root
Specialist
Dynamic NAT on ASA 8.2 vs ASA 8.4
- Việc cấu hình NAT trên ASA từ version 8.3 trở về trước có chút khác biệt so với các version ASA 8.3 trở lên
I. Simple Dynamic Inside NAT on ASA Cisco
1. Dynamic NAT với 1 subnet inside on Firewall ASA Cisco
- Mô hình cấu hình dynamic inside NAT 1 internal Network ra Outside trên Cisco ASA.
- Yêu cầu:
Thực hiện Dynamic NAT để subnet Inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50
- Dynamic NAT on Firewall ASA Cisco version prior to 8.3
Cấu hình Dynamic NAT on Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0- Dynamic NAT on Firewall ASA Cisco version 8.3 and later
Cấu hình Dynamic NAT on Cisco ASA 8.4
đây là pool IP outside
Mã:
ciscoasa(config)# object network mapped_public_pool
ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50đây là pool IP inside và NAT IP inside ra pool IP outside ở trên
Mã:
ciscoasa(config)# object network my_internal_lan
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_public_pool- Các bạn có thể thấy rõ phiên bản mới nó thực hiện Dynamic NAT bên trong Object INSIDE, còn version cũ thì dùng ID (1) và global để thực hiện NAT
2. Dynamic NAT Translation of two internal networks
- Cấu hình Dynamic NAT với 2 pool IP Inside ra 2 pool Outside.
- yêu cầu: Thực hiện Dynamic NAT để
Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50
Subnet inside 192.168.2.0/24 ra internet bằng pool IP outside 100.1.1.51-100
- Cấu hình Dynamic NAT Cisco ASA với Version 8.3 cũ.
Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
ciscoasa(config)# global (outside) 2 100.1.1.51-100.1.1.100 netmask 255.255.255.0- Với version mới hơn 8.3
Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object network mapped_IP_pool_1
ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50
ciscoasa(config)# object network lan_1
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_1Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object network mapped_IP_pool_2
ciscoasa(config-network-object)# range 100.1.1.51 100.1.1.100
ciscoasa(config)# object network lan_2
ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_23. Dynamic NAT with three interfaces on ASA Cisco
- Cấu hình dynamic NAT với 3 interfaces trên ASA Cisco
- Yêu cầu: Thực hiện Dynamic NAT để
Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.1-100
Subnet inside 192.168.1.0/24 đi đến DMZ bằng pool IP DMZ 172.16.1.100-254
Subnet DMZ 172.16.1.0/24 ra internet bằng pool IP 100.1.1.1-254
- Cấu hình dynamic NAT với Cisco ASA version 8.3 trở về trước
Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# nat (DMZ) 1 172.16.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.1-100.1.1.254 netmask 255.255.255.0
ciscoasa(config)# global (DMZ) 1 172.16.1.100-172.16.1.254 netmask 255.255.255.0- Cấu hình dynamic NAT với ASA Cisco với Version mới hơn 8.3
Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.4
pool IP DMZ
Mã:
ciscoasa(config)# object network mapped_IP_pool_1
ciscoasa(config-network-object)# range 172.16.1.100 172.16.1.254pool IP OUTSIDE
Mã:
ciscoasa(config)# object network mapped_IP_pool_2
ciscoasa(config-network-object)# range 100.1.1.1 100.1.1.254Pool IP inside và thực hiện NAT inside ra DMZ
Mã:
ciscoasa(config)# object network inside_to_dmz
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,dmz) dynamic mapped_IP_pool_1Pool IP inside và thực hiện NAT inside ra OUTSIDE
Mã:
ciscoasa(config)# object network inside_to_outside
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2Pool IP DMZ và thực hiện NAT DMZ ra ra OUTSIDE
Mã:
ciscoasa(config)# object network dmz_to_outside
ciscoasa(config-network-object)# subnet 172.16.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (dmz,outside) dynamic mapped_IP_pool_2II. Configuring Dynamic Port Address on Cisco ASA (PAT)
1. Cấu hình PAT trên Cisco ASA- Case này thường sử dụng để NAT "many-to-one". Nghĩa là NAT nhiều IP inside ra ngoài internet thông qua 1 IP outside trên Firewall Cisco ASA.
- yêu cầu: Thực hiện NAT dạng PAT để
Các IP subnet inside 192.168.1.0/24 ra internet bằng IP interface outside 100.1.1.2
- Cấu hình PAT trên Cisco ASA với version cũ từ 8.3 trở về trước.
Cấu hình PAT trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.2 netmask 255.255.255.255- Cấu hình PAT trên Cisco ASA với version mới từ 8.3 trở lên.
Cấu hình PAT trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object network internal_lan
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.22. Cấu hình PAT với IP interface Outside trên Cisco ASA
Thay vì sử dụng 1 IP public như trên để cấu hinh PAT trên ASA thì case này được sử dụng để NAT các IP inside ra internet thông qua IP được cấu hình trên interface OUTSIDE của Cisco ASA. Trường hợp này interface outside của Cisco ASA sẽ phải kết nối với Router ISP.
- Yêu cầu:
interface g0/0 của ASA sẽ nhận IP bằng DHCP từ ISP
Cấu hình để subnet Inside 192.168.1.0/24 ra internet thông qua interface g0/0
- Cấu hình PAT sử dụng interface outside Cisco ASA với version cũ
Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface- Với version mới hơn 8.3
Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object network internal_lan
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface3. Cấu hình PAT 2 subnet Inside khác nhau trên Cisco ASA
- Trường hợp này chúng ta sẽ thực hiện NAT 2 subnet inside khác nhau ra internet thông qua 2 IP public nhau.
- Yêu cầu:
cấu hình PAT để subnet Inside 192.168.1.0/24 ra internet bằng IP outside 100.1.1.1
cấu hình PAT để subnet Inside 192.168.2.0/24 ra internet bằng IP outside 100.1.1.2
- Cấu hình PAT 2 subnet inside trên Cisco ASA với version cũ hơn 8.3
Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.1 netmask 255.255.255.255
ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
ciscoasa(config)# global (outside) 2 100.1.1.2 netmask 255.255.255.255- Cấu hình PAT 2 subnet inside trên Cisco ASA với version mới hơn 8.3
Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object network internal_lan1
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.1
ciscoasa(config)# object network internal_lan2
ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.24. Kết hợp Dynamic NAT và PAT trên Cisco ASA
- Yêu cầu:
NAT IP vùng inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.100-253.
Nếu pool IP outside bị dùng hết thì các bạn sử dụng PAT để NAT các IP inside còn lại
- Cấu hình dynamic NAT và PAT trên Cisco ASA với version cũ hơn 8.3
Cấu hình dynamic NAT và PAT trên Cisco ASA 8.2
Mã:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.100-100.1.1.253 netmask 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.254 netmask 255.255.255.255- Cấu hình dynamic NAT và PAT trên Cisco ASA với version mới hơn 8.3
Cấu hình dynamic NAT và PAT trên Cisco ASA 8.4
Pool IP Outside
Mã:
ciscoasa(config)# object network mapped_IP_pool
ciscoasa(config-network-object)# range 100.1.1.100 100.1.1.253IP interface Outside để thực hiện PAT trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object network PAT_IP
ciscoasa(config-network-object)# host 100.1.1.254Đưa pool IP outside để thực hiện Dynamic NAT và đưa IP interface outside thực hiện PAT trên Cisco ASA 8.4
Mã:
ciscoasa(config)# object-group network nat_pat
ciscoasa(config-network-object)# network-object object mapped_IP_pool
ciscoasa(config-network-object)# network-object object PAT_IPThực hiện NAT IP inside(192.168.1.0/24) bằng dynamic outside với pool (100.1.1.100-253) sau đó mới thực hiện PAT
Mã:
ciscoasa(config)# object network internal_lan
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic nat_patCác bài lý thuyết trong
Module 7: Address Translation on Cisco ASA
- [Chapter 7.1] Basic ASA NAT Configuration
- [Chapter 7.2] Cisco ASA NAT configuration
- [Chapter 7.3] config Dynamic NAT trên ASA 8.2
- [Chapter 7.4] config Static NAT trên ASA 8.2
- [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
- [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
- [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Module 7: Address Translation on Cisco ASA
- [Lab 7.1] configure dynamic nat on cisco asa 8.2
- [Lab 7.2] Configure static nat on cisco asa 8.2
- [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
- [Lab 7.4] Cisco ASA and nat port redirection draytek
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới