Skip to main content

NAT Exemption ဆိုတာဘာလဲ?

NAT Exemption ဆိုသည္မွ IP Packet တစ္ခုသည္ NAT Router ကိုျဖတ္သြားေသာအခါ Network Address မ်ား (Source-IP, Destination IP) ကိုအျခား IP Address တစ္ခုသို႔ ေျပာင္းလဲမသြားေစရန္ Configure ျပဳလုပ္ထားျခင္းသာ ျဖစ္ပါတယ္။
NAT Exemption ဆိုတာနားလည္ဖို႔အတြက္ ပထမဦးစြာ NAT ကိုအေျခခံအားျဖင့္ နားလည္ထားဖို႔လိုပါမယ္။ NAT သည္ Network Address Translation ျဖစ္ၿပီး IETF မွ သတ္မွတ္ျပဌာန္းေပးထားေသာ Standard တစ္ခုလည္းျဖစ္ပါတယ္။
Network တစ္ခုတြင္ Public IP Address တစ္ခု (သို႔) Public IP address ပမာဏအနည္းငယ္ရွိယုံမၽွျဖင့္ Private Network ထဲရွိ user ေပါင္းမ်ားစြာသည္ NAT ကိုသုံးျခင္းအားျဖင့္ Public Internet သို႔ ေရာက္ရွိနိုင္မည္ ျဖစ္သည္။ Router တြင္ NAT Function ကိုအသုံးျပဳလိုက္ေသာအခါ IP Packet မ်ား၏ Private Source IP ကို Public IP Address တစ္ခုသို႔ ေျပာင္းလဲလိုက္ျခင္းအားျဖင့္ Internet သို႔ေရာက္ရွိနိုင္မည္ျဖစ္သည္။
ထိုကဲ့သို႔ NAT Service ကိုမ်ားေသာအားျဖင့္ Router, Firewall, NAT Server စသည္တို႔တြင္ configure ျပဳလုပ္၍ သုံးနိုင္မည္ ျဖစ္မည္။



Dynamic NAT PAT Configuration on Cisco ASA Firewall for Internet Access


Private Network မွ Public Internet သို႔ Internet ခ်ိတ္ဆက္ရန္ အတြက္သာဆိုလၽွင္ NAT Router တြင္ NAT Exemption လုပ္ရန္မလိုေသာ္လည္း NAT Router ၏ Outside ဘက္အျခမ္းတြင္ VPN Tunnel ျဖင္ခ်ိတ္ဆက္ထားေသာ Private Network တစ္ခုရွိေနလၽွင္ NAT Exemption ကိုမျဖစ္မေနျပဳလုပ္ေပးရမည္ျဖစ္သည္။
ဥပမာအေနျဖင့္ Cisco ASA Firewall တစ္လုံးတြင္ Firewall ၏ Inside ဘက္မွ 172.20.1.0/24 Network မွ Internet Access ရရန္အတြက္ Dynamic NAT PAT ကို Configure ျပဳလုပ္ေပးရမွာ ျဖစ္ပါတယ္။ သို႔ရာတြင္ ၎ NAT Policy သည္ မည္သည့္ IP Packet ကို NAT Translation ျပဳလုပ္ရမလဲဆိုတာကို Firewall ဆီသို႔ ဝင္လာေသာ Packet ၏ Source IP ကိုသာ ၾကည့္မွာ ျဖစ္ပါတယ္။



NAT and NAT Exemption Configuration for both internet access and branch office access

အကယ္၍ ASA Firewall တြင္ 172.20.1.0/24 network Internet Access ရရန္အတြက္သာ Dynamic NAT PAT ကို configure ျပဳလုပ္ၿပီး 172.20.1.0/24 subnet မွ Branch Office 1 သို႔သြားေသာ Traffic မ်ားကို NAT Exemption မလုပ္ခဲ့ပါက 172.20.1.0/24 subnet မွ Branch Office 1 သို႔ သြားေသာ Packet မ်ားကို NAT Translation ျပဳလုပ္လိုက္သျဖင့္ Connection Error မ်ားေတြ႕ၾကဳံရမွာ ျဖစ္ပါတယ္။
အကယ္၍ ထိုအေျခအေနတြင္ Firewall တြင္ NAT Exemption ကိုျပလုပ္လိုက္မယ္ဆိုရင္ေတာ့ 172.20.1.0/24 subnet မွာရွိေနတဲ users မ်ား Internet Access ရေနတဲ့အခ်ိန္မွာပဲ branch1 office ဆီကိုလည္း vpn tunnel ေပၚမွတဆင့္ ေရာက္ရွိနိုင္မွာျဖစ္ပါတယ္။
 
#NAT_Exemption
#NAT0
#NoNAT
#CCNA_Security

Unicode_Version


NAT Exemption ဆိုတာဘာလဲ?

NAT Exemption ဆိုသည်မှ IP Packet တစ်ခုသည် NAT Router ကိုဖြတ်သွားသောအခါ Network Address များ (Source-IP, Destination IP) ကိုအခြား IP Address တစ်ခုသို့ ပြောင်းလဲမသွားစေရန် Configure ပြုလုပ်ထားခြင်းသာ ဖြစ်ပါတယ်။
NAT Exemption ဆိုတာနားလည်ဖို့အတွက် ပထမဦးစွာ NAT ကိုအခြေခံအားဖြင့် နားလည်ထားဖို့လိုပါမယ်။ NAT သည် Network Address Translation ဖြစ်ပြီး IETF မှ သတ်မှတ်ပြဌာန်းပေးထားသော Standard တစ်ခုလည်းဖြစ်ပါတယ်။
Network တစ်ခုတွင် Public IP Address တစ်ခု (သို့) Public IP address ပမာဏအနည်းငယ်ရှိယုံမျှဖြင့် Private Network ထဲရှိ user ပေါင်းများစွာသည် NAT ကိုသုံးခြင်းအားဖြင့် Public Internet သို့ ရောက်ရှိနိုင်မည် ဖြစ်သည်။ Router တွင် NAT Function ကိုအသုံးပြုလိုက်သောအခါ IP Packet များ၏ Private Source IP ကို Public IP Address တစ်ခုသို့ ပြောင်းလဲလိုက်ခြင်းအားဖြင့် Internet သို့ရောက်ရှိနိုင်မည်ဖြစ်သည်။
ထိုကဲ့သို့ NAT Service ကိုများသောအားဖြင့် Router, Firewall, NAT Server စသည်တို့တွင် configure ပြုလုပ်၍ သုံးနိုင်မည် ဖြစ်မည်။


Private Network မှ Public Internet သို့ Internet ချိတ်ဆက်ရန် အတွက်သာဆိုလျှင် NAT Router တွင် NAT Exemption လုပ်ရန်မလိုသော်လည်း NAT Router Outside ဘက်အခြမ်းတွင် VPN Tunnel ဖြင်ချိတ်ဆက်ထားသော Private Network တစ်ခုရှိနေလျှင် NAT Exemption ကိုမဖြစ်မနေပြုလုပ်ပေးရမည်ဖြစ်သည်။
ဥပမာအနေဖြင့် Cisco ASA Firewall တစ်လုံးတွင် Firewall Inside ဘက်မှ 172.20.1.0/24 Network မှ Internet Access ရရန်အတွက် Dynamic NAT PAT ကို Configure ပြုလုပ်ပေးရမှာ ဖြစ်ပါတယ်။ သို့ရာတွင် ၎င်း NAT Policy သည် မည်သည့် IP Packet ကို NAT Translation ပြုလုပ်ရမလဲဆိုတာကို Firewall ဆီသို့ ဝင်လာသော Packet Source IP ကိုသာ ကြည့်မှာ ဖြစ်ပါတယ်။



အကယ်၍ ASA Firewall တွင် 172.20.1.0/24 network Internet Access ရရန်အတွက်သာ Dynamic NAT PAT ကို configure ပြုလုပ်ပြီး 172.20.1.0/24 subnet မှ Branch Office 1 သို့သွားသော Traffic များကို NAT Exemption မလုပ်ခဲ့ပါက 172.20.1.0/24 subnet မှ Branch Office 1 သို့ သွားသော Packet များကို NAT Translation ပြုလုပ်လိုက်သဖြင့် Connection Error များတွေ့ကြုံရမှာ ဖြစ်ပါတယ်။
အကယ်၍ ထိုအခြေအနေတွင် Firewall တွင် NAT Exemption ကိုပြလုပ်လိုက်မယ်ဆိုရင်တော့ 172.20.1.0/24 subnet မှာရှိနေတဲ users များ Internet Access ရနေတဲ့အချိန်မှာပဲ branch1 office ဆီကိုလည်း vpn tunnel ပေါ်မှတဆင့် ရောက်ရှိနိုင်မှာဖြစ်ပါတယ်။



By :Aung Cho Htwe



Labels:

Comments

Post a Comment

Popular Posts

Cisco ASA Firewall Configuration (Part-2)

Cisco ASA Firewall Configuration (Part-2)     OSPFv2 Dynamic IP Routing on the Cisco ASA Firewall ကဲဒီေန႔ေတာ့ ASA Firewall နဲ႔ OSPFv2 တြဲစမ္းၾကတာေပါ့ .... အေပၚကပုံမွာျပထားတဲ့  OSPF Configuration Commands ေတြအတိုင္း လက္ေတြ႕လုပ္ႏွိုင္ၿပီျဖစ္ပါတယ္။ Cisco ASA Firewall နဲ႔ OSPF Routing Protocol အေျခခံအနည္းငယ္ေတာ႔သိထားရမွာျဖစ္ပါတယ္။ ospfv2 verification commands for cisco asa firewall ASA1# show interface ip brief ASA1# show route ASA1# show ospf interface ASA1# s how ospf neighbor ASA1# show ospf database Supported Routing Protocols for ASA Firewall Dynamic IP Routing •Enhanced Interior Gateway Routing Protocol (EIGRP) Enhanced Interior Gateway Routing Protocol (EIGRP) is an advanced distance-vector routing protocol that is used on a computer network to help automate routing decisions and configuration. The protocol was designed by Cisco Systems as a proprietary protocol, available only on Cisco routers. Partial functionality of EIGRP was converted to
Post a Comment
Read more