Cisco ASA [Lab 7.3] Configure NAT exemption and Identity NAT ASA 8.2

[root]

Lab Configure NAT exemption and Identity NAT ASA 8.2

I. Mô hình và yêu cầu
1. Mô hình Lab Configure NAT exemption and Identity NAT ASA 8.2

​

2. Chuẩn bị và yêu cầu
- Thiêt lập thiết bị như sơ đồ
- Đặt IP như sau

​

- Cấu hình Dynamic Identity NAT để PC trong inside đi qua Firewall thì không cần NAT
- Cấu hình PC trong inside ra DMZ không cần NAT và ra internet (outside) phải NAT. (Static Identity NAT + PAT)
- Sau khi bạn cấu hình ra được internet (ping 8.8.8.8 thành công) thì bạn cấu hình sao cho các PC vùng inside muốn truy cập google thì phải truy cập IP: 100.100.100.100 thay vì 8.8.8.8 như trước.
- Tương tự câu trên các bạn cấu hình sao cho PC vung truy cập DMZ (web server) bằng IP: 200.200.200.200 thay vì IP 10.2.2.253 như trước

II. Triển khai Lab Configure NAT exemption and Identity NAT ASA 8.2

1. Cấu hình cơ bản cho ASA

ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 172.16.1.1 255.255.255.252
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int e0/2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.2.2.254 255.255.255.0
ciscoasa(config-if)# no shutdown

- Bật tính năng nat-control, trỏ default route và inspection protocol ICMP cho ASA.

ciscoasa(config-if)# fixup protocol icmp
ciscoasa(config)# nat-control
ciscoasa(config)# route outside 0 0 172.16.1.254

- Trên ASA ping ra internet thành công

ciscoasa(config)# ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/30/80 ms​

2. Cấu hình Dynamic Identity NAT
- Cấu hình Dynamic Identity NAT để cho PC vùng inside đi qua Firewall không cần NAT.

ciscoasa(config)# nat (inside) 0 192.168.20.0 255.255.255.0

- Trên PC thử ping ra net và ping DMZ thì thấy PC ping tới DMZ thì thành công, nhưng ping tới internet thì thất bại, vì để đi ra internet PC cần NAT IP của nó thành outside thì mới ra được internet.

​

- Trên ASA "show xlate detail" thì thấy PC đi ra outside và DMZ đều dùng 1 IP của chính nó

ciscoasa(config)# sh xlate detail

2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:192.168.20.20 to dmz:192.168.20.20 flags iI
NAT from inside:192.168.20.20 to outside:192.168.20.20 flags iI​

3. Static Identity NAT + PAT
- Tư phần 1 các bạn có thể thấy nhược điểm của Dynamic Identity NAT. Bây giờ mình sẽ giải quyết vấn đê này bằng cách sử dụng Static Identity NAT + PAT để

• Static Identity NAT: cho vùng inside qua DMZ không cần dùng NAT
• PAT: để inside ra internet

ciscoasa(config)# no nat (inside) 0 192.168.20.0 255.255.255.0

ciscoasa(config)# static (inside,dmz) 192.168.20.20 192.168.20.20 netmask 255.255.255.255
ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

- Trên PC các bạn ra internet và DMZ thành công.

​

- Show xlate trên ASA các bạn có thể thấy PC qua DMZ thì không NAT nhưng đi interbet thì dùng PAT

ciscoasa(config)# sh xlate detail

2 in use, 3 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:192.168.20.20 to dmz:192.168.20.20 flags s
ICMP PAT from inside:192.168.20.20/512 to outside:172.16.1.1/2 flags ri​

4. NAT outside on Cisco ASA

- Thực hiện NAT outside để dấu IP google

ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

ciscoasa(config)# static (outside,inside) 100.100.100.100 8.8.8.8 netmask 255.255.255.255

- Bây giờ PC truy cập google 8.8.8.8 sẽ thất bại, nhưng truy cập google bằng IP 100.100.100.100 thì thành công.

​

- Thực hiện "show xlate" trên ASA

ciscoasa(config)# sh xlate detail

3 in use, 3 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:192.168.20.20 to dmz:192.168.20.20 flags s
NAT from outside:8.8.8.8 to inside:100.100.100.100 flags s
ICMP PAT from inside:192.168.20.20/512 to outside:172.16.1.1/4 flags ri​

5. Nat outside cho vùn DMZ
- Bây giờ người quản trị muốn bảo mật web server của họ thì họ sẽ thực hiện dấu Real IP của website. Lúc này user truy cập Web server sẽ phải dùng 1 IP khác

ciscoasa(config)# static (inside,dmz) 192.168.20.20 192.168.20.20 netmask 255.255.255.255

// áp dùng NAT outside
ciscoasa(config)# static (dmz,inside) 200.200.200.200 10.2.2.253 netmask 255.255.255.255

- Trên PC kiểm tra bằng cách ping IP và truy cập web Ip thật các bạn sẽ thấy rõ.

​

- Trên ASA các bạn thực hiện "show xlate" để xem chi tiết

ciscoasa(config)# sh xlate detail

5 in use, 6 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:192.168.20.20 to dmz:192.168.20.20 flags s
NAT from outside:8.8.8.8 to inside:100.100.100.100 flags s
NAT from dmz:10.2.2.253 to inside:200.200.200.200 flags s
UDP PAT from inside:192.168.20.20/1031 to outside:172.16.1.1/1029 flags ri
UDP PAT from inside:192.168.20.20/1025 to outside:172.16.1.1/1028 flags ri​

6. Khác nhau trong bảng NAT giữa Static và Dynamic Identity NAT:
- Các bạn thực hiện "clear xlate" và "show xlate" trên ASA các bạn sẽ thấy sự khác biệt giữa Static Identity NAT và Dynamic Identity NAT rõ ràng là: Static Identity luôn có trong bảng NAT cho dù bạn có clear nó. Nhưng đối với Dynamic Identity thì không có. Nó chỉ hiện trong bảng NAT khi bạn thiết lập connection.

ciscoasa(config)# clear xlate

ciscoasa(config)# sh xlate

3 in use, 6 most used
Global 192.168.20.20 Local 192.168.20.20
Global 100.100.100.100 Local 8.8.8.8
Global 200.200.200.200 Local 10.2.2.253
​