Cisco ASA [Chapter 7.4] config Static NAT trên ASA 8.2

Configuration Static NAT in ASA 8.2

1. Config Static Inside NAT in ASA

- Tương tự như Static NAT của Router.



- Cú pháp

Mã:

static (DMZ,outside) 209.165.200.228 172.16.0.5 netmask 255.255.255.255 tcp 0 0 udp 0

• (DMZ,outside): Thực hiện Nat từ DMZ ra outside
• 209.165.200.228 : IP của outside
• 172.16.0.5: IP của DMZ

- Lưu ý: Cấu hình static chỉ tốn 1 dòng lệnh nhưng vị trí IP trong câu lệnh bị đảo ngược.

2. Network Static Inside NAT in ASA
- Ít được sử dụng
- Ý tưởng: Giả sử trong vùng DMZ có 16 server cần NAT ra ngoài bằng Static NAT
- Static inside NAT:
10.0.0.1 NAT bằng 200.0.0.1
10.0.0.2 NAT bằng 200.0.0.2
10.0.0.3 NAT bằng 200.0.0.3
10.0.0.4 NAT bằng 200.0.0.4
….
10.0.0.16 nat bằng 200.0.0.16
- Network Static inside NAT: việc cấu hình static inside NAT ở phía trên quá dài dòng nên người ta thế thế bằng Network static inside NAT như sau:
10.0.0.0/28 nat bằng 200.0.0.0/28
- Thoạt nhìn thì thấy Network Statc inside NAT tương tự như Dynamic inside NAT(NAT nhiều – nhiều). Nhưng không phải

• Dynamic Inside NAT: là NAT nhiều – nhiều nhưng IP bên trong sẽ được random NAT bằng IP global. Nghĩa là IP global còn dư cái nào thì nó sẽ sử dụng cái đó
• Network Static inside NAT: Mặc dù là NAT nhiều – nhiều nhưng IP inside và global được NAT là cố định. Và việc lựa chọn IP nào để NAT là dựa các bit nhị phân của IP

- Cú pháp

• NAT static từ vùng DMZ ra outside: subnet 172.16.0.32/27 sẽ được NAT bằng subnet outside: 209.165.201.0/27

- Chú ý:

• Việc NAT 2 network nên cùng subnet.
• IP NAT được lựa chọn cố định dựa vào các bit nhị phân của IP
• VD: IP vùng DMZ 172.16.0.39 (10101100.00010000.00000000.00100111) thì được NAT bằng IP outside 209.165.201.7 (11010001.10100101.11001001.00000111).
• Với subnet là 27 thì nõ sẽ chuyển 27 bit đầu tiên của IP dmz sang 27 bit của IP outside. Còn lại 5 bit cuối của DMZ sẽ được giữ nguyên.

3. Config ASA Static Inside PAT

- Tương tự như Server Distribution bên Router.




- Cú pháp

Mã:

static (DMZ,outside) tcp 209.165.200.230 443 172.16.0.15 8443 netmask 255.255.255.255 tcp 0 0 udp 0
static (DMZ,outside) tcp 209.165.200.230 25 172.16.0.20 25 netmask 255.255.255.255 tcp 0 0 udp 0

- Cùng 1 IP outside nhưng với số port khác nhau thì được NAT vào các server vùng DMZ khác nhau.

4. Config ASA Static Inside Policy NAT
- Là static NAT có lồng thêm Access-list vào.



- Cú pháp

Mã:

access-list POLICY-NAT-ACL2 line 1 extended permit ip host 172.16.0.20 10.10.10.0 255.255.255.0
static (DMZ,outside) 200.0.0.20 access-list POLICY-NAT-ACL2 tcp 0 0 udp 0

- NAT IP vùng DMZ trong Access-list ra IP vùng outside 200.0.0.20
- ACL: Có 1 IP vùng DMZ là 172.16.0.20 đi đến lớp mạng Des 10.10.10.0/24 sẽ được NAT bằng IP 200.0.0.20

Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA

1. [Chapter 7.1] Basic ASA NAT Configuration
2. [Chapter 7.2] Cisco ASA NAT configuration
3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
4. [Chapter 7.4] config Static NAT trên ASA 8.2
5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4

- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA

1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
2. [Lab 7.2] Configure static nat on cisco asa 8.2
3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
4. [Lab 7.4] Cisco ASA and nat port redirection draytek

- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục

• Tổng hợp các bài lý thuyết Cisco ASA
• Tổng hợp các bài lab Config Cisco ASA

- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.

• Tổng hợp Lab AAA - Authentication Authorization Accounting