Cisco ASA [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4

Discussion in 'Lý Thuyết' started by root, Jul 5, 2014.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Dynamic NAT on ASA 8.2 vs ASA 8.4


    - Việc cấu hình NAT trên ASA từ version 8.3 trở về trước có chút khác biệt so với các version ASA 8.3 trở lên

    I. Simple Dynamic Inside NAT on ASA Cisco


    1. Dynamic NAT với 1 subnet inside on Firewall ASA Cisco
    - Mô hình cấu hình dynamic inside NAT 1 internal Network ra Outside trên Cisco ASA.

    config dynamic NAT on ASA Cisco 8.2(1)


    - Yêu cầu:

    Thực hiện Dynamic NAT để subnet Inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50

    - Dynamic NAT on Firewall ASA Cisco version prior to 8.3

    Cấu hình Dynamic NAT on Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
            ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0

    - Dynamic NAT on Firewall ASA Cisco version 8.3 and later

    Cấu hình Dynamic NAT on Cisco ASA 8.4
    đây là pool IP outside

    Code:
    ciscoasa(config)# object network mapped_public_pool
            ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50
            
    đây là pool IP inside và NAT IP inside ra pool IP outside ở trên

    Code:
    ciscoasa(config)# object network my_internal_lan
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_public_pool
    - Các bạn có thể thấy rõ phiên bản mới nó thực hiện Dynamic NAT bên trong Object INSIDE, còn version cũ thì dùng ID (1) và global để thực hiện NAT

    2. Dynamic NAT Translation of two internal networks


    - Cấu hình Dynamic NAT với 2 pool IP Inside ra 2 pool Outside.

    config dynamic NAT on ASA Cisco 8.2(2)


    - yêu cầu: Thực hiện Dynamic NAT để

    Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50
    Subnet inside 192.168.2.0/24 ra internet bằng pool IP outside 100.1.1.51-100

    - Cấu hình Dynamic NAT Cisco ASA với Version 8.3 cũ.

    Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
            ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0

    Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
            ciscoasa(config)# global (outside) 2 100.1.1.51-100.1.1.100 netmask 255.255.255.0
    - Với version mới hơn 8.3

    Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.4

    Code:
    ciscoasa(config)# object network mapped_IP_pool_1
            ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50
            ciscoasa(config)# object network lan_1
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_1
            
    Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.4

    Code:
        ciscoasa(config)# object network mapped_IP_pool_2
        ciscoasa(config-network-object)# range 100.1.1.51 100.1.1.100
        ciscoasa(config)# object network lan_2
        ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2

    3. Dynamic NAT with three interfaces on ASA Cisco

    - Cấu hình dynamic NAT với 3 interfaces trên ASA Cisco

    config dynamic NAT on ASA Cisco 8.2(3)


    - Yêu cầu: Thực hiện Dynamic NAT để

    Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.1-100
    Subnet inside 192.168.1.0/24 đi đến DMZ bằng pool IP DMZ 172.16.1.100-254
    Subnet DMZ 172.16.1.0/24 ra internet bằng pool IP 100.1.1.1-254

    - Cấu hình dynamic NAT với Cisco ASA version 8.3 trở về trước

    Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
            ciscoasa(config)# nat (DMZ) 1 172.16.1.0 255.255.255.0
            ciscoasa(config)# global (outside) 1 100.1.1.1-100.1.1.254 netmask 255.255.255.0
            ciscoasa(config)# global (DMZ) 1 172.16.1.100-172.16.1.254 netmask 255.255.255.0
    - Cấu hình dynamic NAT với ASA Cisco với Version mới hơn 8.3

    Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.4
    pool IP DMZ

    Code:
    ciscoasa(config)# object network mapped_IP_pool_1
            ciscoasa(config-network-object)# range 172.16.1.100 172.16.1.254
    pool IP OUTSIDE

    Code:
    ciscoasa(config)# object network mapped_IP_pool_2
            ciscoasa(config-network-object)# range 100.1.1.1 100.1.1.254
    Pool IP inside và thực hiện NAT inside ra DMZ

    Code:
    ciscoasa(config)# object network inside_to_dmz
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,dmz) dynamic mapped_IP_pool_1
    Pool IP inside và thực hiện NAT inside ra OUTSIDE

    Code:
    ciscoasa(config)# object network inside_to_outside
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2
    Pool IP DMZ và thực hiện NAT DMZ ra ra OUTSIDE

    Code:
    ciscoasa(config)# object network dmz_to_outside
            ciscoasa(config-network-object)# subnet 172.16.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (dmz,outside) dynamic mapped_IP_pool_2

    II. Configuring Dynamic Port Address on Cisco ASA (PAT)

    1. Cấu hình PAT trên Cisco ASA
    - Case này thường sử dụng để NAT "many-to-one". Nghĩa là NAT nhiều IP inside ra ngoài internet thông qua 1 IP outside trên Firewall Cisco ASA.

    config dynamic NAT on ASA Cisco 8.2(4)


    - yêu cầu: Thực hiện NAT dạng PAT để

    Các IP subnet inside 192.168.1.0/24 ra internet bằng IP interface outside 100.1.1.2

    - Cấu hình PAT trên Cisco ASA với version cũ từ 8.3 trở về trước.

    Cấu hình PAT trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
        ciscoasa(config)# global (outside) 1 100.1.1.2 netmask 255.255.255.255
    - Cấu hình PAT trên Cisco ASA với version mới từ 8.3 trở lên.

    Cấu hình PAT trên Cisco ASA 8.4

    Code:
    ciscoasa(config)# object network internal_lan
        ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
        ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.2

    2. Cấu hình PAT với IP interface Outside trên Cisco ASA


    Thay vì sử dụng 1 IP public như trên để cấu hinh PAT trên ASA thì case này được sử dụng để NAT các IP inside ra internet thông qua IP được cấu hình trên interface OUTSIDE của Cisco ASA. Trường hợp này interface outside của Cisco ASA sẽ phải kết nối với Router ISP.

    config dynamic NAT on ASA Cisco 8.2(5)


    - Yêu cầu:

    interface g0/0 của ASA sẽ nhận IP bằng DHCP từ ISP
    Cấu hình để subnet Inside 192.168.1.0/24 ra internet thông qua interface g0/0

    - Cấu hình PAT sử dụng interface outside Cisco ASA với version cũ

    Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
            ciscoasa(config)# global (outside) 1 interface
    - Với version mới hơn 8.3

    Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.4

    Code:
    ciscoasa(config)# object network internal_lan
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

    3. Cấu hình PAT 2 subnet Inside khác nhau trên Cisco ASA


    - Trường hợp này chúng ta sẽ thực hiện NAT 2 subnet inside khác nhau ra internet thông qua 2 IP public nhau.

    config dynamic NAT on ASA Cisco 8.2(6)


    - Yêu cầu:

    cấu hình PAT để subnet Inside 192.168.1.0/24 ra internet bằng IP outside 100.1.1.1
    cấu hình PAT để subnet Inside 192.168.2.0/24 ra internet bằng IP outside 100.1.1.2

    - Cấu hình PAT 2 subnet inside trên Cisco ASA với version cũ hơn 8.3

    Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
            ciscoasa(config)# global (outside) 1 100.1.1.1 netmask 255.255.255.255
    
            ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
            ciscoasa(config)# global (outside) 2 100.1.1.2 netmask 255.255.255.255

    - Cấu hình PAT 2 subnet inside trên Cisco ASA với version mới hơn 8.3

    Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.4

    Code:
    ciscoasa(config)# object network internal_lan1
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.1
    
            ciscoasa(config)# object network internal_lan2
            ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.2

    4. Kết hợp Dynamic NAT và PAT trên Cisco ASA


    - Yêu cầu:

    NAT IP vùng inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.100-253.
    Nếu pool IP outside bị dùng hết thì các bạn sử dụng PAT để NAT các IP inside còn lại

    - Cấu hình dynamic NAT và PAT trên Cisco ASA với version cũ hơn 8.3

    Cấu hình dynamic NAT và PAT trên Cisco ASA 8.2

    Code:
    ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
            ciscoasa(config)# global (outside) 1 100.1.1.100-100.1.1.253 netmask 255.255.255.0
            ciscoasa(config)# global (outside) 1 100.1.1.254 netmask 255.255.255.255
    - Cấu hình dynamic NAT và PAT trên Cisco ASA với version mới hơn 8.3

    Cấu hình dynamic NAT và PAT trên Cisco ASA 8.4
    Pool IP Outside

    Code:
    ciscoasa(config)# object network mapped_IP_pool
            ciscoasa(config-network-object)# range 100.1.1.100 100.1.1.253
    IP interface Outside để thực hiện PAT trên Cisco ASA 8.4

    Code:
    ciscoasa(config)# object network PAT_IP
            ciscoasa(config-network-object)# host 100.1.1.254
    Đưa pool IP outside để thực hiện Dynamic NAT và đưa IP interface outside thực hiện PAT trên Cisco ASA 8.4

    Code:
    ciscoasa(config)# object-group network nat_pat
            ciscoasa(config-network-object)# network-object object mapped_IP_pool
            ciscoasa(config-network-object)# network-object object PAT_IP
    Thực hiện NAT IP inside(192.168.1.0/24) bằng dynamic outside với pool (100.1.1.100-253) sau đó mới thực hiện PAT

    Code:
    ciscoasa(config)# object network internal_lan
            ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
            ciscoasa(config-network-object)# nat (inside,outside) dynamic nat_pat
            
    Các bài lý thuyết trong
    Module 7
    : Address Translation on Cisco ASA
    1. [Chapter 7.1] Basic ASA NAT Configuration
    2. [Chapter 7.2] Cisco ASA NAT configuration
    3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
    4. [Chapter 7.4] config Static NAT trên ASA 8.2
    5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
    6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
    7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
    - Tham khảo thêm các bài lab trong phần
    Module 7: Address Translation on Cisco ASA
    1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
    2. [Lab 7.2] Configure static nat on cisco asa 8.2
    3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
    4. [Lab 7.4] Cisco ASA and nat port redirection draytek
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 16, 2016
  2. phanphong

    phanphong Super Moderator

    Joined:
    Jun 24, 2014
    Messages:
    10
    Likes Received:
    0
    Trophy Points:
    1
    Thanks chủ thớt ,
    bạn rất là chu đáo, nếu rãnh rỗi mình sẽ cùng viết lab với chủ thớt về đề tài luyện thi CCIE
    thanks
     

Share This Page