root
Specialist
Lab configure dynamic nat on cisco asa 8.2
I. Mô hình và yêu cầu
1. Mô hình Lab configure dynamic nat on cisco asa 8.2
2. yêu cầu Lab configure dynamic nat on cisco asa 8.2
- cấu hình IP cho thiết bị
- Cấu hình static route cho R1, R2, R3 và dmz ping được nhau
- Bật tính năng NAT-control trên ASA
- Cấu hình NAT sao cho R1, R2 ping được R1 (sử dụng dynamic inside NAT: 209.165.200.135-192.168.200.254/27)
- Cấu hình NAT sao cho dmz telnet vào R1 chỉ được 2 session
- Cấu hình NAT sao cho vùng inside ping 8.8.8.8 sẽ được NAT bằng IP: 209.165.200.134, còn ping đến các IP khác thì đi như bình thường
II. Triển khai Lab configure dynamic nat on cisco asa 8.2
1. Cấu hình IP và đinh tuyến
- Trên R1
Mã:
R1(config)#int f0/0
R1(config-if)#ip address 209.165.200.225 255.255.255.224
R1(config-if)#no shutdown
R1(config-if)#exit
// cấu hình telnet login ko cần password
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#no login
// Cấu hình static Route
R1(config)#ip route 10.0.0.0 255.255.255.0 209.165.200.226
Mã:
R2(config)#int f0/0
R2(config-if)#ip address 10.0.0.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
// Cấu hình static route
R2(config)#ip route 209.165.200.224 255.255.255.224 10.0.0.254
Mã:
R3(config)#int f0/0
R3(config-if)#ip address 10.0.0.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
// Cấu hình static route
R3(config)#ip route 209.165.200.224 255.255.255.224 10.0.0.254
Mã:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 209.165.200.226 255.255.255.224
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int e0/2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 10.0.0.254 255.255.255.0
ciscoasa(config-if)# no shutdown
- Đứng trên R2 thực hiện kiểm tra bảng định tuyến thì thấy đã có lớp mạng của R1 và ta tiến hành ping R1.
- Nhưng R2 không ping được R1 mặc dù đã có bảng định tuyến của R1. Nguyên nhân là do ASA đã cấm icmp. Để cho ping các bạn đứng trên ASA gõ lệnh sau.
Mã:
ciscoasa(config)#fixup protocol icmp
- Nhưng các bạn đứng trên R1 ping R2 thì không được mặc dù nó đã có bảng định tuyến của R2.
- Đơn giản là vì R1 đang trong vùng outside có security level = 0 còn R2 là inside có security level = 100. Trong ASA thì traffic chỉ chảy từ nơi có sercurity level cao xuống level thấp, còn traffic chảy ngược lại thì bị block.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới