Cisco ASA [Lab 7.1] configure dynamic nat on cisco asa 8.2

Discussion in 'Lab Firewall ASA' started by root, May 22, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,133
    Likes Received:
    60
    Trophy Points:
    48

    Lab configure dynamic nat on cisco asa 8.2


    I. Mô hình và yêu cầu
    1. Mô hình Lab configure dynamic nat on cisco asa 8.2

    configure dynamic nat on cisco asa 8.2 (1)

    2. yêu cầu Lab configure dynamic nat on cisco asa 8.2

    - cấu hình IP cho thiết bị

    configure dynamic nat on cisco asa 8.2 (2)
    - Cấu hình static route cho R1, R2, R3 và dmz ping được nhau
    - Bật tính năng NAT-control trên ASA
    - Cấu hình NAT sao cho R1, R2 ping được R1 (sử dụng dynamic inside NAT: 209.165.200.135-192.168.200.254/27)
    - Cấu hình NAT sao cho dmz telnet vào R1 chỉ được 2 session
    - Cấu hình NAT sao cho vùng inside ping 8.8.8.8 sẽ được NAT bằng IP: 209.165.200.134, còn ping đến các IP khác thì đi như bình thường

    II. Triển khai Lab configure dynamic nat on cisco asa 8.2


    1. Cấu hình IP và đinh tuyến
    - Trên R1
    Code:
    R1(config)#int f0/0
    R1(config-if)#ip address 209.165.200.225 255.255.255.224
    R1(config-if)#no shutdown
    R1(config-if)#exit
    
    // cấu hình telnet login ko cần password
    R1(config)#line vty 0 4
    R1(config-line)#privilege level 15
    R1(config-line)#no login
    
    // Cấu hình static Route
    R1(config)#ip route 10.0.0.0 255.255.255.0 209.165.200.226
    - Trên R2
    Code:
    R2(config)#int f0/0
    R2(config-if)#ip address 10.0.0.2 255.255.255.0
    R2(config-if)#no shutdown
    R2(config-if)#exit
    
    // Cấu hình static route
    R2(config)#ip route 209.165.200.224 255.255.255.224 10.0.0.254
    - Trên R3: cấu hình tương tự như R2
    Code:
    R3(config)#int f0/0
    R3(config-if)#ip address 10.0.0.3 255.255.255.0
    R3(config-if)#no shutdown
    R3(config-if)#exit
    
    // Cấu hình static route
    R3(config)#ip route 209.165.200.224 255.255.255.224 10.0.0.254
    - Cấu hình Cisco ASA
    Code:
    ciscoasa(config)# int e0/0
    ciscoasa(config-if)# nameif outside
    ciscoasa(config-if)# ip address 209.165.200.226 255.255.255.224
    ciscoasa(config-if)# no shutdown
    
    ciscoasa(config-if)# int e0/1
    ciscoasa(config-if)# nameif dmz
    ciscoasa(config-if)# security-level 50
    ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0
    ciscoasa(config-if)# no shutdown
    
    ciscoasa(config-if)# int e0/2
    ciscoasa(config-if)# nameif inside
    ciscoasa(config-if)# ip address 10.0.0.254 255.255.255.0
    ciscoasa(config-if)# no shutdown
    - Đứng trên ASA thử ping R1 và R2 xem ok chưa.

    configure dynamic nat on cisco asa 8.2 (3)


    - Đứng trên R2 thực hiện kiểm tra bảng định tuyến thì thấy đã có lớp mạng của R1 và ta tiến hành ping R1.

    configure dynamic nat on cisco asa 8.2 (4)

    - Nhưng R2 không ping được R1 mặc dù đã có bảng định tuyến của R1. Nguyên nhân là do ASA đã cấm icmp. Để cho ping các bạn đứng trên ASA gõ lệnh sau.

    Code:
    ciscoasa(config)#fixup protocol icmp
    - Và đứng trên R2 ping lại R1 thì đã thành công.

    configure dynamic nat on cisco asa 8.2 (5)

    - Nhưng các bạn đứng trên R1 ping R2 thì không được mặc dù nó đã có bảng định tuyến của R2.
    - Đơn giản là vì R1 đang trong vùng outside có security level = 0 còn R2 là inside có security level = 100. Trong ASA thì traffic chỉ chảy từ nơi có sercurity level cao xuống level thấp, còn traffic chảy ngược lại thì bị block.

    configure dynamic nat on cisco asa 8.2 (6)
     
    Last edited: Aug 8, 2016
  2. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,133
    Likes Received:
    60
    Trophy Points:
    48

    2. Config NAT-CONTROL on Cisco ASA


    - Khi bật tính năng Nat-control thì mặc định các traffic từ interface này muốn đi qua interface khác trên ASA thì phải thực hiện NAT.
    - Để bật tính năng này các bạn sử dụng lệnh sau.

    Code:
    ciscoasa(config)# nat-control
    - Các bạn đứng trên R2 kiểm tra bằng cách ping đến R1 thì không được mặc dù đã có bảng định tuyến của R1. Đơn giản vì ASA yêu cầu phải thực hiện NAT thì mới đi được.

    configure dynamic nat on cisco asa 8.2 (11)

    3. Dynamic inside NAT
    - Trên ASA thực hiện NAT các IP vùng inside ra outside thì sử dụng dãi IP sau: 209.165.200.235-209.165.200.254/27

    Code:
    ciscoasa(config)#nat (inside) 1 10.0.0.0 255.255.255.0
    ciscoasa(config)#global (outside) 1 209.165.200.235-209.165.200.254 netmask 255.255.255.224
    - Trên R2 và R3: các bạn thực hiện ping R1 thì cho thấy kết quả thành công.
    - Trên ASA: Các bạn có thể kiểm tra bảng NAT bằng lệnh sau.

    Code:
    ciscoasa(config)#show xlate 
    or

    Code:
    ciscoasa(config)#show xlate detail
    - Trên bảng NAT các bạn có thể thấy
    • R2: 10.0.0.2 đi ra ngoài sẽ NAT bằng IP global 209.165.200.235
    • R3: 10.0.0.3 đi ra ngoài sẽ NAT bằng IP global 209.165.200.236
    configure dynamic nat on cisco asa 8.2 (12)

    4. Dynamic Inside PAT on Cisco ASA


    - Trong vùng DMZ các bạn sẽ thực hiện dynamic inside PAT ( NAT port)
    - Và kèm thêm điều kiện là các host trong dmz chỉ được sử dụng tối đa 2 session tcp và tổng số lượng user được sử dụng là 3
    - Trên ASA các bạn thực hiện câu lệnh sau để NAT vùng DMZ ra outside sử dụng các IP global trên interface outside của ASA.

    Code:
    ciscoasa(config)# nat (dmz) 5 192.168.20.0 255.255.255.0 tcp 2 3
    ciscoasa(config)# global (outside) 5 interface
    - Trên Host vùng DMZ các bạn đặt IP: 192.168.20.10/24 và gateway:192.168.20.254
    - Các bạn thực hiện telnet đến R1. Thì kết quả cho thấy các bạn chỉ có thể telnet được 2 session. Session thứ 3 telnet R1 đã bị failure.

    configure dynamic nat on cisco asa 8.2 (13)

    5. Dynamic Inside policy NAT on Cisco ASA


    - Bây giờ các bạn sẽ thực hiện NAT sao cho host trong vùng inside đi ra 8.8.8.8 thì dùng IP global: 209.165.200.134/24
    - Còn các traffi khác thì đi bình thường
    Cấu hình
    - Trên ASA: Các bạn cấu hình default-route và policy NAT

    Code:
    // Default-route trên ASA
    ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.226
    
    // ACL khi inside đi 8.8.8.8 thì sẽ được NAT bằng IP 209.165.200.134
    access-list google line 1 extended permit ip 10.0.0.0 255.255.255.0 host 8.8.8.8
    
    ciscoasa(config)#nat (inside) 8 access-list google
    ciscoasa(config)#global (outside) 8 209.165.200.134 netmask 255.255.255.255
    - Trên R1, R2 các bạn cần có thêm default-route để đi internet
    Code:
    R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.254
    
    R2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.254
    - Để kiểm tra các bạn đứng trên R2 ping 8.8.8.8 và ping 8.8.4.4
    - Sau đó các bạn lên ASA và kiểm tra bảng NAT thì thấy
    • Traffic từ R2 đi đến 8.8.8.8 sẽ được NAT bằng IP 209.165.200.134
    • traffic từ R2 đi đến 8.8.4.4 sẽ được NAT bằng IP 209.165.200.241. Như vậy là các traffic mà ko đi đến 8.8.8.8 sẽ được NAT như bình thường ở phần 3: Dynamic Inside NAT
    configure dynamic nat on cisco asa 8.2 (14)
     
    Last edited: Aug 8, 2016

Share This Page