root
Specialist
Lab Configure NAT exemption and Identity NAT ASA 8.2
I. Mô hình và yêu cầu
1. Mô hình Lab Configure NAT exemption and Identity NAT ASA 8.2
2. Chuẩn bị và yêu cầu
- Thiêt lập thiết bị như sơ đồ
- Đặt IP như sau
- Cấu hình PC trong inside ra DMZ không cần NAT và ra internet (outside) phải NAT. (Static Identity NAT + PAT)
- Sau khi bạn cấu hình ra được internet (ping 8.8.8.8 thành công) thì bạn cấu hình sao cho các PC vùng inside muốn truy cập google thì phải truy cập IP: 100.100.100.100 thay vì 8.8.8.8 như trước.
- Tương tự câu trên các bạn cấu hình sao cho PC vung truy cập DMZ (web server) bằng IP: 200.200.200.200 thay vì IP 10.2.2.253 như trước
II. Triển khai Lab Configure NAT exemption and Identity NAT ASA 8.2
1. Cấu hình cơ bản cho ASA
Mã:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 172.16.1.1 255.255.255.252
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int e0/2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.2.2.254 255.255.255.0
ciscoasa(config-if)# no shutdown
Mã:
ciscoasa(config-if)# fixup protocol icmp
ciscoasa(config)# nat-control
ciscoasa(config)# route outside 0 0 172.16.1.2542. Cấu hình Dynamic Identity NAT
- Cấu hình Dynamic Identity NAT để cho PC vùng inside đi qua Firewall không cần NAT.
Mã:
ciscoasa(config)# nat (inside) 0 192.168.20.0 255.255.255.0
- Trên ASA "show xlate detail" thì thấy PC đi ra outside và DMZ đều dùng 1 IP của chính nó
3. Static Identity NAT + PAT
- Tư phần 1 các bạn có thể thấy nhược điểm của Dynamic Identity NAT. Bây giờ mình sẽ giải quyết vấn đê này bằng cách sử dụng Static Identity NAT + PAT để
- Static Identity NAT: cho vùng inside qua DMZ không cần dùng NAT
- PAT: để inside ra internet
Mã:
ciscoasa(config)# no nat (inside) 0 192.168.20.0 255.255.255.0
ciscoasa(config)# static (inside,dmz) 192.168.20.20 192.168.20.20 netmask 255.255.255.255
ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface
- Show xlate trên ASA các bạn có thể thấy PC qua DMZ thì không NAT nhưng đi interbet thì dùng PAT
4. NAT outside on Cisco ASA
- Thực hiện NAT outside để dấu IP google
Mã:
ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface
ciscoasa(config)# static (outside,inside) 100.100.100.100 8.8.8.8 netmask 255.255.255.255- Bây giờ PC truy cập google 8.8.8.8 sẽ thất bại, nhưng truy cập google bằng IP 100.100.100.100 thì thành công.
- Thực hiện "show xlate" trên ASA
5. Nat outside cho vùn DMZ
- Bây giờ người quản trị muốn bảo mật web server của họ thì họ sẽ thực hiện dấu Real IP của website. Lúc này user truy cập Web server sẽ phải dùng 1 IP khác
Mã:
ciscoasa(config)# static (inside,dmz) 192.168.20.20 192.168.20.20 netmask 255.255.255.255
// áp dùng NAT outside
ciscoasa(config)# static (dmz,inside) 200.200.200.200 10.2.2.253 netmask 255.255.255.255
- Trên ASA các bạn thực hiện "show xlate" để xem chi tiết
6. Khác nhau trong bảng NAT giữa Static và Dynamic Identity NAT:
- Các bạn thực hiện "clear xlate" và "show xlate" trên ASA các bạn sẽ thấy sự khác biệt giữa Static Identity NAT và Dynamic Identity NAT rõ ràng là: Static Identity luôn có trong bảng NAT cho dù bạn có clear nó. Nhưng đối với Dynamic Identity thì không có. Nó chỉ hiện trong bảng NAT khi bạn thiết lập connection.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới