Existem razões para ir em qualquer direção que você e outros mencionaram.
Ter uma camada (tipo de trocadilho) de abstração na forma de static 1: 1 NAT é legal, já que você provavelmente não precisará renumerar os hosts internos se o seu bloco de WAN IP mudar. No entanto, as complexidades e nuances que o NAT introduz no fluxo de pacotes por meio de um ASA podem ser problemáticas quando comparadas a roteamento simples e verificações de ACL.
Meu ponto de vista pessoal é que o NAT está aqui para ficar com o IPv4. Para pilhas IPv4 em hosts, não tenho nenhum problema com o NAT estático no firewall upstream. Para pilhas IPv6 em hosts, no entanto, não há NAT. No ASA, IPv4 e IPv6 podem ser executados lado a lado, com NAT para IPv4 e roteamento tradicional para IPv6.
Existe um outro motivo pelo qual você pode querer usar o NAT estático e lidar com o crescimento. O ASA não suporta secondary
endereços IP nas interfaces . Digamos que seu upstream aloca um / 26 roteado diretamente para a interface externa do seu ASA. Você configura a interface dmz do seu ASA com o primeiro IP do host na sub-rede IP deixando 64 - 2 - 1 = 61 IPs de host válidos na sub-rede a ser usada pelos seus servidores.
Se você usar todos os 61 IPs de host restantes e precisar de mais, vá para upstream e diga: hey, preciso de outro / 26. Eles dão a você e encaminham novamente, diretamente para o IP externo do seu ASA. Você não pode atribuir o primeiro IP do host no segundo bloco à interface dmz do seu ASA como um endereço IP secondary
, como acontece com o IOS. Isso deixa você com algumas opções -
- Crie outra interface dmz2 no ASA (não desejável)
- Devolva o / 26, solicite um / 25 e renumere internamente (não desejável)
- Executar NAT estático (o que estamos argumentando contra fazer neste exemplo)
Em seguida, tome o mesmo paradigma - dessa vez com NAT estático 1: 1 fora < - > dmz desde o começo. Usamos todos os IPs disponíveis em nosso primeiro / 26 em NAT estáticos 1: 1. Solicitamos um segundo / 26 -
- Você pode solicitar diretamente a rota upstream diretamente para seu IP de interface externa ASA - salvando alguns endereços, pois o upstream não terá que atribuir um endereço no bloco como
secondary
Endereço IP em seu equipamento para ser usado como um gateway, mesmo que você não precise dele. Observe que a maioria dos provedores considera os 3 primeiros endereços IP do host como parte do VRRP / HSRP, reduzindo seus usos. - Se você não solicitar o encaminhamento direto do bloco, o upstream normalmente executará a segunda metade da opção anterior. O ASA, em seguida, o proxy ARP (como provavelmente faz com o primeiro bloco, dependendo de como ele é configurado) para o tráfego entregue localmente para esses IPs no domínio de broadcast do qual a interface externa é membro.
Lesson: If you already have a public IP block on your outside interface, always request that subsequent blocks be directly routed to your outside interface IP. This will give you additional usable IP's and you can still static NAT just fine.
Não importa o direcionamento direto ou o proxy ASA arp - com o NAT estático 1: 1 você pode começar a usar o segundo / 26 sem ter que mexer com a sub-rede dmz. Uma vez que você supere sua sub-rede dmz, você terá que fazer algumas acomodações - mas, novamente, há uma camada de abstração e você não precisa se preocupar com o lado da WAN.
Resposta final: Depende, mas com o IPv4 eu me inclino para o NAT no seu caso.