Hỏi về NAT trên Firewall Cisco (FWSM)

**ogryffgo** · 08-03-2012, 09:12 PM

Em có cái mô hình như bên dưới
- dải 10.0.0.0/24 được NAT overload ra địa chỉ 20.20.20.2.
- Server 10.0.1.2 được NAT static ra địa chỉ 20.20.20.3.

Với mô hình này thì hiện tại em ko thể connect được bằng địa chỉ private của dải 10.0.0.0/24 vào địa chỉ IP bên ngoài của server (20.20.20.3).
Mong các cao thủ giải thích hộ em với. Có thể khắc phục được việc này không ạ?

NAT example.jpg

**hoanggialiem** · 12-03-2012, 02:55 PM

Dãy IP của em trong internal được NAT ra 20.2
Sao em lại truy cập internal bằng 20.3

**ogryffgo** · 12-03-2012, 03:00 PM

Trên Switch Core em thực hiện cấu hình VRF, - Mỗi VRF ứng với một cặp dải IP LAN và Server như trong hình vẽ. - Tuy nhiên tất cả đều được NAT chung ra ngoài qua Firewall. - Trường hợp em vẽ ở trên là để có thể đứng từ trong LAN của một VRF và truy nhập vào IP public của một Server trong VRF khác.

**hoanggialiem** · 12-03-2012, 03:59 PM

Trong trường hợp này em có cấu hình Nat từ vùng inside sang vùng dmz chưa.

**namphuong2310** · 13-03-2012, 11:04 AM

Ai đã Lap thành công bài này up lên cho anh em học hỏi với. Thanks Pro

**luancb** · 13-03-2012, 03:20 PM

Bạn show cái cấu hình NAT lên xem thử nhé

**ogryffgo** · 14-03-2012, 02:28 PM

Đây là cấu hình NAT trên Firewall:

access-list Internet extended permit ip 10.0.0.0 255.255.255.0 any
nat (inside) 1 access-list Internet
global (outside) 1 20.20.20.2

static (inside,outside) 10.0.1.2 20.20.20.3 netmask 255.255.255.255

**cuongcat** · 15-03-2012, 05:21 PM

CMC cho thang nay nghi viec luon thoi, moi case day ko lam duoc.

**lamvantu** · 15-03-2012, 06:29 PM

Originally Posted by ogryffgo

Em có cái mô hình như bên dưới
- dải 10.0.0.0/24 được NAT overload ra địa chỉ 20.20.20.2.
- Server 10.0.1.2 được NAT static ra địa chỉ 20.20.20.3.

Với mô hình này thì hiện tại em ko thể connect được bằng địa chỉ private của dải 10.0.0.0/24 vào địa chỉ IP bên ngoài của server (20.20.20.3).
Mong các cao thủ giải thích hộ em với. Có thể khắc phục được việc này không ạ?

NAT example.jpg

Hi bạn, bạn có thể cho mình biết bạn test bằng cách nào được không ạh?

**lenguyen1988** · 16-03-2012, 12:09 AM

1.Cho việc truy cập ra internet
access-list Internet extended permit ip 10.0.0.0 255.255.255.0 any
nat (inside) 1 access-list Internet
global (outside) 1 20.20.20.2
Đây là cấu hình cho mạng 10.0.0.0 ra được internet (bạn đã làm đúng)

2. Từ internet vào DMZ
static (inside,outside) 10.0.1.2 20.20.20.3 netmask 255.255.255.255
Đây là câu lệnh dùng để NAT 10.0.1.2 sang 20.20.20.3 bạn đã cấu hình sai
Bạn sữa lại như sau :
- (mình giả sử 10.0.1.2 được nối với cổng asa đặt DMZ được gọi là Real-Interface )
- ( Còn 20.20.20.3 là cổng ngoài Outside được gọi là Map-interface)
static (real-interface,Map-interface) map-ip-address real-ip-address netmask .......
=>> static (DMZ,Outside) 20.20.20.3 10.0.1.2 netmask 255.255.255.255
Để cho việc truy cập từ ngoài Internet vào được 10.0.1.2 thì bạn cần cấu hình thêm ACL để cho phép việc truy cấp đó
Giả sử 10.0.1.2được NAT thành 20.20.20.3 là web-server thì mình sẽ tạo ACL như sau cho việc truy cập vào được 10.0.1.2
access-list OUT_DMZ permit tcp any host 20.20.20.3 eq 80 (dung cho http)
access-list OUT_DMZ permit tcp any host 20.20.20.3 eq 8080 (dùng cho https)
Sau đó bạn gán vào cổng Outside:
access-group OUT_DMZ in interface Outside

3. Từ inside vào DMZ từ 10.0.0.0/24 vào 10.0.1.2)
Địa chỉ 20.20.20.3 là địa chỉ NAT cho 10.0.1.2
Trên bản thân ASA thì cho phép vùng bảo mật cao sang vùng bảo mật thấp nên tao không cần NAT cho địa chỉ 10.0.0.0/24
Để làm được điều này thì ta dùng một trường hợp đặc biết của NAT (hay gọi là NAT 0 có nghĩa giữ nguyên địa chỉ khi đi qua ASA)
Bạn cấu hình như sau:
access-list NO_NAT permit ip 10.0.0.0 255.255.255.0 host 10.0.1.2
nat ( inside) 0 access-list NO_NAT

Thread: Hỏi về NAT trên Firewall Cisco (FWSM)

Thread Tools

Display

Hỏi về NAT trên Firewall Cisco (FWSM)

Hoanham ngu vai

Posting Permissions