root

Well-Known Member

Lab configure static nat on cisco asa 8.2


I. Sơ đồ và yêu cầu
1. Sơ đồ Lab configure static nat on cisco asa 8.2

configure static nat on cisco asa 8.2 (1)

2. Yêu cầu
-
Từ bên ngoài (outside) truy cập vào các server http, https trong vùng inside thông qua IP global 150.0.0.10/24

II. Triển khai Lab configure static nat on cisco asa 8.2


1. Cấu hình IP và định tuyến
- Trên ISP:

Code:
ISP(config)#inter f0/0
ISP(config-if)#ip address 150.0.0.2 255.255.255.0
ISP(config-if)#no shutdown
- Trên R1: Cấu hình IP, trỏ default-route về ASA và mở port 80

Code:
R1(config)#int f0/0
R1(config-if)#ip address 192.168.20.10 255.255.255.0
R1(config-if)#no shutdown

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.254

// mở port 80
R1(config)#ip http server
- Trên R2: cấu hình tương tự R1.

Code:
R2(config)#int f0/0
R2(config-if)#ip address 192.168.20.20 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit


R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.254
//mở port 443
R2(config)#ip http secure-server
- Trên ASA: cấu hình IP, nameif và trỏ default-gateway về ISP.

Code:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 150.0.0.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config)# route outside 0 0 150.0.0.2
ciscoasa(config)# fix protocol icmp

2. Cấu hình Access-list và Static NAT on Cisco ASA


- Trên ASA cấu hình Acess-list mở các port 80 và 443 để cho phép outside truy cập vào inside

Code:
ciscoasa(config)# static (inside,outside) tcp 150.0.0.10 80 192.168.20.10 80 netmask 255.255.255.255
ciscoasa(config)# static (inside,outside) tcp 150.0.0.10 443 192.168.20.20 443 netmask 255.255.255.255
- Cấu hình Static NAT inside để outside truy cập vào inside thông qua IP outside 150.0.0.10 port 80 và 443.

Code:
ciscoasa(config)# static (inside,outside) tcp 150.0.0.10 80 192.168.20.10 80 netmask 255.255.255.255
ciscoasa(config)# static (inside,outside) tcp 150.0.0.10 443 192.168.20.20 443 netmask 255.255.255.255
3. Kiểm tra Lab configure static nat on cisco asa 8.2
- ISP telnet vào inside 192.168.10.10 không được.
- ISP telnet vào inside thông qua 150.0.0.10 port 80 thì vào được

ciscoasa(config)# sh xlate detail
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
TCP PAT from inside:192.168.20.10/80 to outside:150.0.0.10/80 flags sr
TCP PAT from inside:192.168.20.20/443 to outside:150.0.0.10/443 flags sr
ciscoasa(config)# sh conn

1 in use, 1 most used
TCP out 150.0.0.2:43689 in 192.168.20.20:443 idle 0:00:24 bytes 0 flags UB
configure static nat on cisco asa 8.2 (2)

-
Tương tự ISP truy cập https vào R3 thông qua 150.0.0.10 port 443.

ciscoasa(config)# sh xlate detail

2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static

TCP PAT from inside:192.168.20.10/80 to outside:150.0.0.10/80 flags sr
TCP PAT from inside:192.168.20.20/443 to outside:150.0.0.10/443 flags sr
ciscoasa(config)# sh conn

1 in use, 1 most used
TCP out 150.0.0.2:43689 in 192.168.20.20:443 idle 0:00:24 bytes 0 flags UB
 
Last edited:
Top