Cisco ASA [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4

Discussion in 'Lý Thuyết' started by root, Jul 5, 2014.

 1. root

  root Well-Known Member

  Joined:
  Dec 31, 2012
  Messages:
  1,133
  Likes Received:
  60
  Trophy Points:
  48

  Dynamic NAT on ASA 8.2 vs ASA 8.4


  - Việc cấu hình NAT trên ASA từ version 8.3 trở về trước có chút khác biệt so với các version ASA 8.3 trở lên

  I. Simple Dynamic Inside NAT on ASA Cisco


  1. Dynamic NAT với 1 subnet inside on Firewall ASA Cisco
  - Mô hình cấu hình dynamic inside NAT 1 internal Network ra Outside trên Cisco ASA.

  config dynamic NAT on ASA Cisco 8.2(1)


  - Yêu cầu:

  Thực hiện Dynamic NAT để subnet Inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50

  - Dynamic NAT on Firewall ASA Cisco version prior to 8.3

  Cấu hình Dynamic NAT on Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
      ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0

  - Dynamic NAT on Firewall ASA Cisco version 8.3 and later

  Cấu hình Dynamic NAT on Cisco ASA 8.4
  đây là pool IP outside

  Code:
  ciscoasa(config)# object network mapped_public_pool
      ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50
      
  đây là pool IP inside và NAT IP inside ra pool IP outside ở trên

  Code:
  ciscoasa(config)# object network my_internal_lan
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_public_pool
  - Các bạn có thể thấy rõ phiên bản mới nó thực hiện Dynamic NAT bên trong Object INSIDE, còn version cũ thì dùng ID (1) và global để thực hiện NAT

  2. Dynamic NAT Translation of two internal networks


  - Cấu hình Dynamic NAT với 2 pool IP Inside ra 2 pool Outside.

  config dynamic NAT on ASA Cisco 8.2(2)


  - yêu cầu: Thực hiện Dynamic NAT để

  Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.2-50
  Subnet inside 192.168.2.0/24 ra internet bằng pool IP outside 100.1.1.51-100

  - Cấu hình Dynamic NAT Cisco ASA với Version 8.3 cũ.

  Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
      ciscoasa(config)# global (outside) 1 100.1.1.2-100.1.1.50 netmask 255.255.255.0

  Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
      ciscoasa(config)# global (outside) 2 100.1.1.51-100.1.1.100 netmask 255.255.255.0
  - Với version mới hơn 8.3

  Thực hiện NAT pool insisde thứ 1 ra 1 pool outside thứ 1 trên Cisco ASA 8.4

  Code:
  ciscoasa(config)# object network mapped_IP_pool_1
      ciscoasa(config-network-object)# range 100.1.1.2 100.1.1.50
      ciscoasa(config)# object network lan_1
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_1
      
  Tương tự như trên NAT pool inside thứ 2 bằng pool outside thứ 2 trên Cisco ASA 8.4

  Code:
    ciscoasa(config)# object network mapped_IP_pool_2
    ciscoasa(config-network-object)# range 100.1.1.51 100.1.1.100
    ciscoasa(config)# object network lan_2
    ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
    ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2

  3. Dynamic NAT with three interfaces on ASA Cisco

  - Cấu hình dynamic NAT với 3 interfaces trên ASA Cisco

  config dynamic NAT on ASA Cisco 8.2(3)


  - Yêu cầu: Thực hiện Dynamic NAT để

  Subnet inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.1-100
  Subnet inside 192.168.1.0/24 đi đến DMZ bằng pool IP DMZ 172.16.1.100-254
  Subnet DMZ 172.16.1.0/24 ra internet bằng pool IP 100.1.1.1-254

  - Cấu hình dynamic NAT với Cisco ASA version 8.3 trở về trước

  Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
      ciscoasa(config)# nat (DMZ) 1 172.16.1.0 255.255.255.0
      ciscoasa(config)# global (outside) 1 100.1.1.1-100.1.1.254 netmask 255.255.255.0
      ciscoasa(config)# global (DMZ) 1 172.16.1.100-172.16.1.254 netmask 255.255.255.0
  - Cấu hình dynamic NAT với ASA Cisco với Version mới hơn 8.3

  Cấu hình dynamic NAT 3 pool inside ra 3 pool ouside trên Cisco ASA 8.4
  pool IP DMZ

  Code:
  ciscoasa(config)# object network mapped_IP_pool_1
      ciscoasa(config-network-object)# range 172.16.1.100 172.16.1.254
  pool IP OUTSIDE

  Code:
  ciscoasa(config)# object network mapped_IP_pool_2
      ciscoasa(config-network-object)# range 100.1.1.1 100.1.1.254
  Pool IP inside và thực hiện NAT inside ra DMZ

  Code:
  ciscoasa(config)# object network inside_to_dmz
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,dmz) dynamic mapped_IP_pool_1
  Pool IP inside và thực hiện NAT inside ra OUTSIDE

  Code:
  ciscoasa(config)# object network inside_to_outside
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic mapped_IP_pool_2
  Pool IP DMZ và thực hiện NAT DMZ ra ra OUTSIDE

  Code:
  ciscoasa(config)# object network dmz_to_outside
      ciscoasa(config-network-object)# subnet 172.16.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (dmz,outside) dynamic mapped_IP_pool_2

  II. Configuring Dynamic Port Address on Cisco ASA (PAT)

  1. Cấu hình PAT trên Cisco ASA
  - Case này thường sử dụng để NAT "many-to-one". Nghĩa là NAT nhiều IP inside ra ngoài internet thông qua 1 IP outside trên Firewall Cisco ASA.

  config dynamic NAT on ASA Cisco 8.2(4)


  - yêu cầu: Thực hiện NAT dạng PAT để

  Các IP subnet inside 192.168.1.0/24 ra internet bằng IP interface outside 100.1.1.2

  - Cấu hình PAT trên Cisco ASA với version cũ từ 8.3 trở về trước.

  Cấu hình PAT trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
    ciscoasa(config)# global (outside) 1 100.1.1.2 netmask 255.255.255.255
  - Cấu hình PAT trên Cisco ASA với version mới từ 8.3 trở lên.

  Cấu hình PAT trên Cisco ASA 8.4

  Code:
  ciscoasa(config)# object network internal_lan
    ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
    ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.2

  2. Cấu hình PAT với IP interface Outside trên Cisco ASA


  Thay vì sử dụng 1 IP public như trên để cấu hinh PAT trên ASA thì case này được sử dụng để NAT các IP inside ra internet thông qua IP được cấu hình trên interface OUTSIDE của Cisco ASA. Trường hợp này interface outside của Cisco ASA sẽ phải kết nối với Router ISP.

  config dynamic NAT on ASA Cisco 8.2(5)


  - Yêu cầu:

  interface g0/0 của ASA sẽ nhận IP bằng DHCP từ ISP
  Cấu hình để subnet Inside 192.168.1.0/24 ra internet thông qua interface g0/0

  - Cấu hình PAT sử dụng interface outside Cisco ASA với version cũ

  Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
      ciscoasa(config)# global (outside) 1 interface
  - Với version mới hơn 8.3

  Cấu hình PAT sử dụng interface outside trên Cisco ASA 8.4

  Code:
  ciscoasa(config)# object network internal_lan
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

  3. Cấu hình PAT 2 subnet Inside khác nhau trên Cisco ASA


  - Trường hợp này chúng ta sẽ thực hiện NAT 2 subnet inside khác nhau ra internet thông qua 2 IP public nhau.

  config dynamic NAT on ASA Cisco 8.2(6)


  - Yêu cầu:

  cấu hình PAT để subnet Inside 192.168.1.0/24 ra internet bằng IP outside 100.1.1.1
  cấu hình PAT để subnet Inside 192.168.2.0/24 ra internet bằng IP outside 100.1.1.2

  - Cấu hình PAT 2 subnet inside trên Cisco ASA với version cũ hơn 8.3

  Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
      ciscoasa(config)# global (outside) 1 100.1.1.1 netmask 255.255.255.255
  
      ciscoasa(config)# nat (inside) 2 192.168.2.0 255.255.255.0
      ciscoasa(config)# global (outside) 2 100.1.1.2 netmask 255.255.255.255

  - Cấu hình PAT 2 subnet inside trên Cisco ASA với version mới hơn 8.3

  Cấu hình PAT với 2 subnet inside trên Cisco ASA 8.4

  Code:
  ciscoasa(config)# object network internal_lan1
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.1
  
      ciscoasa(config)# object network internal_lan2
      ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic 100.1.1.2

  4. Kết hợp Dynamic NAT và PAT trên Cisco ASA


  - Yêu cầu:

  NAT IP vùng inside 192.168.1.0/24 ra internet bằng pool IP outside 100.1.1.100-253.
  Nếu pool IP outside bị dùng hết thì các bạn sử dụng PAT để NAT các IP inside còn lại

  - Cấu hình dynamic NAT và PAT trên Cisco ASA với version cũ hơn 8.3

  Cấu hình dynamic NAT và PAT trên Cisco ASA 8.2

  Code:
  ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
      ciscoasa(config)# global (outside) 1 100.1.1.100-100.1.1.253 netmask 255.255.255.0
      ciscoasa(config)# global (outside) 1 100.1.1.254 netmask 255.255.255.255
  - Cấu hình dynamic NAT và PAT trên Cisco ASA với version mới hơn 8.3

  Cấu hình dynamic NAT và PAT trên Cisco ASA 8.4
  Pool IP Outside

  Code:
  ciscoasa(config)# object network mapped_IP_pool
      ciscoasa(config-network-object)# range 100.1.1.100 100.1.1.253
  IP interface Outside để thực hiện PAT trên Cisco ASA 8.4

  Code:
  ciscoasa(config)# object network PAT_IP
      ciscoasa(config-network-object)# host 100.1.1.254
  Đưa pool IP outside để thực hiện Dynamic NAT và đưa IP interface outside thực hiện PAT trên Cisco ASA 8.4

  Code:
  ciscoasa(config)# object-group network nat_pat
      ciscoasa(config-network-object)# network-object object mapped_IP_pool
      ciscoasa(config-network-object)# network-object object PAT_IP
  Thực hiện NAT IP inside(192.168.1.0/24) bằng dynamic outside với pool (100.1.1.100-253) sau đó mới thực hiện PAT

  Code:
  ciscoasa(config)# object network internal_lan
      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
      ciscoasa(config-network-object)# nat (inside,outside) dynamic nat_pat
      
  Các bài lý thuyết trong
  Module 7
  : Address Translation on Cisco ASA
  1. [Chapter 7.1] Basic ASA NAT Configuration
  2. [Chapter 7.2] Cisco ASA NAT configuration
  3. [Chapter 7.3] config Dynamic NAT trên ASA 8.2
  4. [Chapter 7.4] config Static NAT trên ASA 8.2
  5. [Chapter 7.5] NAT Identity exemption and outside ASA 8.2
  6. [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
  7. [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
  - Tham khảo thêm các bài lab trong phần
  Module 7: Address Translation on Cisco ASA
  1. [Lab 7.1] configure dynamic nat on cisco asa 8.2
  2. [Lab 7.2] Configure static nat on cisco asa 8.2
  3. [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2
  4. [Lab 7.4] Cisco ASA and nat port redirection draytek
  - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
  - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
   
  Last edited: Aug 16, 2016
 2. phanphong

  phanphong Super Moderator

  Joined:
  Jun 24, 2014
  Messages:
  9
  Likes Received:
  0
  Trophy Points:
  1
  Thanks chủ thớt ,
  bạn rất là chu đáo, nếu rãnh rỗi mình sẽ cùng viết lab với chủ thớt về đề tài luyện thi CCIE
  thanks
   

Share This Page