origanization ၏ private network / Inside network security level = 100 DMZ network security level = 50 ASA Firewall Default Traffic Flow • ASA Firewall တြင္ default အေနျဖင့္ high-security-level မွလာေသာ packet တစ္ခုသည္ lower-security-level interface သို႔ packet forward ျပဳလုပ္ေပးနိုင္သည္။ • ထို႔အျပင္ ASA Firewall သည္ stateful packet filtering function ရေသာေၾကာင့္ forward ျပဳလုပ္လိုက္ေသာ packet တစ္ခု၏ state informatio...

DMVPN ( Dynamic Multipoint Virtual Private Network ) Part-2

DMVPN Features and Benefits  Dynamic Routing Over VPN DMVPN Network ကို တည္ေဆာက္ရာတြင္ m GRE ကို အေျခခံ၍ တည္ေဆာက္သည့္အတြက္ ၄င္း GRE VPN network(DMVPN cloud) ေပၚမွတစ္ဆင့္ EIGRP,BGP,RIPv2,OSPF စတဲ႔ routing protocols တို႔၏ routing update မ်ားကို သယ္ပို႔ႏိုင္မွာ ျဖစ္ပါတယ္။ IP Multicast Support DMVPN network ဟာ GRE ကိုအေျခခံျပီး တည္ေဆာက္ႏိုင္ေၾကာင္း ကၽြန္ေတာ္တို႔သိခဲ့ျပီးျဖစ္ပါတယ္။ GRE ဟာ IP multicast packet ေတြကို သယ္ေဆာင္ေပးႏိုင္တဲ့အတြက္ DMVPN network ေပၚကေန multicast traffic ေတြကို သယ္ေဆာင္ေပးႏိုင္မွာပဲျဖစ္ပါတယ္။ Reduced Configuration Overhead ဒီတစ္ခ်က္ဟာ branch offices ေပါင္းမ်ားစြာကို secure VPN ခ်ိတ္ဆက္ဖို႔ တာ၀န္ယူရတဲ့ Network Enginner ေတြအတြက္ အေတာ္သက္သာသြားေစမယ့္ အခ်က္ပဲျဖစ္ပါတယ္။ အကယ္၍သာ branch office ေပါင္း (1000) ရွိတဲ႔ network တစ္ခုအတြက္ point to point vpn topology ကိုပဲ အသံုးျပဳခဲ့မယ္ဆိုရင္ P2P vpn tunnel ေပါင္း 1000 တည္ေဆာက္ရမွာျဖစ္ပါတယ္။ ဒီအခါမွာ ipsec နဲ႔ ပတ္သက္တဲ႔ configuration ေတြဟာ P2P tunnel တစ္ခုျခင္းစီမွာ ...