Cisco ASA [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4

Discussion in 'Lý Thuyết' started by root, Jul 27, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,179
    Likes Received:
    34
    Trophy Points:
    38

    III. Config Static NAT on Cisco ASA


    1. Config Static NAT with DMZ

    - Case này chúng ta sẽ thực hiện NAT static cho 2 server web và email server ra internet thông qua 2 IP public trên Firewall Cisco ASA.
    config dynamic NAT on ASA Cisco 8.2(1)

    - Yêu cầu:
    • Cấu hình để internet truy cập được vào web server 10.0.0.1 thông qua IP Outside 100.1.1.1
    • Cấu hình để internet truy cập được vào Mail server 10.0.0.2 thông qua IP Outside 100.1.1.2
    - Cấu hình static NAT vùng DMZ trên Cisco ASA với version cũ hơn 8.3
    • Cấu hình static NAT vùng DMZ trên Cisco ASA 8.2
    Code:
    ciscoasa(config)# static (DMZ , outside) 100.1.1.1 10.0.0.1 netmask 255.255.255.255
    ciscoasa(config)# static (DMZ , outside) 100.1.1.2 10.0.0.2 netmask 255.255.255.255
    - Cấu hình static NAT vùng DMZ trên Cisco ASA với version mới hơn 8.3
    • Cấu hình static NAT vùng DMZ trên Cisco ASA 8.4
    Code:
    ciscoasa(config)# object network web_server_static
    ciscoasa(config-network-object)# host 10.0.0.1 //IP web server
    ciscoasa(config-network-object)# nat (DMZ,outside) static 100.1.1.1
    
    ciscoasa(config)# object network email_server_static
    ciscoasa(config-network-object)# host 10.0.0.2             //IP mail server
    ciscoasa(config-network-object)# nat (DMZ,outside) static 100.1.1.2
    2. Static NAT với 1 Subnet outside trên Cisco ASA
    - Yêu cầu:
    • Thực hiện Static NAT vùng DMZ(10.0.0.0/24) ra internet bằng subnet Outside (100.1.1.0/24)
    - Cấu hình static NAT vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version cũ hơn 8.3
    • Cấu hình static NAT trên Cisco ASA 8.2
    Code:
    ciscoasa(config)# static (DMZ,outside) 100.1.1.0 10.0.0.0 netmask 255.255.255.0
    - Cấu hình static NAT vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version mới hơn 8.3
    • Cấu hình static NAT trên Cisco ASA 8.4
    • Pool IP outside
    Code:
    ciscoasa(config)# object network mapped_static_range
    ciscoasa(config-network-object)# subnet 100.1.1.0 255.255.255.0

    • Subnet DMZ
    Code:
    ciscoasa(config)# object network dmz_network
    ciscoasa(config-network-object)# subnet 10.0.0.0 255.255.255.0
    ciscoasa(config-network-object)# nat (DMZ,outside) static mapped_static_range
    


    3. Static port (port Redirection)
    Case này thường được sử dụng ngoài thực tế. Cấu hình NAT Static Port (port redirection) để public website và mail server ra internet thông qua 2 port 80 và 25 trên cùng 1 IP public trên Cisco ASA
    config dynamic NAT on ASA Cisco 8.2(1)

    - Yêu cầu:

    • Khi Pc ngoài internet truy cập đến Ip outside của ASA với port 80 100.1.1.1:80 thì sẽ vào Web server.
    • Khi Pc ngoài internet truy cập đến Ip outside của ASA với port 25 100.1.1.1:25 thì sẽ vào Mail server.
    - Cấu hình static NAT Static(port redirection) vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version cũ hơn 8.3
    • Cấu hình NAT Static (port redirection) trên Cisco ASA 8.2
    Code:
    ciscoasa(config)# static (DMZ , outside) tcp 100.1.1.1 80 10.0.0.1 80 netmask 255.255.255.255
    ciscoasa(config)# static (DMZ , outside) tcp 100.1.1.1 25 10.0.0.2 25 netmask 255.255.255.255

    • Nếu interface outside của bạn sử dụng DHCP
    Code:
    ciscoasa(config)# static (DMZ , outside) tcp interface 80 10.0.0.1 80 netmask 255.255.255.255
    ciscoasa(config)# static (DMZ , outside) tcp interface 25 10.0.0.2 25 netmask 255.255.255.255

    - Cấu hình static NAT Static(port redirection) vùng DMZ ra internet bằng 1 Pool IP public trên Cisco ASA với version mới hơn 8.3
    • Cấu hình NAT Static (port redirection) trên Cisco ASA 8.4
    Code:
    ciscoasa(config)# object network web_server_static
    ciscoasa(config-network-object)# host 10.0.0.1
    ciscoasa(config-network-object)# nat (DMZ , outside) static 100.1.1.1 service tcp 80 80
    [INDENT][/INDENT]
    ciscoasa(config)# object network email_server_static
    ciscoasa(config-network-object)# host 10.0.0.2
    ciscoasa(config-network-object)# nat (DMZ , outside) static 100.1.1.1 service tcp 25 25

    IV. Config Identity NAT on Cisco ASA


    config dynamic NAT on ASA Cisco 8.2(1)

    1. Dynamic Identity NAT

    - Yêu cầu:
    • DMZ truy cập internet thì không cần NAT, IP dmz 100.1.1.0 sẽ không đổi khi ra internet
    - Với version cũ
    Code:
    ciscoasa(config)# nat (DMZ) 0 100.1.1.0 255.255.255.0
    - Với version mới hơn 8.3
    Code:
    ciscoasa(config)# object network identity_nat_range
    ciscoasa(config-network-object)# subnet 100.1.1.0 255.255.255.0
    - Subnet IP DMZ
    Code:
    ciscoasa(config)# object network dmz_network
    ciscoasa(config-network-object)# subnet 100.1.1.0 255.255.255.0
    ciscoasa(config-network-object)# nat (DMZ , outside) static identity_nat_range
    2. Static Identity NAT
    - Yêu cầu:
    • DMZ truy cập internet thì không cần NAT, IP dmz 100.1.1.0 sẽ không đổi khi ra internet
    - Config Static Identity NAT trên Cisco ASA version cũ. Từ Cisco ASA 8.3 trở về trước.
    • Cấu hình Static Identity NAT trên ASA version ASA 8.2.
    Code:
    ciscoasa(config)# static (DMZ , outside) 100.1.1.0 100.1.1.0 netmask 255.255.255.0
    - Config Static Identity NAT trên Cisco ASA version mới. Từ Cisco ASA 8.3 trở lên.
    • Cấu hình Static Identity NAT trên ASA version ASA 8.4.
    Code:
    ciscoasa(config)# object network no_nat
    ciscoasa(config-network-object)# host 100.1.1.1
    ciscoasa(config-network-object)# nat (DMZ , outside) static 100.1.1.1

    V. Config NAT exemption on Cisco ASA - NAT 0 on Cisco ASA

    -
    Với case này thường được sử dụng để cho phép traffic IPSEC VPN không cần NAT khi đi ra bên ngoài. Bởi vì IPSEC không làm việc với NAT, vì vậy chúng ta cần exclude traffic IPSEC khỏi NAT trên Firewall Cisco ASA.
    - Chúng ta có thể sử dụng NAT "0" cho mô hình VPN site-to-site.

    Config NAT exemption on Cisco ASA

    - Yêu cầu:
    • Dùng trong VPN site-to-site.
    • Cấu hình NAT exemption để PC trong ASA1 và ASA2 có thể vừa VPN được vừa ra internet được.
    - Config NAT exemption trên Cisco ASA version cũ. Từ Cisco ASA 8.3 trở về trước.
    • Cấu hình NAT exemption trên ASA1 version ASA 8.2.
    • Chúng ta sẽ cấu hình để traffic từ 192.168.1.0 đến 192.168.2.0 thì ko cần phải thực hiện NAT.
    Code:
    ASA-1(config)# access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
    ASA-1(config)# nat (inside) 0 access-list NONAT

    • Tương tự, cấu hình NAT exemption với ASA2 version ASA 8.2.
    • Cấu hình để traffic đi từ 192.168.2.0 đến 192.168.1.0 thì ko cần phải thực hiện NAT
    Code:
    ASA-2(config)# access-list NONAT extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    ASA-2(config)# nat (inside) 0 access-list NONAT
    - Config NAT exemption trên Cisco ASA version mới. Từ Cisco ASA 8.3 trở lên
    • Cấu hình NAT exemption trên ASA1 version ASA 8.4.
    • Chúng ta sẽ cấu hình để traffic từ 192.168.1.0 đến 192.168.2.0 thì ko cần phải thực hiện NAT.
    Code:
    ASA-1(config)# object network obj-local
    ASA-1(config-network-object)# subnet 192.168.1.0 255.255.255.0
    
    ASA-1(config)# object network obj-remote
    ASA-1(config-network-object)# subnet 192.168.2.0 255.255.255.0

    • với traffic từ obj-local(192.168.1.0/24) đến objremote(192.168.2.0/24) thì ko NAT
    Code:
    ASA-1(config)# nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote

    • Tương tự với ASA2, cấu hình NAT exemption với ASA2 version ASA 8.4.
    • Cấu hình để traffic đi từ 192.168.2.0 đến 192.168.1.0 thì ko cần phải thực hiện NAT
    Code:
    ASA-2(config)# object network obj-local
    ASA-2(config-network-object)# subnet 192.168.2.0 255.255.255.0
    
    ASA-2(config)# object network obj-remote
    ASA-2(config-network-object)# subnet 192.168.1.0 255.255.255.0
    
    ASA-2(config)# nat (inside,outside) 1 source static obj-local obj-local destination static obj-remote obj-remote
     

Share This Page