Cisco ASA [Chapter 7.3] config Dynamic NAT trên ASA 8.2

root

root

Specialist

Config dynamic nat on ASA Cisco 8.2


Hướng dẫn cấu hình dynamic NAT trên Firewall ASA Cisco. Bài viết này gồm 5 phần dưới đây:
  1. NAT control on Firewall ASA Cisco
  2. Config Dynamic Inside NAT on ASA Cisco
  3. Dynamic Inside PAT on ASA Cisco
  4. Dynamic Inside Policy NAT on ASA Cisco
  5. Verifying Dynamic Inside NAT and PAT on ASA Cisco

1. NAT control on Firewall ASA Cisco

- Ngày xưa trên các firewall PIX để “ các traffic đi từ interface này qua interface kia bắt buộc phải sử dụng NAT”.
Còn bây giờ đối với ASA thì việc traffic muốn đi từ interface này qua interface kia là tùy thuộc vào người cấu hình:
  • Có thể dùng Routing
  • Hoặc có thể dùng NAT

NAT control on Firewall ASA Cisco 8.2

- Để cho con ASA quay về thời kì giống con PIX. Nghĩa là traffic muốn đi từ interface này qua interface khác con ASA phải dùng NAT
Mã: 
asa(config)#nat-control

// Để hủy lệnh trên chi việc thêm chữ “no
Mã: 
asa(config)#no nat-control
- Mặc định trên ASA là “no nat-control”

2. Config Dynamic Inside NAT on ASA Cisco

- Tương tự như Dynamic NAT bên Router Cisco (n-n)

Config Dynamic Inside NAT on ASA Cisco 8.2
- Cú pháp
Mã: 
asa(config)#nat (inside) 1 10.0.0.0 255.255.255.0
asa(config)#global (outside) 1 209.165.200.235-209.165.200.254 netmask 255.255.255.224
asa(config)#timeout xlate 1:00:00
  • inside, outside: tên của interface (nameif)
  • 1 : chính là số ID, trên đây là 1 cặp câu lệnh NAT để thực hiện Dynamic NAT. Cặp câu lệnh này phải có cùng số ID thì nó mới phối hợp với nhau được10.0.0.0 255.255.255.0 : là lớp mạng bên trong (inside)
  • 209.165.200.235-209.165.200.254 netmask 255.255.255.224 : giống pool chứa các IP global
  • timeout xlate 1:00:00 : Khi NAT thì nó sẽ ghi thông tin NAT vào bảng trạng thái của nó (các bạn có thể xem bằng lệnh “show xlate”). Thì sau khi sử dụng NAT xong thì mặc định là 3 tiếng sau thông tin này mới bị xóa ở trong này.
    • Ở đây mình đặt là 1h nếu ko sử dụng sẽ bị xóa
    • Nhưng nếu bạn vẫn thường sử dụng NAT thì thông tin sẽ không bị xóa
    • Để xóa luôn mà không cần chờ các bạn có thể dùng lệnh: "clear xlate"

3. Dynamic Inside PAT on ASA Cisco

- Tương tự NAT Overload bên Router

Dynamic Inside PAT on ASA Cisco

- Cú pháp

Mã: 
asa(config)#nat (DMZ) 5 172.16.0.0 255.255.255.0 tcp 0 0 udp 0
asa(config)#nat (inside) 5 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
asa(config)#global (outside) 5 interface
asa(config)#global (DMZ) 5 172.16.0.254 netmask 255.255.255.255
- tcp 0 0 dùng để quản lý phiên làm việc
  • 0 : cho phép PC tạo ra bao nhiêu session đồng thời đi ra ngoài. VD: nếu tcp 2 thì source IP chỉ được có 2 slot trong bảng NAT.
  • 0 : Tổng số lượng user sử dụng được là bao nhiêu.
  • Số “0” là unlimit.
  • Đây là phần option nên có hay không đêu được
- Cặp lệnh 2 và 4: Những IP trên inside 10.0.0.0/24 sẽ được NAT bằng 1 IP trên DMZ là 172.16.0.254
- Cặp lệnh 1 và 3: Những IP trên DMZ 172.16.0.0/24 sẽ được NAT bằng những IP trên interface outside
- Cặp lệnh 2 và 3: Những IP inside 10.0.0.0/24 sẽ được NAT bằng những IP trên interface outside. Bởi vì đôi khi interface outside được ISP cấp IP động nên phải dùng interface thay cho đặt IP tĩnh như “cặp lệnh 2 và 4”

4. Dynamic Inside Policy NAT on ASA Cisco

- Tương tự Dynamic Inside NAT nhưng có thêm các policy
- Cú pháp

Mã: 
access-list POLICY-NAT-ACL line 1 extended permit ip 10.0.0.0 255.255.255.0 host 209.165.202.150

nat (inside) 8 access-list POLICY-NAT-ACL tcp 0 0 udp 0
global (outside) 8 209.165.200.134 netmask 255.255.255.255
- Line 1: tương tự như sequence trên ACL của Router
- Thay vì như cấu hình Dynamic phía trên là 1 network thì ở đây nó sử dụng 1 Access-list.
- Với ACL như trên thì những IP inside có source: 10.0.0.0/24 đi đến Des là 209.165.202.150 thì sẽ được NAT bằng IP 209.165.200.134/24
- Còn những phần còn lại thì đi như bình thường
- Đối với Router cũng có thể làm tương tự bằng Route-MAP


5. Verifying Dynamic Inside NAT and PAT on ASA Cisco

- Dùng để show bảng NAT
- Cú pháp

Mã: 
show xlate
or
Mã: 
show xlate detail
- Ví dụ
- Ở đây có thể thấy là NAT port (PAT)

Mã: 
FIREWALL# show xlate
3 in use, 10 most used
PAT Global 209.165.200.226(50595) Local 10.0.0.101(49298)PAT
Global 209.165.200.226(25788) Local 172.16.0.51(49297)PAT
Global 209.165.200.226(48335) Local 10.0.0.101(62474)


Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Sửa lần cuối:
Bài viết liên quan
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 7.2] Cisco ASA NAT configuration bởi root,
[Chapter 4.4] Dynamic Routing Protocols bởi root,
Tổng hợp các bài lý thuyết Cisco ASA bởi root,
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4 bởi root,
Bài viết mới
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 7.2] Cisco ASA NAT configuration bởi root,
[Chapter 4.4] Dynamic Routing Protocols bởi root,
Tổng hợp các bài lý thuyết Cisco ASA bởi root,
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4 bởi root,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top