root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

NAT identity exemption and NAT outside on Cisco ASA 8.2


1. Dynamic identity NAT Cisco ASA


- Câu lệnh
Code:
nat (inside) 0 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
- 0: là đại diện cho identity NAT
- inside: 10.0.0.0 là lớp mạng 10.0.0.0 vùng inside đi qua firewall Cisco ASA không cần phải NAT.
- Nhược điểm:
  • Vùng inside qua DMZ không cần NAT
  • Nhưng vùng inside ra outside cũng không NAT, điều này có thể làm cho Inside không đi được Internet trong trường hợp ISP yêu cầu NAT ở Router.
- Để giải quyết vấn đề này bạn cần sử dụng Static identity NAT trên Cisco ASA.

 Dynamic identity NAT cisco asa (5)


2. Static Identity NAT Cisco ASA
- Câu lệnh
Code:
static (inside,DMZ) 10.0.0.20 10.0.0.20 netmask 255.255.255.255 tcp 0 0 udp 0
- 10.0.0.20 là địa chỉ vùng Inside (vì nat static từ vùng inside ra outside thì IP là IP DMZ rồi tới IP của inside).
- Từ inside qua DMZ thì không cần phải NAT và để giải quyết vấn để ở trên của Dynamic identity NAT thì ở đây các bạn dùng thêm 1 câu lệnh NAT sao cho IP từ vùng inside ra outside phải NAT.
- Ví dụ: (hoặc bạn có thể dùng PAT cũng được)
static(inside,outside) 10.0.0.20 209.165.100.5 netmask 255.255.255.0

 Static Identity NAT cisco asa (1)


3. NAT exemption Cisco ASA
- NAT exemption là traffic qua Firewall Cisco ASA sẽ không cần phải NAT.
- Câu lệnh
Code:
access-list NO-NAT line 1 extended permit ip host 10.0.0.0 255.255.255.0 172.16.0.0 255.255.255.0

nat (inside) 0 access-list NO-NAT tcp 0 0 udp 0
- So sánh Identity NAT và Dynamic Identity NAT.

 NAT exemption cisco asa (1)


- So sánh Identity NAT và NAT exemption cisco ASA.

 Identity NAT và NAT exemption cisco asa (1)


4. Outside NAT Cisco ASA
- Thường dùng cho việc security 1 lớp mạng hay 1 máy chủ mà bạn không muốn người truy cập biết IP thật của lớp mạng hay Ip máy chủ thật.
- Lúc này user truy cập vào IP máy chủ sẽ thông qua 1 IP khác.
Code:
static (outside,inside) 10.0.8.135 209.165.202.135 netmask 255.255.255.255 tcp 0 0 udp


Các bài lý thuyết trong
Module 7
: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu