Cisco ASA [Chapter 7.5] NAT Identity exemption and outside ASA 8.2

Discussion in 'Lý Thuyết' started by root, Jun 16, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    52
    Trophy Points:
    48

    NAT identity exemption and NAT outside on Cisco ASA 8.2


    1. Dynamic identity NAT Cisco ASA


    - Câu lệnh
    Code:
    nat (inside) 0 10.0.0.0 255.255.255.0 tcp 0 0 udp 0
    - 0: là đại diện cho identity NAT
    - inside: 10.0.0.0 là lớp mạng 10.0.0.0 vùng inside đi qua firewall Cisco ASA không cần phải NAT.
    - Nhược điểm:
    • Vùng inside qua DMZ không cần NAT
    • Nhưng vùng inside ra outside cũng không NAT, điều này có thể làm cho Inside không đi được Internet trong trường hợp ISP yêu cầu NAT ở Router.
    - Để giải quyết vấn đề này bạn cần sử dụng Static identity NAT trên Cisco ASA.

    Dynamic identity NAT cisco asa (5)


    2. Static Identity NAT Cisco ASA
    - Câu lệnh
    Code:
    static (inside,DMZ) 10.0.0.20 10.0.0.20 netmask 255.255.255.255 tcp 0 0 udp 0
    - 10.0.0.20 là địa chỉ vùng Inside (vì nat static từ vùng inside ra outside thì IP là IP DMZ rồi tới IP của inside).
    - Từ inside qua DMZ thì không cần phải NAT và để giải quyết vấn để ở trên của Dynamic identity NAT thì ở đây các bạn dùng thêm 1 câu lệnh NAT sao cho IP từ vùng inside ra outside phải NAT.
    - Ví dụ: (hoặc bạn có thể dùng PAT cũng được)
    static(inside,outside) 10.0.0.20 209.165.100.5 netmask 255.255.255.0

    Static Identity NAT cisco asa (1)


    3. NAT exemption Cisco ASA
    - NAT exemption là traffic qua Firewall Cisco ASA sẽ không cần phải NAT.
    - Câu lệnh
    Code:
    access-list NO-NAT line 1 extended permit ip host 10.0.0.0 255.255.255.0 172.16.0.0 255.255.255.0
    
    nat (inside) 0 access-list NO-NAT tcp 0 0 udp 0
    - So sánh Identity NAT và Dynamic Identity NAT.

    NAT exemption cisco asa (1)


    - So sánh Identity NAT và NAT exemption cisco ASA.

    Identity NAT và NAT exemption cisco asa (1)


    4. Outside NAT Cisco ASA
    - Thường dùng cho việc security 1 lớp mạng hay 1 máy chủ mà bạn không muốn người truy cập biết IP thật của lớp mạng hay Ip máy chủ thật.
    - Lúc này user truy cập vào IP máy chủ sẽ thông qua 1 IP khác.
    Code:
    static (outside,inside) 10.0.8.135 209.165.202.135 netmask 255.255.255.255 tcp 0 0 udp

    Các bài lý thuyết trong
    Module 7
    : Address Translation on Cisco ASA
    1. [Chapter 7.1] Basic ASA NAT Configuration
    2. [Chapter 7.2] Cisco ASA NAT configuration
    3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
    4. [Chapter 7.4] config Static NAT trên ASA 8.2
    5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
    6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
    7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
    - Tham khảo thêm các bài lab trong phần
    Module 7: Address Translation on Cisco ASA
    1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
    2. [Lab 7.2] Configure static nat on cisco asa 8.2
    3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
    4. [Lab 7.4] Cisco ASA and nat port redirection draytek
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 16, 2016

Share This Page