Cisco ASA [Lab 7.1] configure dynamic nat on cisco asa 8.2

root

root

Moderator

Lab configure dynamic nat on cisco asa 8.2


I. Mô hình và yêu cầu
1. Mô hình Lab configure dynamic nat on cisco asa 8.2

configure dynamic nat on cisco asa 8.2 (1)

2. yêu cầu Lab configure dynamic nat on cisco asa 8.2
- cấu hình IP cho thiết bị

configure dynamic nat on cisco asa 8.2 (2)
- Cấu hình static route cho R1, R2, R3 và dmz ping được nhau
- Bật tính năng NAT-control trên ASA
- Cấu hình NAT sao cho R1, R2 ping được R1 (sử dụng dynamic inside NAT: 209.165.200.135-192.168.200.254/27)
- Cấu hình NAT sao cho dmz telnet vào R1 chỉ được 2 session
- Cấu hình NAT sao cho vùng inside ping 8.8.8.8 sẽ được NAT bằng IP: 209.165.200.134, còn ping đến các IP khác thì đi như bình thường

II. Triển khai Lab configure dynamic nat on cisco asa 8.2


1. Cấu hình IP và đinh tuyến
- Trên R1
Mã: 
R1(config)#int f0/0
R1(config-if)#ip address 209.165.200.225 255.255.255.224
R1(config-if)#no shutdown
R1(config-if)#exit

// cấu hình telnet login ko cần password
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#no login

// Cấu hình static Route
R1(config)#ip route 10.0.0.0 255.255.255.0 209.165.200.226
- Trên R2
Mã: 
R2(config)#int f0/0
R2(config-if)#ip address 10.0.0.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit

// Cấu hình static route
R2(config)#ip route 209.165.200.224 255.255.255.224 10.0.0.254
- Trên R3: cấu hình tương tự như R2
Mã: 
R3(config)#int f0/0
R3(config-if)#ip address 10.0.0.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit

// Cấu hình static route
R3(config)#ip route 209.165.200.224 255.255.255.224 10.0.0.254
- Cấu hình Cisco ASA
Mã: 
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 209.165.200.226 255.255.255.224
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int e0/2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 10.0.0.254 255.255.255.0
ciscoasa(config-if)# no shutdown
- Đứng trên ASA thử ping R1 và R2 xem ok chưa.

configure dynamic nat on cisco asa 8.2 (3)


- Đứng trên R2 thực hiện kiểm tra bảng định tuyến thì thấy đã có lớp mạng của R1 và ta tiến hành ping R1.

configure dynamic nat on cisco asa 8.2 (4)

- Nhưng R2 không ping được R1 mặc dù đã có bảng định tuyến của R1. Nguyên nhân là do ASA đã cấm icmp. Để cho ping các bạn đứng trên ASA gõ lệnh sau.

Mã: 
ciscoasa(config)#fixup protocol icmp
- Và đứng trên R2 ping lại R1 thì đã thành công.

configure dynamic nat on cisco asa 8.2 (5)

- Nhưng các bạn đứng trên R1 ping R2 thì không được mặc dù nó đã có bảng định tuyến của R2.
- Đơn giản là vì R1 đang trong vùng outside có security level = 0 còn R2 là inside có security level = 100. Trong ASA thì traffic chỉ chảy từ nơi có sercurity level cao xuống level thấp, còn traffic chảy ngược lại thì bị block.

configure dynamic nat on cisco asa 8.2 (6)
 
Sửa lần cuối:
Bài viết liên quan
[Lab 2.7] Upgrade IOS Cisco ASA 5545 bởi root,
[Lab 6.2] Configure netflow analyzer on cisco asa bởi root,
Tổng hợp các bài lab Config Cisco ASA bởi root,
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek bởi root,
[Lab 14.1] Configure redundant interface cisco ASA bởi root,
[lab 10.1] Configure cisco ASA email proxy bởi root,
Bài viết mới
[Lab 2.7] Upgrade IOS Cisco ASA 5545 bởi root,
[Lab 6.2] Configure netflow analyzer on cisco asa bởi root,
Tổng hợp các bài lab Config Cisco ASA bởi root,
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek bởi root,
[Lab 14.1] Configure redundant interface cisco ASA bởi root,
[lab 10.1] Configure cisco ASA email proxy bởi root,

2. Config NAT-CONTROL on Cisco ASA


- Khi bật tính năng Nat-control thì mặc định các traffic từ interface này muốn đi qua interface khác trên ASA thì phải thực hiện NAT.
- Để bật tính năng này các bạn sử dụng lệnh sau.

Mã: 
ciscoasa(config)# nat-control
- Các bạn đứng trên R2 kiểm tra bằng cách ping đến R1 thì không được mặc dù đã có bảng định tuyến của R1. Đơn giản vì ASA yêu cầu phải thực hiện NAT thì mới đi được.

configure dynamic nat on cisco asa 8.2 (11)

3. Dynamic inside NAT
- Trên ASA thực hiện NAT các IP vùng inside ra outside thì sử dụng dãi IP sau: 209.165.200.235-209.165.200.254/27

Mã: 
ciscoasa(config)#nat (inside) 1 10.0.0.0 255.255.255.0
ciscoasa(config)#global (outside) 1 209.165.200.235-209.165.200.254 netmask 255.255.255.224
- Trên R2 và R3: các bạn thực hiện ping R1 thì cho thấy kết quả thành công.
- Trên ASA: Các bạn có thể kiểm tra bảng NAT bằng lệnh sau.

Mã: 
ciscoasa(config)#show xlate
or

Mã: 
ciscoasa(config)#show xlate detail
- Trên bảng NAT các bạn có thể thấy
  • R2: 10.0.0.2 đi ra ngoài sẽ NAT bằng IP global 209.165.200.235
  • R3: 10.0.0.3 đi ra ngoài sẽ NAT bằng IP global 209.165.200.236
configure dynamic nat on cisco asa 8.2 (12)

4. Dynamic Inside PAT on Cisco ASA


- Trong vùng DMZ các bạn sẽ thực hiện dynamic inside PAT ( NAT port)
- Và kèm thêm điều kiện là các host trong dmz chỉ được sử dụng tối đa 2 session tcp và tổng số lượng user được sử dụng là 3
- Trên ASA các bạn thực hiện câu lệnh sau để NAT vùng DMZ ra outside sử dụng các IP global trên interface outside của ASA.

Mã: 
ciscoasa(config)# nat (dmz) 5 192.168.20.0 255.255.255.0 tcp 2 3
ciscoasa(config)# global (outside) 5 interface
- Trên Host vùng DMZ các bạn đặt IP: 192.168.20.10/24 và gateway:192.168.20.254
- Các bạn thực hiện telnet đến R1. Thì kết quả cho thấy các bạn chỉ có thể telnet được 2 session. Session thứ 3 telnet R1 đã bị failure.

configure dynamic nat on cisco asa 8.2 (13)

5. Dynamic Inside policy NAT on Cisco ASA


- Bây giờ các bạn sẽ thực hiện NAT sao cho host trong vùng inside đi ra 8.8.8.8 thì dùng IP global: 209.165.200.134/24
- Còn các traffi khác thì đi bình thường
Cấu hình
- Trên ASA: Các bạn cấu hình default-route và policy NAT

Mã: 
// Default-route trên ASA
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.226

// ACL khi inside đi 8.8.8.8 thì sẽ được NAT bằng IP 209.165.200.134
access-list google line 1 extended permit ip 10.0.0.0 255.255.255.0 host 8.8.8.8

ciscoasa(config)#nat (inside) 8 access-list google
ciscoasa(config)#global (outside) 8 209.165.200.134 netmask 255.255.255.255
- Trên R1, R2 các bạn cần có thêm default-route để đi internet
Mã: 
R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.254

R2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.254
- Để kiểm tra các bạn đứng trên R2 ping 8.8.8.8 và ping 8.8.4.4
- Sau đó các bạn lên ASA và kiểm tra bảng NAT thì thấy
  • Traffic từ R2 đi đến 8.8.8.8 sẽ được NAT bằng IP 209.165.200.134
  • traffic từ R2 đi đến 8.8.4.4 sẽ được NAT bằng IP 209.165.200.241. Như vậy là các traffic mà ko đi đến 8.8.8.8 sẽ được NAT như bình thường ở phần 3: Dynamic Inside NAT
configure dynamic nat on cisco asa 8.2 (14)
 
Sửa lần cuối:
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top