root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Dynamic NAT on ASA 8.2 vs ASA 8.4


- Việc cấu hình NAT trên ASA từ version 8.3 trở về trước có chút khác biệt so với các version ASA 8.3 trở lên

I. Simple Dynamic Inside NAT on ASA Cisco


1. Dynamic NAT với 1 subnet inside on Firewall ASA Cisco
- Mô hình cấu hình dynamic inside NAT 1 internal Network ra Outside trên Cisco ASA.

config dynamic NAT on ASA Cisco 8.2(1)


- Yêu cầu:

Thực hiện Dynamic NAT để subnet Inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50

- Dynamic NAT on Firewall ASA Cisco version prior to 8.3

Cấu hình Dynamic NAT on Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0


- Dynamic NAT on Firewall ASA Cisco version 8.3 and later

Cấu hình Dynamic NAT on Cisco ASA 8.4
đây là pool IP outside

Code:
ciscoasa(config)# object network mapped_public_pool
        ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50

đây là pool IP inside và NAT IP inside ra pool IP outside ở trên

Code:
ciscoasa(config)# object network my_internal_lan
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_public_pool

- Các bạn có thể thấy rõ phiên bản mới nó thực hiện Dynamic NAT bên trong Object INSIDE, còn version cũ thì dùng ID (1) và global để thực hiện NAT

2. Dynamic NAT Translation of two internal networks


- Cấu hình Dynamic NAT với 2 pool IP Inside ra 2 pool Outside.

config dynamic NAT on ASA Cisco 8.2(2)


- yêu cầu: Thực hiện Dynamic NAT để

Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50
Subnet inside 192.168.2.0/24 ra internet bằng pool IP outside 100.1.1.51-100

- Cấu hình Dynamic NAT Cisco ASA với Version 8.3 cũ.

Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0


Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
        ciscoasa(config)# global (outside) 2 100.1.1.51-100.1.1.100 netmask 255.255.255.0

- Với version mới hơn 8.3

Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.4

Code:
ciscoasa(config)# object network mapped_IP_pool_1
        ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50
        ciscoasa(config)# object network lan_1
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_1

Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.4

Code:
    ciscoasa(config)# object network mapped_IP_pool_2
    ciscoasa(config-network-object)# range 100.1.1.51 100.1.1.100
    ciscoasa(config)# object network lan_2
    ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
    ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2


3. Dynamic NAT with three interfaces on ASA Cisco

- Cấu hình dynamic NAT với 3 interfaces trên ASA Cisco

config dynamic NAT on ASA Cisco 8.2(3)


- Yêu cầu: Thực hiện Dynamic NAT để

Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.1-100
Subnet inside 192.168.1.0/24 đi đến DMZ bằng pool IP DMZ 172.16.1.100-254
Subnet DMZ 172.16.1.0/24 ra internet bằng pool IP 100.1.1.1-254

- Cấu hình dynamic NAT với Cisco ASA version 8.3 trở về trước

Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# nat (DMZ) 1 172.16.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.1-100.1.1.254 netmask 255.255.255.0
        ciscoasa(config)# global (DMZ) 1 172.16.1.100-172.16.1.254 netmask 255.255.255.0

- Cấu hình dynamic NAT với ASA Cisco với Version mới hơn 8.3

Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.4
pool IP DMZ

Code:
ciscoasa(config)# object network mapped_IP_pool_1
        ciscoasa(config-network-object)# range 172.16.1.100 172.16.1.254

pool IP OUTSIDE

Code:
ciscoasa(config)# object network mapped_IP_pool_2
        ciscoasa(config-network-object)# range 100.1.1.1 100.1.1.254

Pool IP inside và thực hiện NAT inside ra DMZ

Code:
ciscoasa(config)# object network inside_to_dmz
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,dmz) dynamic mapped_IP_pool_1

Pool IP inside và thực hiện NAT inside ra OUTSIDE

Code:
ciscoasa(config)# object network inside_to_outside
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2

Pool IP DMZ và thực hiện NAT DMZ ra ra OUTSIDE

Code:
ciscoasa(config)# object network dmz_to_outside
        ciscoasa(config-network-object)# subnet 172.16.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (dmz,outside) dynamic mapped_IP_pool_2


II. Configuring Dynamic Port Address on Cisco ASA (PAT)

1. Cấu hình PAT trên Cisco ASA
- Case này thường sử dụng để NAT "many-to-one". Nghĩa là NAT nhiều IP inside ra ngoài internet thông qua 1 IP outside trên Firewall Cisco ASA.

config dynamic NAT on ASA Cisco 8.2(4)


- yêu cầu: Thực hiện NAT dạng PAT để

Các IP subnet inside 192.168.1.0/24 ra internet bằng IP interface outside 100.1.1.2

- Cấu hình PAT trên Cisco ASA với version cũ từ 8.3 trở về trước.

Cấu hình PAT trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
    ciscoasa(config)# global (outside) 1 100.1.1.2 netmask 255.255.255.255

- Cấu hình PAT trên Cisco ASA với version mới từ 8.3 trở lên.

Cấu hình PAT trên Cisco ASA 8.4

Code:
ciscoasa(config)# object network internal_lan
    ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
    ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.2

2. Cấu hình PAT với IP interface Outside trên Cisco ASA


Thay vì sử dụng 1 IP public như trên để cấu hinh PAT trên ASA thì case này được sử dụng để NAT các IP inside ra internet thông qua IP được cấu hình trên interface OUTSIDE của Cisco ASA. Trường hợp này interface outside của Cisco ASA sẽ phải kết nối với Router ISP.

config dynamic NAT on ASA Cisco 8.2(5)


- Yêu cầu:

interface g0/0 của ASA sẽ nhận IP bằng DHCP từ ISP
Cấu hình để subnet Inside 192.168.1.0/24 ra internet thông qua interface g0/0

- Cấu hình PAT sử dụng interface outside Cisco ASA với version cũ

Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 interface

- Với version mới hơn 8.3

Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.4

Code:
ciscoasa(config)# object network internal_lan
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

3. Cấu hình PAT 2 subnet Inside khác nhau trên Cisco ASA


- Trường hợp này chúng ta sẽ thực hiện NAT 2 subnet inside khác nhau ra internet thông qua 2 IP public nhau.

config dynamic NAT on ASA Cisco 8.2(6)


- Yêu cầu:

cấu hình PAT để subnet Inside 192.168.1.0/24 ra internet bằng IP outside 100.1.1.1
cấu hình PAT để subnet Inside 192.168.2.0/24 ra internet bằng IP outside 100.1.1.2

- Cấu hình PAT 2 subnet inside trên Cisco ASA với version cũ hơn 8.3

Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.1 netmask 255.255.255.255

        ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
        ciscoasa(config)# global (outside) 2 100.1.1.2 netmask 255.255.255.255


- Cấu hình PAT 2 subnet inside trên Cisco ASA với version mới hơn 8.3

Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.4

Code:
ciscoasa(config)# object network internal_lan1
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.1

        ciscoasa(config)# object network internal_lan2
        ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.2


4. Kết hợp Dynamic NAT và PAT trên Cisco ASA


- Yêu cầu:

NAT IP vùng inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.100-253.
Nếu pool IP outside bị dùng hết thì các bạn sử dụng PAT để NAT các IP inside còn lại

- Cấu hình dynamic NAT và PAT trên Cisco ASA với version cũ hơn 8.3

Cấu hình dynamic NAT và PAT trên Cisco ASA 8.2

Code:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.100-100.1.1.253 netmask 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.254 netmask 255.255.255.255

- Cấu hình dynamic NAT và PAT trên Cisco ASA với version mới hơn 8.3

Cấu hình dynamic NAT và PAT trên Cisco ASA 8.4
Pool IP Outside

Code:
ciscoasa(config)# object network mapped_IP_pool
        ciscoasa(config-network-object)# range 100.1.1.100 100.1.1.253

IP interface Outside để thực hiện PAT trên Cisco ASA 8.4

Code:
ciscoasa(config)# object network PAT_IP
        ciscoasa(config-network-object)# host 100.1.1.254

Đưa pool IP outside để thực hiện Dynamic NAT và đưa IP interface outside thực hiện PAT trên Cisco ASA 8.4

Code:
ciscoasa(config)# object-group network nat_pat
        ciscoasa(config-network-object)# network-object object mapped_IP_pool
        ciscoasa(config-network-object)# network-object object PAT_IP

Thực hiện NAT IP inside(192.168.1.0/24) bằng dynamic outside với pool (100.1.1.100-253) sau đó mới thực hiện PAT

Code:
ciscoasa(config)# object network internal_lan
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic nat_pat

Các bài lý thuyết trong
Module 7
: Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
- Tham khảo thêm các bài lab trong phần
Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:
Thanks chủ thớt ,
bạn rất là chu đáo, nếu rãnh rỗi mình sẽ cùng viết lab với chủ thớt về đề tài luyện thi CCIE
thanks
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu