Cisco ASA [Chapter 7.4] config Static NAT trên ASA 8.2

Discussion in 'Lý Thuyết' started by root, May 28, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48

    Configuration Static NAT in ASA 8.2


    1. Config Static Inside NAT in ASA


    - Tương tự như Static NAT của Router.

    Config Static Inside NAT in ASA (1)

    - Cú pháp
    Code:
    static (DMZ,outside) 209.165.200.228 172.16.0.5 netmask 255.255.255.255 tcp 0 0 udp 0

    • (DMZ,outside): Thực hiện Nat từ DMZ ra outside
    • 209.165.200.228 : IP của outside
    • 172.16.0.5: IP của DMZ
    - Lưu ý: Cấu hình static chỉ tốn 1 dòng lệnh nhưng vị trí IP trong câu lệnh bị đảo ngược.

    2. Network Static Inside NAT in ASA
    - Ít được sử dụng
    - Ý tưởng: Giả sử trong vùng DMZ có 16 server cần NAT ra ngoài bằng Static NAT
    - Static inside NAT:
    10.0.0.1 NAT bằng 200.0.0.1
    10.0.0.2 NAT bằng 200.0.0.2
    10.0.0.3 NAT bằng 200.0.0.3
    10.0.0.4 NAT bằng 200.0.0.4
    ….
    10.0.0.16 nat bằng 200.0.0.16
    - Network Static inside NAT: việc cấu hình static inside NAT ở phía trên quá dài dòng nên người ta thế thế bằng Network static inside NAT như sau:
    10.0.0.0/28 nat bằng 200.0.0.0/28
    - Thoạt nhìn thì thấy Network Statc inside NAT tương tự như Dynamic inside NAT(NAT nhiều – nhiều). Nhưng không phải
    • Dynamic Inside NAT: là NAT nhiều – nhiều nhưng IP bên trong sẽ được random NAT bằng IP global. Nghĩa là IP global còn dư cái nào thì nó sẽ sử dụng cái đó
    • Network Static inside NAT: Mặc dù là NAT nhiều – nhiều nhưng IP inside và global được NAT là cố định. Và việc lựa chọn IP nào để NAT là dựa các bit nhị phân của IP
    Network Static inside NAT cisco asa (1)

    - Cú pháp
    Code:
    static (DMZ,outside) 209.165.201.0 172.16.0.32 netmask 255.255.255.224 tcp 0 0 udp 0
    • NAT static từ vùng DMZ ra outside: subnet 172.16.0.32/27 sẽ được NAT bằng subnet outside: 209.165.201.0/27
    - Chú ý:
    • Việc NAT 2 network nên cùng subnet.
    • IP NAT được lựa chọn cố định dựa vào các bit nhị phân của IP
    • VD: IP vùng DMZ 172.16.0.39 (10101100.00010000.00000000.00100111) thì được NAT bằng IP outside 209.165.201.7 (11010001.10100101.11001001.00000111).
    • Với subnet là 27 thì nõ sẽ chuyển 27 bit đầu tiên của IP dmz sang 27 bit của IP outside. Còn lại 5 bit cuối của DMZ sẽ được giữ nguyên.

    3. Config ASA Static Inside PAT


    - Tương tự như Server Distribution bên Router.

    Config ASA Static Inside PAT (1)


    - Cú pháp
    Code:
    static (DMZ,outside) tcp 209.165.200.230 443 172.16.0.15 8443 netmask 255.255.255.255 tcp 0 0 udp 0
    static (DMZ,outside) tcp 209.165.200.230 25 172.16.0.20 25 netmask 255.255.255.255 tcp 0 0 udp 0

    - Cùng 1 IP outside nhưng với số port khác nhau thì được NAT vào các server vùng DMZ khác nhau.

    4. Config ASA Static Inside Policy NAT

    - Là static NAT có lồng thêm Access-list vào.

    Config ASA Static Inside Policy NAT (1)

    - Cú pháp
    Code:
    access-list POLICY-NAT-ACL2 line 1 extended permit ip host 172.16.0.20 10.10.10.0 255.255.255.0
    static (DMZ,outside) 200.0.0.20 access-list POLICY-NAT-ACL2 tcp 0 0 udp 0

    - NAT IP vùng DMZ trong Access-list ra IP vùng outside 200.0.0.20
    - ACL: Có 1 IP vùng DMZ là 172.16.0.20 đi đến lớp mạng Des 10.10.10.0/24 sẽ được NAT bằng IP 200.0.0.20

    Các bài lý thuyết trong
    Module 7
    : Address Translation on Cisco ASA
    1. [Chapter 7.1] Basic ASA NAT Configuration
    2. [Chapter 7.2] Cisco ASA NAT configuration
    3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
    4. [Chapter 7.4] config Static NAT trên ASA 8.2
    5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
    6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
    7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
    - Tham khảo thêm các bài lab trong phần
    Module 7: Address Translation on Cisco ASA
    1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
    2. [Lab 7.2] Configure static nat on cisco asa 8.2
    3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
    4. [Lab 7.4] Cisco ASA and nat port redirection draytek
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 16, 2016

Share This Page