root
Specialist
NAT identity exemption and NAT outside on Cisco ASA 8.2
1. Dynamic identity NAT Cisco ASA
- Câu lệnh
Mã:
nat (inside) 0 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
- inside: 10.0.0.0 là lớp mạng 10.0.0.0 vùng inside đi qua firewall Cisco ASA không cần phải NAT.
- Nhược điểm:
- Vùng inside qua DMZ không cần NAT
- Nhưng vùng inside ra outside cũng không NAT, điều này có thể làm cho Inside không đi được Internet trong trường hợp ISP yêu cầu NAT ở Router.
2. Static Identity NAT Cisco ASA
- Câu lệnh
Mã:
static (inside,DMZ) 10.0.0.20 10.0.0.20 netmask 255.255.255.255 tcp 0 0 udp 0
- Từ inside qua DMZ thì không cần phải NAT và để giải quyết vấn để ở trên của Dynamic identity NAT thì ở đây các bạn dùng thêm 1 câu lệnh NAT sao cho IP từ vùng inside ra outside phải NAT.
- Ví dụ: (hoặc bạn có thể dùng PAT cũng được)
static(inside,outside) 10.0.0.20 209.165.100.5 netmask 255.255.255.0
3. NAT exemption Cisco ASA
- NAT exemption là traffic qua Firewall Cisco ASA sẽ không cần phải NAT.
- Câu lệnh
Mã:
access-list NO-NAT line 1 extended permit ip host 10.0.0.0 255.255.255.0 172.16.0.0 255.255.255.0
nat (inside) 0 access-list NO-NAT tcp 0 0 udp 0
- So sánh Identity NAT và NAT exemption cisco ASA.
4. Outside NAT Cisco ASA
- Thường dùng cho việc security 1 lớp mạng hay 1 máy chủ mà bạn không muốn người truy cập biết IP thật của lớp mạng hay Ip máy chủ thật.
- Lúc này user truy cập vào IP máy chủ sẽ thông qua 1 IP khác.
Mã:
static (outside,inside) 10.0.8.135 209.165.202.135 netmask 255.255.255.255 tcp 0 0 udp
Các bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
- [Chapter 7.1] Basic ASA NAT Configuration
- [Chapter 7.2] Cisco ASA NAT configuration
- [Chapter 7.3] config Dynamic NAT trên ASA 8.2
- [Chapter 7.4] config Static NAT trên ASA 8.2
- [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
- [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
- [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Module 7: Address Translation on Cisco ASA
- [Lab 7.1] configure dynamic nat on cisco asa 8.2
- [Lab 7.2] Configure static nat on cisco asa 8.2
- [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
- [Lab 7.4] Cisco ASA and nat port redirection draytek
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới