Cisco ASA [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

III. Config Static NAT on Cisco ASA


1. Config Static NAT with DMZ

- Case này chúng ta sẽ thực hiện NAT static cho 2 server web và email server ra internet thông qua 2 IP public trên Firewall Cisco ASA.
config dynamic NAT on ASA Cisco 8.2(1)

- Yêu cầu:
  • Cấu hình để internet truy cập được vào web server 10.0.0.1 thông qua IP Outside 100.1.1.1
  • Cấu hình để internet truy cập được vào Mail server 10.0.0.2 thông qua IP Outside 100.1.1.2
- Cấu hình static NAT vùng DMZ trên Cisco ASA với version cũ hơn 8.3
  • Cấu hình static NAT vùng DMZ trên Cisco ASA 8.2
Code:
ciscoasa(config)# static (DMZ , outside) 100.1.1.1 10.0.0.1 netmask 255.255.255.255
ciscoasa(config)# static (DMZ , outside) 100.1.1.2 10.0.0.2 netmask 255.255.255.255
- Cấu hình static NAT vùng DMZ trên Cisco ASA với version mới hơn 8.3
  • Cấu hình static NAT vùng DMZ trên Cisco ASA 8.4
Code:
ciscoasa(config)# object network web_server_static
ciscoasa(config-network-object)# host 10.0.0.1 //IP web server
ciscoasa(config-network-object)# nat (DMZ,outside) static 100.1.1.1

ciscoasa(config)# object network email_server_static
ciscoasa(config-network-object)# host 10.0.0.2             //IP mail server
ciscoasa(config-network-object)# nat (DMZ,outside) static 100.1.1.2
2. Static NAT với 1 Subnet outside trên Cisco ASA
- Yêu cầu:
  • Thực hiện Static NAT vùng DMZ(10.0.0.0/24) ra internet bằng subnet Outside (100.1.1.0/24)
- Cấu hình static NAT vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version cũ hơn 8.3
  • Cấu hình static NAT trên Cisco ASA 8.2
Code:
ciscoasa(config)# static (DMZ,outside) 100.1.1.0 10.0.0.0 netmask 255.255.255.0
- Cấu hình static NAT vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version mới hơn 8.3
  • Cấu hình static NAT trên Cisco ASA 8.4
  • Pool IP outside
Code:
ciscoasa(config)# object network mapped_static_range
ciscoasa(config-network-object)# subnet 100.1.1.0 255.255.255.0

  • Subnet DMZ
Code:
ciscoasa(config)# object network dmz_network
ciscoasa(config-network-object)# subnet 10.0.0.0 255.255.255.0
ciscoasa(config-network-object)# nat (DMZ,outside) static mapped_static_range


3. Static port (port Redirection)
Case này thường được sử dụng ngoài thực tế. Cấu hình NAT Static Port (port redirection) để public website và mail server ra internet thông qua 2 port 80 và 25 trên cùng 1 IP public trên Cisco ASA
config dynamic NAT on ASA Cisco 8.2(1)

- Yêu cầu:

  • Khi Pc ngoài internet truy cập đến Ip outside của ASA với port 80 100.1.1.1:80 thì sẽ vào Web server.
  • Khi Pc ngoài internet truy cập đến Ip outside của ASA với port 25 100.1.1.1:25 thì sẽ vào Mail server.
- Cấu hình static NAT Static(port redirection) vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version cũ hơn 8.3
  • Cấu hình NAT Static (port redirection) trên Cisco ASA 8.2
Code:
ciscoasa(config)# static (DMZ , outside) tcp 100.1.1.1 80 10.0.0.1 80 netmask 255.255.255.255
ciscoasa(config)# static (DMZ , outside) tcp 100.1.1.1 25 10.0.0.2 25 netmask 255.255.255.255

  • Nếu interface outside của bạn sử dụng DHCP
Code:
ciscoasa(config)# static (DMZ , outside) tcp interface 80 10.0.0.1 80 netmask 255.255.255.255
ciscoasa(config)# static (DMZ , outside) tcp interface 25 10.0.0.2 25 netmask 255.255.255.255

- Cấu hình static NAT Static(port redirection) vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version mới hơn 8.3
  • Cấu hình NAT Static (port redirection) trên Cisco ASA 8.4
Code:
ciscoasa(config)# object network web_server_static
ciscoasa(config-network-object)# host 10.0.0.1
ciscoasa(config-network-object)# nat (DMZ , outside) static 100.1.1.1 service tcp 80 80
[INDENT][/INDENT]
ciscoasa(config)# object network email_server_static
ciscoasa(config-network-object)# host 10.0.0.2
ciscoasa(config-network-object)# nat (DMZ , outside) static 100.1.1.1 service tcp 25 25

IV. Config Identity NAT on Cisco ASA


config dynamic NAT on ASA Cisco 8.2(1)

1. Dynamic Identity NAT

- Yêu cầu:
  • DMZ truy cập internet thì không cần NAT, IP dmz 100.1.1.0 sẽ không đổi khi ra internet
- Với version cũ
Code:
ciscoasa(config)# nat (DMZ) 0 100.1.1.0 255.255.255.0
- Với version mới hơn 8.3
Code:
ciscoasa(config)# object network identity_nat_range
ciscoasa(config-network-object)# subnet 100.1.1.0 255.255.255.0
- Subnet IP DMZ
Code:
ciscoasa(config)# object network dmz_network
ciscoasa(config-network-object)# subnet 100.1.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (DMZ , outside) static identity_nat_range
2. Static Identity NAT
- Yêu cầu:
  • DMZ truy cập internet thì không cần NAT, IP dmz 100.1.1.0 sẽ không đổi khi ra internet
- Config Static Identity NAT trên Cisco ASA version cũ. Từ Cisco ASA 8.3 trở về trước.
  • Cấu hình Static Identity NAT trên ASA version ASA 8.2.
Code:
ciscoasa(config)# static (DMZ , outside) 100.1.1.0 100.1.1.0 netmask 255.255.255.0
- Config Static Identity NAT trên Cisco ASA version mới. Từ Cisco ASA 8.3 trở lên.
  • Cấu hình Static Identity NAT trên ASA version ASA 8.4.
Code:
ciscoasa(config)# object network no_nat
ciscoasa(config-network-object)# host 100.1.1.1
ciscoasa(config-network-object)# nat (DMZ , outside) static 100.1.1.1

V. Config NAT exemption on Cisco ASA - NAT 0 on Cisco ASA

-
Với case này thường được sử dụng để cho phép traffic IPSEC VPN không cần NAT khi đi ra bên ngoài. Bởi vì IPSEC không làm việc với NAT, vì vậy chúng ta cần exclude traffic IPSEC khỏi NAT trên Firewall Cisco ASA.
- Chúng ta có thể sử dụng NAT "0" cho mô hình VPN site-to-site.

Config NAT exemption on Cisco ASA

- Yêu cầu:
  • Dùng trong VPN site-to-site.
  • Cấu hình NAT exemption để PC trong ASA1 và ASA2 có thể vừa VPN được vừa ra internet được.
- Config NAT exemption trên Cisco ASA version cũ. Từ Cisco ASA 8.3 trở về trước.
  • Cấu hình NAT exemption trên ASA1 version ASA 8.2.
  • Chúng ta sẽ cấu hình để traffic từ 192.168.1.0 đến 192.168.2.0 thì ko cần phải thực hiện NAT.
Code:
ASA-1(config)# access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA-1(config)# nat (inside) 0 access-list NONAT

  • Tương tự, cấu hình NAT exemption với ASA2 version ASA 8.2.
  • Cấu hình để traffic đi từ 192.168.2.0 đến 192.168.1.0 thì ko cần phải thực hiện NAT
Code:
ASA-2(config)# access-list NONAT extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-2(config)# nat (inside) 0 access-list NONAT
- Config NAT exemption trên Cisco ASA version mới. Từ Cisco ASA 8.3 trở lên
  • Cấu hình NAT exemption trên ASA1 version ASA 8.4.
  • Chúng ta sẽ cấu hình để traffic từ 192.168.1.0 đến 192.168.2.0 thì ko cần phải thực hiện NAT.
Code:
ASA-1(config)# object network obj-local
ASA-1(config-network-object)# subnet 192.168.1.0 255.255.255.0

ASA-1(config)# object network obj-remote
ASA-1(config-network-object)# subnet 192.168.2.0 255.255.255.0

  • với traffic từ obj-local(192.168.1.0/24) đến objremote(192.168.2.0/24) thì ko NAT
Code:
ASA-1(config)# nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote

  • Tương tự với ASA2, cấu hình NAT exemption với ASA2 version ASA 8.4.
  • Cấu hình để traffic đi từ 192.168.2.0 đến 192.168.1.0 thì ko cần phải thực hiện NAT
Code:
ASA-2(config)# object network obj-local
ASA-2(config-network-object)# subnet 192.168.2.0 255.255.255.0

ASA-2(config)# object network obj-remote
ASA-2(config-network-object)# subnet 192.168.1.0 255.255.255.0

ASA-2(config)# nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu