root

Specialist

NAT identity exemption and NAT outside on Cisco ASA 8.2


1. Dynamic identity NAT Cisco ASA


- Câu lệnh
Mã:
nat (inside) 0 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
- 0: là đại diện cho identity NAT
- inside: 10.0.0.0 là lớp mạng 10.0.0.0 vùng inside đi qua firewall Cisco ASA không cần phải NAT.
- Nhược điểm:
  • Vùng inside qua DMZ không cần NAT
  • Nhưng vùng inside ra outside cũng không NAT, điều này có thể làm cho Inside không đi được Internet trong trường hợp ISP yêu cầu NAT ở Router.
- Để giải quyết vấn đề này bạn cần sử dụng Static identity NAT trên Cisco ASA.

 Dynamic identity NAT cisco asa (5)


2. Static Identity NAT Cisco ASA
- Câu lệnh
Mã:
static (inside,DMZ) 10.0.0.20 10.0.0.20 netmask 255.255.255.255 tcp 0 0 udp 0
- 10.0.0.20 là địa chỉ vùng Inside (vì nat static từ vùng inside ra outside thì IP là IP DMZ rồi tới IP của inside).
- Từ inside qua DMZ thì không cần phải NAT và để giải quyết vấn để ở trên của Dynamic identity NAT thì ở đây các bạn dùng thêm 1 câu lệnh NAT sao cho IP từ vùng inside ra outside phải NAT.
- Ví dụ: (hoặc bạn có thể dùng PAT cũng được)
static(inside,outside) 10.0.0.20 209.165.100.5 netmask 255.255.255.0

 Static Identity NAT cisco asa (1)


3. NAT exemption Cisco ASA
- NAT exemption là traffic qua Firewall Cisco ASA sẽ không cần phải NAT.
- Câu lệnh
Mã:
access-list NO-NAT line 1 extended permit ip host 10.0.0.0 255.255.255.0 172.16.0.0 255.255.255.0

nat (inside) 0 access-list NO-NAT tcp 0 0 udp 0
- So sánh Identity NAT và Dynamic Identity NAT.

 NAT exemption cisco asa (1)


- So sánh Identity NAT và NAT exemption cisco ASA.

 Identity NAT và NAT exemption cisco asa (1)


4. Outside NAT Cisco ASA
- Thường dùng cho việc security 1 lớp mạng hay 1 máy chủ mà bạn không muốn người truy cập biết IP thật của lớp mạng hay Ip máy chủ thật.
- Lúc này user truy cập vào IP máy chủ sẽ thông qua 1 IP khác.
Mã:
static (outside,inside) 10.0.8.135 209.165.202.135 netmask 255.255.255.255 tcp 0 0 udp


Các bài lý thuyết trong
Module 7
: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Sửa lần cuối:
Back
Top