Cisco ASA [Chapter 7.3] config Dynamic NAT trên ASA 8.2

Discussion in 'Lý Thuyết' started by root, May 22, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48

    Config dynamic nat on ASA Cisco 8.2


    Hướng dẫn cấu hình dynamic NAT trên Firewall ASA Cisco. Bài viết này gồm 5 phần dưới đây:

    1. NAT control on Firewall ASA Cisco
    2. Config Dynamic Inside NAT on ASA Cisco
    3. Dynamic Inside PAT on ASA Cisco
    4. Dynamic Inside Policy NAT on ASA Cisco
    5. Verifying Dynamic Inside NAT and PAT on ASA Cisco

    1. NAT control on Firewall ASA Cisco

    - Ngày xưa trên các firewall PIX để “ các traffic đi từ interface này qua interface kia bắt buộc phải sử dụng NAT”.
    Còn bây giờ đối với ASA thì việc traffic muốn đi từ interface này qua interface kia là tùy thuộc vào người cấu hình:

    • Có thể dùng Routing
    • Hoặc có thể dùng NAT

    NAT control on Firewall ASA Cisco 8.2

    - Để cho con ASA quay về thời kì giống con PIX. Nghĩa là traffic muốn đi từ interface này qua interface khác con ASA phải dùng NAT
    Code:
    asa(config)#nat-control

    // Để hủy lệnh trên chi việc thêm chữ “no

    Code:
    asa(config)#no nat-control
    - Mặc định trên ASA là “no nat-control”

    2. Config Dynamic Inside NAT on ASA Cisco

    - Tương tự như Dynamic NAT bên Router Cisco (n-n)

    Config Dynamic Inside NAT on ASA Cisco 8.2
    - Cú pháp
    Code:
    asa(config)#nat (inside) 1 10.0.0.0 255.255.255.0
    asa(config)#global (outside) 1 209.165.200.235-209.165.200.254 netmask 255.255.255.224
    asa(config)#timeout xlate 1:00:00
    • inside, outside: tên của interface (nameif)
    • 1 : chính là số ID, trên đây là 1 cặp câu lệnh NAT để thực hiện Dynamic NAT. Cặp câu lệnh này phải có cùng số ID thì nó mới phối hợp với nhau được10.0.0.0 255.255.255.0 : là lớp mạng bên trong (inside)
    • 209.165.200.235-209.165.200.254 netmask 255.255.255.224 : giống pool chứa các IP global
    • timeout xlate 1:00:00 : Khi NAT thì nó sẽ ghi thông tin NAT vào bảng trạng thái của nó (các bạn có thể xem bằng lệnh “show xlate”). Thì sau khi sử dụng NAT xong thì mặc định là 3 tiếng sau thông tin này mới bị xóa ở trong này.
      • Ở đây mình đặt là 1h nếu ko sử dụng sẽ bị xóa
      • Nhưng nếu bạn vẫn thường sử dụng NAT thì thông tin sẽ không bị xóa
      • Để xóa luôn mà không cần chờ các bạn có thể dùng lệnh: "clear xlate"

    3. Dynamic Inside PAT on ASA Cisco

    - Tương tự NAT Overload bên Router

    Dynamic Inside PAT on ASA Cisco

    - Cú pháp

    Code:
    asa(config)#nat (DMZ) 5 172.16.0.0 255.255.255.0 tcp 0 0 udp 0
    asa(config)#nat (inside) 5 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
    asa(config)#global (outside) 5 interface
    asa(config)#global (DMZ) 5 172.16.0.254 netmask 255.255.255.255
    - tcp 0 0 dùng để quản lý phiên làm việc
    • 0 : cho phép PC tạo ra bao nhiêu session đồng thời đi ra ngoài. VD: nếu tcp 2 thì source IP chỉ được có 2 slot trong bảng NAT.
    • 0 : Tổng số lượng user sử dụng được là bao nhiêu.
    • Số “0” là unlimit.
    • Đây là phần option nên có hay không đêu được
    - Cặp lệnh 2 và 4: Những IP trên inside 10.0.0.0/24 sẽ được NAT bằng 1 IP trên DMZ là 172.16.0.254
    - Cặp lệnh 1 và 3: Những IP trên DMZ 172.16.0.0/24 sẽ được NAT bằng những IP trên interface outside
    - Cặp lệnh 2 và 3: Những IP inside 10.0.0.0/24 sẽ được NAT bằng những IP trên interface outside. Bởi vì đôi khi interface outside được ISP cấp IP động nên phải dùng interface thay cho đặt IP tĩnh như “cặp lệnh 2 và 4”

    4. Dynamic Inside Policy NAT on ASA Cisco

    - Tương tự Dynamic Inside NAT nhưng có thêm các policy
    - Cú pháp


    Code:
    access-list POLICY-NAT-ACL line 1 extended permit ip 10.0.0.0 255.255.255.0 host 209.165.202.150
    
    nat (inside) 8 access-list POLICY-NAT-ACL tcp 0 0 udp 0
    global (outside) 8 209.165.200.134 netmask 255.255.255.255
    - Line 1: tương tự như sequence trên ACL của Router
    - Thay vì như cấu hình Dynamic phía trên là 1 network thì ở đây nó sử dụng 1 Access-list.
    - Với ACL như trên thì những IP inside có source: 10.0.0.0/24 đi đến Des là 209.165.202.150 thì sẽ được NAT bằng IP 209.165.200.134/24
    - Còn những phần còn lại thì đi như bình thường
    - Đối với Router cũng có thể làm tương tự bằng Route-MAP


    5. Verifying Dynamic Inside NAT and PAT on ASA Cisco

    - Dùng để show bảng NAT
    - Cú pháp

    Code:
    show xlate
    or
    Code:
    show xlate detail
    - Ví dụ
    - Ở đây có thể thấy là NAT port (PAT)


    Code:
    FIREWALL# show xlate
    3 in use, 10 most used
    PAT Global 209.165.200.226(50595) Local 10.0.0.101(49298)PAT
    Global 209.165.200.226(25788) Local 172.16.0.51(49297)PAT
    Global 209.165.200.226(48335) Local 10.0.0.101(62474)

    Các bài lý thuyết trong
    Module 7
    : Address Translation on Cisco ASA
    1. [Chapter 7.1] Basic ASA NAT Configuration
    2. [Chapter 7.2] Cisco ASA NAT configuration
    3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
    4. [Chapter 7.4] config Static NAT trên ASA 8.2
    5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
    6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
    7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
    - Tham khảo thêm các bài lab trong phần
    Module 7: Address Translation on Cisco ASA
    1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
    2. [Lab 7.2] Configure static nat on cisco asa 8.2
    3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
    4. [Lab 7.4] Cisco ASA and nat port redirection draytek
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 16, 2016
  2. cuongpm

    cuongpm New Member

    Joined:
    Oct 26, 2015
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    1
    Bài này mất hình Admin nhé.
     
  3. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48
    Đã upload lại hình cho bài viết.
    Thanks bạn.
     

Share This Page