root
Specialist
Configuration Static NAT in ASA 8.2
1. Config Static Inside NAT in ASA
- Tương tự như Static NAT của Router.
- Cú pháp
Mã:
static (DMZ,outside) 209.165.200.228 172.16.0.5 netmask 255.255.255.255 tcp 0 0 udp 0
- (DMZ,outside): Thực hiện Nat từ DMZ ra outside
- 209.165.200.228 : IP của outside
- 172.16.0.5: IP của DMZ
2. Network Static Inside NAT in ASA
- Ít được sử dụng
- Ý tưởng: Giả sử trong vùng DMZ có 16 server cần NAT ra ngoài bằng Static NAT
- Static inside NAT:
10.0.0.1 NAT bằng 200.0.0.1
10.0.0.2 NAT bằng 200.0.0.2
10.0.0.3 NAT bằng 200.0.0.3
10.0.0.4 NAT bằng 200.0.0.4
….
10.0.0.16 nat bằng 200.0.0.16
- Network Static inside NAT: việc cấu hình static inside NAT ở phía trên quá dài dòng nên người ta thế thế bằng Network static inside NAT như sau:
10.0.0.0/28 nat bằng 200.0.0.0/28
- Thoạt nhìn thì thấy Network Statc inside NAT tương tự như Dynamic inside NAT(NAT nhiều – nhiều). Nhưng không phải
- Dynamic Inside NAT: là NAT nhiều – nhiều nhưng IP bên trong sẽ được random NAT bằng IP global. Nghĩa là IP global còn dư cái nào thì nó sẽ sử dụng cái đó
- Network Static inside NAT: Mặc dù là NAT nhiều – nhiều nhưng IP inside và global được NAT là cố định. Và việc lựa chọn IP nào để NAT là dựa các bit nhị phân của IP
- Cú pháp
Mã:
static (DMZ,outside) 209.165.201.0 172.16.0.32 netmask 255.255.255.224 tcp 0 0 udp 0
- NAT static từ vùng DMZ ra outside: subnet 172.16.0.32/27 sẽ được NAT bằng subnet outside: 209.165.201.0/27
- Việc NAT 2 network nên cùng subnet.
- IP NAT được lựa chọn cố định dựa vào các bit nhị phân của IP
- VD: IP vùng DMZ 172.16.0.39 (10101100.00010000.00000000.00100111) thì được NAT bằng IP outside 209.165.201.7 (11010001.10100101.11001001.00000111).
- Với subnet là 27 thì nõ sẽ chuyển 27 bit đầu tiên của IP dmz sang 27 bit của IP outside. Còn lại 5 bit cuối của DMZ sẽ được giữ nguyên.
3. Config ASA Static Inside PAT
- Tương tự như Server Distribution bên Router.
- Cú pháp
Mã:
static (DMZ,outside) tcp 209.165.200.230 443 172.16.0.15 8443 netmask 255.255.255.255 tcp 0 0 udp 0
static (DMZ,outside) tcp 209.165.200.230 25 172.16.0.20 25 netmask 255.255.255.255 tcp 0 0 udp 0
4. Config ASA Static Inside Policy NAT
- Là static NAT có lồng thêm Access-list vào.
- Cú pháp
Mã:
access-list POLICY-NAT-ACL2 line 1 extended permit ip host 172.16.0.20 10.10.10.0 255.255.255.0
static (DMZ,outside) 200.0.0.20 access-list POLICY-NAT-ACL2 tcp 0 0 udp 0
- ACL: Có 1 IP vùng DMZ là 172.16.0.20 đi đến lớp mạng Des 10.10.10.0/24 sẽ được NAT bằng IP 200.0.0.20
Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
- [Chapter 7.1] Basic ASA NAT Configuration
- [Chapter 7.2] Cisco ASA NAT configuration
- [Chapter 7.3] config Dynamic NAT trên ASA 8.2
- [Chapter 7.4] config Static NAT trên ASA 8.2
- [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
- [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
- [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Module 7: Address Translation on Cisco ASA
- [Lab 7.1] configure dynamic nat on cisco asa 8.2
- [Lab 7.2] Configure static nat on cisco asa 8.2
- [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
- [Lab 7.4] Cisco ASA and nat port redirection draytek
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới