Cisco ASA [Chapter 7.2] Cisco ASA NAT configuration

root

root

Specialist

II. Cisco ASA NAT configuration


1. Static NAT Cisco ASA


- Định hệ quy chiếu: interface inside, outside(khác với inside local, inside global…)
Mã: 
Router(config-if)# ip nat inside
Router(config-if)# ip nat outside
- Thực hiện NAT
Mã: 
Router(config)# ip nat inside source static local-ip global-ip
Ví dụ:

Static NAT configuration cisco asa (1)

- Chọn hệ quy chiếu
Mã: 
(config)#int f0/0 (config)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip nat inside

(config)#int f0/1
(config)#ip address 199.100.35.254 255.255.255.252
(config-if)#ip nat outside
- Thực hiện NAT Static
Mã: 
(config)#ip nat inside source static 10.1.1.3 204.15.87.1
(config)#ip nat inside source static 10.1.2.2 204.15.87.2
- Show bảng NAT

Static NAT configuration cisco asa (2)
Mã: 
(config)#ip nat inside source static 10.1.1.3 204.15.87.1(config)#ip nat inside source static 10.1.2.2 204.15.87.2
- Thực hiện NAT static dạng outside
Mã: 
(config)#ip nat outside source static 201.114.37.5 10.1.3.1

  • 201.114.37.5: là địa chỉ Outside Global
  • 10.1.3.1: địa chỉ outside local
-Bên trong muốn truy cập đến 201.114.37.5 thì phải gõ vào 10.1.3.1

Static NAT Outside cisco asa (1)

2. Dynamic NAT on Firewall ASA


- Dùng Pool để mô tả địa chỉ Global inside
Mã: 
Router(config)# ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
- Dùng ACL để mô tả IP inside local
Mã: 
Router(config)# ip nat inside source list access-list-number pool name
- Thiết lập Dynamic NAT
Mã: 
Router(config)# ip nat inside source list access-list-number pool name

Ví dụ:
- Lệnh NAT “ip nat inside source list 1 pool net-2008” nghĩa là nguyên đám IP được mô tả trong ACL 1 sẽ được NAT bằng nguyên đám IP được mô tả trong pool net-208
static nat outside cisco asa example (1)

3. Cisco ASA NAT overload (PAT)


- Sử dụng ACL để mô tả IP inside
Mã: 
Router(config)# ip nat inside source list access-list-number interface interface overload
- Thực hiện lệnh NAT
Mã: 
Router(config)# ip nat inside source list access-list-number interface interface overload
Ví dụ:

Nat overload cisco asa (1)


Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Sửa lần cuối:
Bài viết liên quan
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 4.4] Dynamic Routing Protocols bởi root,
Tổng hợp các bài lý thuyết Cisco ASA bởi root,
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 8] Configure Acess List Cisco ASA bởi root,
Bài viết mới
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 4.4] Dynamic Routing Protocols bởi root,
Tổng hợp các bài lý thuyết Cisco ASA bởi root,
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 8] Configure Acess List Cisco ASA bởi root,
III. Route map và Case study
1. Route MAP (nếu … thì)
- Là mệnh đề điều kiện: Nếu … thì. Có 2 loại mệnh đề
  • MĐ khẳng định: “Permit” Nói sao làm vậy
  • MĐ phủ định: “deny”nói mà ko làm
1.1. Mệnh đề khẳng định:
- Mệnh đề điều kiện “abc” phát biểu thứ 10
Mã: 
route-map abc permit 10
- Những lớp mạng được mô tả trong ACL số 101.
Mã: 
match ip address 101
- Những lớp mạng được mô tả là những lớp mạng có chữ “permit”. Như vd dưới thì nó chỉ quan tâm đến mạng 10.0.0.0
Mã: 
access-list 101 permit 10.0.0.0
access-list 101 deny 11.0.0.0
- Những lớp mạng được mô tả trong ACL 101 thì sẽ có địa chỉ next-hop là 192.168.1.1
Mã: 
Set ip next-hop 192.168.1.1
1.2. Mệnh đề phủ định:
- Những lớp mạng có chữ “deny” phía trước sẽ rớt xuống phát biểu tiếp theo
- Luôn luôn có 1 phát biểu phủ định tất cả. Giống Acl luôn có 1 phát biểu phủ định nằm ở cuối cùng. Có dạng:
Mã: 
Route-map abc deny 20
- 1 phát biểu không có chữ “match” có nghĩa là tất cả các lớp mạng điều thuộc vào phát biểu đó
- Ví dụ: Ở đay thực hiện điều khiển luồng với mạng 10.0.0.0
Mã: 
route-map abc permit 10
match ip address 101
access-list 101 permit 10.0.0.0
access-list 101 deny 11.0.0.0
set ip next-hop 192.168.1.1

  • Mạng 10.0.0.0 có chữ “permit” nên phải đi theo next-hop là 102.168.1.1
  • Mạng 11.0.0.0 có chữ “deny” phía trước phải rớt xuống rớt biểu tiếp theo. Phát biểu tiếp theo là từ chối tất cả. Mà phát biểu tiếp theo là đi theo sự hướng dẫn bảng định tuyến như bình thường.
 
2. Case study 1
cisco asa NAT configuration(1)

- Định ra hệ quy chiếu:
Mã: 
(config)#int f0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip nat inside

(config)#int f0/1
(config-if)#ip address 10.5.1.1 255.255.255.0
(config-if)#ip nat outside

(config)#int s0/1.708
(config-if)#ip address 205.113.49.253 255.255.255.252
(config-if)#ip nat outside
- Tạo 2 pool IP inside global gồm 2 range IP của ISP1 và ISP2
Mã: 
(config)#ip nat pool ISP1 205.113.50.1 205.113.51.254 prefix-length 23
(config)#ip nat pool ISP2 207.36.76.1 207.36.77.254 prefix-length 23
- Tạo 2 ACL: ACL 1 chứa IP inside local, ACL 2 chứa IP next-hop của ISP 2
Mã: 
(config)#access-list 1 permit 10.0.0.0 0.255.255.255
(config)#access-list 2 permit 207.36.65.254
- Thực hiện NAT
Mã: 
(config)#ip nat inside source route-map ISP1_MAP pool ISP1
(config)#ip nat inside source route-map ISP2_MAP pool ISP2

  • Route-map: là inside local nhưng ko đơn thuần là địa chỉ inside local mà nó đưa vào là 1 mệnh đề điều kiện
  • ISP1, ISP2: là Pool inside global do ISP cấp
- Xét điều kiện của route-map:
Mã: 
Route-map ISP1_MAP permit 10
Match ip address 1
Match interface S0/1.708

Route-map ISP2_MAP permit 10
Match ip address 1
Match ip next-hop 2
- Mệnh đề điều kiện ISP1_MAP và phát biểu khẳng định số 10
Mã: 
Route-map ISP1_MAP permit 10
- Những lớp mạng được mô tả trong ACL số 1
Mã: 
Match ip address 1
- Interface thoát ra của nó là interface S0/1.708
- Nếu gói tin của anh là mạng 10.0.0.0 và Router điều khiển gói tin của anh thoát ra là interface s0/1.708 thì tôi sẽ dùng pool 1 để NAT ra cho anh
Mã: 
Ip nat inside source route-map ISP1_MAP pool ISP1
- Nghĩa là source IP của anh phải là mạng 10.0.0.0 và outgoing interface phải là s0/1.708 thì tôi mới NAT ra pool ISP1
- Nếu thỏa mãn điều kiện route-map ISP2_MAP thì tôi mới NAT ra pool ISP2 cho anh
Mã: 
Ip nat inside source route-map ISP2_MAP pool ISP2
- Nếu địa chỉ IP thuộc ACL 1 và IP next-hop của nó được mô tả trong ACL 2 thì tôi sẽ Nat bằng pool của ISP2
Mã: 
Route-map ISP2_MAP permit 10
- Những lớp mạng được mô tả trong ACL 1
Mã: 
Match ip address 1
- Địa chỉ IP trong next-hop trong ACL 2
Mã: 
Match ip next-hop 2
- Match interface s0/1.708 chính là match next-hop. Interface s0/1.708 chính là interface outgoing

4. CASE Study 2: TCP Loadbalance

NAT TCP Loadbalance cisco asa (1)

- Tạo Pool để mô tả IP inside Lobal và pool có thuộc tính “rotary” nghĩa là xoay vòng giống như Round-Robin.
Mã: 
(config)#ip nat pool V-Server 192.168.1.2 192.168.1.4 prefix-length 24 type rotary
- Tạo ACL mô tả các IP inside Global
Mã: 
(config)#access-list 1 permit 199.198.5.1

  • Địa chỉ inside Global của Router là 207.25.14.82 mà ở đây ACL lại sử dụng IP 199.198.5.1 vậy có sao ko ? nó nằm ở đây?
  • 199.198.5.1 là do ISP cấp và nó ko cần thiết phải xuất hiện trọng hệ thống mạng của mình vì: Ở đây có 2 loại địa chỉ IP:
    • Front IP: Là địa chỉ đấu nối với ISP. Vd: 207.35.14.82
    • Route IP: Là range IP mà mình mua từ ISP. Hành động bán Range IP đó thực ra là ISP lên Route ISP thực hiện 1 lệnh Route range IP đó về Route của mình. Nghĩa là khi có ai đó muốn đến lớp mạng 199.198.5.1 thì gói tin sẽ chạy vể Router của mình. Khi đến Router mình thì Router của mình đã Route 199.198.5.1 vào bên trong của mình.
-Thực hiện NAT:
Mã: 
(config)#ip nat inside destination list 1 pool V-Server

  • Destination: Ở đây ko phải source mà Destination vì mình sử dụng Pool để mô tả Inside Local, Acl mô tả inside Global nó bị ngược.
  • Trong khi Source thì Pool là inside Global và Acl là inside Local. Nên ở đây phải đổi lại thành Destination.
  • Vì ở đây đang thực hiện Roun-robin nên phải mượn Pool vì chỉ có Pool mới có chức năng xoay vòng “rotary
Show ip nat cisco asa (1)

5. CASE STUDY 3: Service Distribution

Service Distribution NAT configuration cisco asa (1)

- Khi bên trong có nhiều server như : mail server, FTP/TFTP/syslog,web server …
- Địa chỉ inside globale: 199.198.5.1 là địa chỉ đại diện cho các server bên trong
Mã: 
(config)#interface f0/0
(config-if)#ip address 192.168.1.1 255.255.255.0
(config-if)#ip nat inside

(config)#interface s0/0
(config-if)#ip address 207.35.14.82 255.255.255.252
(config-if)#ip nat outside
- Thực hiện NAT
Mã: 
(config)#ip nat inside source static tcp 192.168.1.4 25 199.198.5.1 25 extendable
(config)#ip nat inside source static udp 192.168.1.3 514 199.198.5.1 514 extendable
(config)#ip nat inside source static udp 192.168.1.3 69 199.198.5.1 69 extendable
(config)#ip nat inside source static tcp 192.168.1.3 21 199.198.5.1 21 extendable
(config)#ip nat inside source static tcp 192.168.1.3 20 199.198.5.1 20 extendable
(config)#ip nat inside source static tcp 192.168.1.2 80 199.198.5.1 80 extendable

  • Extendable: là từ khóa giúp các bạn gõ nhiều dòng tương tự
  • Nếu ai gửi đến 199.198.5.1 port 25 thì Router sẽ chuyển cho thằng 192.168.1.4 port 25
  • Nếu ai gửi đến 199.198.5.1 port 514 thì Router sẽ chuyển cho thằng 192.168.1.3 port 514
  • Nếu ai gửi đến 199.198.5.1 port 69 thì Router sẽ chuyển cho thằng 192.168.1.3 port 69
- Giả sử WEB server ko mở port 80 mà mở port 8080 thì cần sửa lại câu lệnh như sau:
Mã: 
(config)#op nat inside source static tcp 192.168.1.2 8080 199.198.5.1 80 extendable
Mã: 
(config)#op nat inside source static tcp 192.168.1.2 8080 199.198.5.1 80 extendable
 
Sửa lần cuối:
Summary
1. Overview
- Khác nhau giữa NAT và Routing ?
- Lựa chọn topology phù hợp cho từng loại cty?
- Có mấy loại NAT? tên?
- các loại IP trong NAT?
- NAT và TCP load distribute là gi?
- Nat and Virtual server là gi?

2. Cấu hình NAT
- Các hình NAT static, Dynamic, PAT.

3. Route-map là gì? các bước cấu hình Route-map?

4. Cấu hình các case-study
- Case-study 1: cấu hình NAT với Route-map ?
- Case-study 2: cấu hình NAT với TCP Loadbalance
- Case-study 3: cấu hình NAT với Service Distribution
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top