Cisco ASA [Chapter 7.3] config Dynamic NAT trên ASA 8.2

root

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Config dynamic nat on ASA Cisco 8.2


Hướng dẫn cấu hình dynamic NAT trên Firewall ASA Cisco. Bài viết này gồm 5 phần dưới đây:
  1. NAT control on Firewall ASA Cisco
  2. Config Dynamic Inside NAT on ASA Cisco
  3. Dynamic Inside PAT on ASA Cisco
  4. Dynamic Inside Policy NAT on ASA Cisco
  5. Verifying Dynamic Inside NAT and PAT on ASA Cisco

1. NAT control on Firewall ASA Cisco

- Ngày xưa trên các firewall PIX để “ các traffic đi từ interface này qua interface kia bắt buộc phải sử dụng NAT”.
Còn bây giờ đối với ASA thì việc traffic muốn đi từ interface này qua interface kia là tùy thuộc vào người cấu hình:
  • Có thể dùng Routing
  • Hoặc có thể dùng NAT

NAT control on Firewall ASA Cisco 8.2

- Để cho con ASA quay về thời kì giống con PIX. Nghĩa là traffic muốn đi từ interface này qua interface khác con ASA phải dùng NAT
Code: 
asa(config)#nat-control

// Để hủy lệnh trên chi việc thêm chữ “no
Code: 
asa(config)#no nat-control
- Mặc định trên ASA là “no nat-control”

2. Config Dynamic Inside NAT on ASA Cisco

- Tương tự như Dynamic NAT bên Router Cisco (n-n)

Config Dynamic Inside NAT on ASA Cisco 8.2
- Cú pháp
Code: 
asa(config)#nat (inside) 1 10.0.0.0 255.255.255.0
asa(config)#global (outside) 1 209.165.200.235-209.165.200.254 netmask 255.255.255.224
asa(config)#timeout xlate 1:00:00
  • inside, outside: tên của interface (nameif)
  • 1 : chính là số ID, trên đây là 1 cặp câu lệnh NAT để thực hiện Dynamic NAT. Cặp câu lệnh này phải có cùng số ID thì nó mới phối hợp với nhau được10.0.0.0 255.255.255.0 : là lớp mạng bên trong (inside)
  • 209.165.200.235-209.165.200.254 netmask 255.255.255.224 : giống pool chứa các IP global
  • timeout xlate 1:00:00 : Khi NAT thì nó sẽ ghi thông tin NAT vào bảng trạng thái của nó (các bạn có thể xem bằng lệnh “show xlate”). Thì sau khi sử dụng NAT xong thì mặc định là 3 tiếng sau thông tin này mới bị xóa ở trong này.
    • Ở đây mình đặt là 1h nếu ko sử dụng sẽ bị xóa
    • Nhưng nếu bạn vẫn thường sử dụng NAT thì thông tin sẽ không bị xóa
    • Để xóa luôn mà không cần chờ các bạn có thể dùng lệnh: "clear xlate"

3. Dynamic Inside PAT on ASA Cisco

- Tương tự NAT Overload bên Router

Dynamic Inside PAT on ASA Cisco

- Cú pháp

Code: 
asa(config)#nat (DMZ) 5 172.16.0.0 255.255.255.0 tcp 0 0 udp 0
asa(config)#nat (inside) 5 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
asa(config)#global (outside) 5 interface
asa(config)#global (DMZ) 5 172.16.0.254 netmask 255.255.255.255
- tcp 0 0 dùng để quản lý phiên làm việc
  • 0 : cho phép PC tạo ra bao nhiêu session đồng thời đi ra ngoài. VD: nếu tcp 2 thì source IP chỉ được có 2 slot trong bảng NAT.
  • 0 : Tổng số lượng user sử dụng được là bao nhiêu.
  • Số “0” là unlimit.
  • Đây là phần option nên có hay không đêu được
- Cặp lệnh 2 và 4: Những IP trên inside 10.0.0.0/24 sẽ được NAT bằng 1 IP trên DMZ là 172.16.0.254
- Cặp lệnh 1 và 3: Những IP trên DMZ 172.16.0.0/24 sẽ được NAT bằng những IP trên interface outside
- Cặp lệnh 2 và 3: Những IP inside 10.0.0.0/24 sẽ được NAT bằng những IP trên interface outside. Bởi vì đôi khi interface outside được ISP cấp IP động nên phải dùng interface thay cho đặt IP tĩnh như “cặp lệnh 2 và 4”

4. Dynamic Inside Policy NAT on ASA Cisco

- Tương tự Dynamic Inside NAT nhưng có thêm các policy
- Cú pháp

Code: 
access-list POLICY-NAT-ACL line 1 extended permit ip 10.0.0.0 255.255.255.0 host 209.165.202.150

nat (inside) 8 access-list POLICY-NAT-ACL tcp 0 0 udp 0
global (outside) 8 209.165.200.134 netmask 255.255.255.255
- Line 1: tương tự như sequence trên ACL của Router
- Thay vì như cấu hình Dynamic phía trên là 1 network thì ở đây nó sử dụng 1 Access-list.
- Với ACL như trên thì những IP inside có source: 10.0.0.0/24 đi đến Des là 209.165.202.150 thì sẽ được NAT bằng IP 209.165.200.134/24
- Còn những phần còn lại thì đi như bình thường
- Đối với Router cũng có thể làm tương tự bằng Route-MAP


5. Verifying Dynamic Inside NAT and PAT on ASA Cisco

- Dùng để show bảng NAT
- Cú pháp

Code: 
show xlate
or
Code: 
show xlate detail
- Ví dụ
- Ở đây có thể thấy là NAT port (PAT)

Code: 
FIREWALL# show xlate
3 in use, 10 most used
PAT Global 209.165.200.226(50595) Local 10.0.0.101(49298)PAT
Global 209.165.200.226(25788) Local 172.16.0.51(49297)PAT
Global 209.165.200.226(48335) Local 10.0.0.101(62474)


Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:
You must log in or register to reply here.

Similar Threads

[Chapter 13.2] Monitor and debug Virtual Firewall ASA
Cisco ASA [Chapter 13.2] Monitor and debug Virtual Firewall ASA
Replies
0
Views
32K
root
root
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Cisco ASA [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Replies
0
Views
5K
root
root
[Chapter 7.2] Cisco ASA NAT configuration
Cisco ASA [Chapter 7.2] Cisco ASA NAT configuration
Replies
3
Views
5K
root
root
[Chapter 4.4] Dynamic Routing Protocols
Cisco ASA [Chapter 4.4] Dynamic Routing Protocols
Replies
2
Views
3K
root
root
Tổng hợp các bài lý thuyết Cisco ASA
  • Sticky
Cisco ASA Tổng hợp các bài lý thuyết Cisco ASA
Replies
0
Views
5K
root
root

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back