NAT 0
Trong trường hợp doanh nghiệp thuê dải ip công cộng cho cụm máy chủ Web gán trực tiếp trên card mạng của server mà không cần phải dịch địa chỉ cấu hình này được gọi là NAT trong suốt hay NAT 0
ciscoasa(config)# hostname ASA
ASA(config)# interface gigabitEthernet 0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 203.205.57.58 255.255.255.252
!
ASA(config)# interface gigabitEthernet 0/1
ASA(config-if)# nameif DMZ
ASA(config-if)# security-level 50
ASA(config-if)# ip address 200.1.1.1 255.255.255.0
!
ASA(config)# interface gigabitEthernet 0/2
ASA(config-if)# nameif intside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
!
ASA(config)# route outside 0.0.0.0 0.0.0.0 203.205.57.57
!
ASA(config)# object network NAT_0
ASA(config-network-object)# subnet 200.1.1.0
255.255.255.0
!
ASA(config)# object network DMZ_NET
ASA(config-network-object)# subnet 200.1.1.0
255.255.255.0
ASA(config-network-object)# nat (DMZ,outside) static NAT_0
NAT DMZ
Mạng doanh nghiệp đa phần thường có hệ thống máy chủ thường được đặt tại vùng DMZ vị trí mà các Web Server và các Mail Server thường nằm có thể truy cập được từ Internet
Hai máy chủ với IP là 10.10.10.2 và 10.10.10.3 được dịch sang các địa chỉ IP công cộng tương ứng là 200.1.1.10 và 200.1.1.11
Cấu hình trên ASA như sau:
ASA(config)# interface
gigabitEthernet 0/0
ASA(config-if)# nameif
outside
ASA(config-if)#
security-level 0
ASA(config-if)# ip address
192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# interface
gigabitEthernet 0/1
ASA(config-if)# nameif DMZ
ASA(config-if)#
security-level 50
ASA(config-if)# ip address
10.10.10.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# interface
gigabitEthernet 0/2
ASA(config-if)# nameif
intside
ASA(config-if)#
security-level 100
ASA(config-if)# ip address
192.168.3.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# route outside
0.0.0.0 0.0.0.0 192.168.1.2
!
ASA(config)# object network WEB_SERVER
ASA(config-network-object)#
host 10.10.10.2
ASA(config-network-object)#
nat (DMZ,outside) static 200.1.1.10
ASA(config)# object network EMAIL_SERVER
ASA(config-network-object)#
host 10.10.10.3
ASA(config-network-object)# nat (DMZ,outside) static 200.1.1.11
CẤU HÌNH PAT
Trong những tình huống thực tế, một doanh nghiệp chỉ nhận được một số giới hạn
một số địa chỉ công cộng từ ISP , trong khi số lượng địa chỉ tin nội bộ là lớn
hơn nhiều.Điều này có nghĩa rằng nếu chúng ta
sử dụng động NAT trong một tình huống như vậy,pool địa chỉ công cộng bên ngoài sẽ bị cạn kiệt rất nhanh khi có nhiều máy chủ nội bộ
truy cập Internet cùng một lúc.
Để khắc phục vấn đề này,
chúng ta có thể sử dụng một “many-to-one” dịch địa chỉ, gọi cũng Port Address Translation (PAT).Sử dụng PAT, nhiều kết
nối từ máy chủ nội bộ khác nhau có thể được ghép trên một địa
chỉ (công cộng) chỉ duy nhất một địa chỉ IP sử dụng số cổng nguồn khác nhau.
VD: khi host bên trong một mạng lan có địa chỉ là 192.168.1.1 kết nối với một máy chủ bên ngoài Internet, tường lửa sẽ dịch địa chỉ nguồn và cổng vào một địa IP công cộng là 203.205.57.58 với cổng nguồn 1023.Tương tự như vậy, người dẫn chương 192.168.1.2 sẽ được dịch một lần nữa với 203.205.57.58 nhưng với một cổng nguồn khác (1024). Một địa chỉ duy nhất PAT có thể hỗ trợ khoảng 64.000 host.
Khi ASA nhận IP DHCP kết nối với ISP cấu hình sẽ như sau:
ciscoasa(config)# hostname ASA
ASA(config)# interface gigabitEthernet 0/0
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address dhcp setrout
ASA(config-if)# no shutdown
!
ASA(config)# interface gigabitEthernet 0/1
ASA(config-if)# nameif intside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
!
ASA(config)# object network LAN
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)# nat (intside,outside) dynamic interface
Trong trường hợp khi doanh nghiệp thuê IP tĩnh từ ISP ở đây giả sử IP là 203.205.57.58 cấu hình sẽ như sau:
ASA(config)# object network LAN
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)# nat (intside,outside) dynamic 203.205.57.58
CẤU HÌNH CƠ BẢN TRÊN ASA
Cisco ASA 5500-X Series Firewalls
Bước 1: cấu hình các tham số tên và cấu hình quản lý truy cập SSH
ASA(config)# hostname ASA
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)# ssh 192.168.1.5 255.255.255.255 inside “Chỉ cho phép host có địa chỉ 192.168.1.5 bên trong truy cập ASA”
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# username asa password Cisco123 privilege 15
ASA(config)# enable password Cisco123!
Bước 2: Cấu hình Outside WAN
Interface
ASA(config)# interface
gigabitEthernet 0/0
ASA(config-if)# description
connect to Internet
ASA(config-if)# nameif
outside
ASA(config-if)#
security-level 0
ASA(config-if)# ip address
192.168.2.1 255.255.255.0
ASA(config-if)# no shutdown
Bước 3: Cấu hình Inside Lan
Interface
ASA(config)# interface
gigabitEthernet 0/1
ASA(config-if)# description
connect to LAN
ASA(config-if)# nameif
outside
ASA(config-if)#
security-level 100
ASA(config-if)# ip address
192.168.1.1 255.255.255.0
ASA(config-if)# no shutdown
Bước 4: cấu hình PAT với giao
diện Outside
ASA(config)# nat
(inside,outside) source dynamic any interface
Bước 5: Cấu hình default route
tới ISP
ASA(config)# route outside
0.0.0.0 0.0.0.0 192.168.2.2
Bước 6: trong trường hợp sử dụng
ASA làm máy chủ DHCP cấp cho User LAN
ASA(config)# dhcpd address
192.168.1.10-192.168.1.100 inside
ASA(config)# dhcpd dns
8.8.8.8 8.8.4.4
ASA(config)# dhcpd enable
inside
Bước 7: Cấu hình ACL trên giao diện outside
do mặc định ASA từ chối ICMP cho nên ta tạo ACL để cho phép trả lời gói ICMP trở lại và ghi nhật ký các gói bị từ chối vào tường lửa nhằm phục vụ cho mục đích an ninh
ASA(config)# access-list
outside-intside extended permit icmp any any echo- reply
ASA(config)# access-list
outside-intside extended deny ip any any log
ASA(config)# access-group outside-intside in interface outside
CẤU HÌNH PPPOE TRÊN CISCO ASA
Để cấu hình username và password được sử dụng để xác thực ASA với bộ tập trung truy cập, hãy sử dụng lệnh vpdn. Để sử dụng lệnh vpdn, trước tiên cần xác định một nhóm VPDN và sau đó tạo từng user trong nhóm.
Cần lấy username FTTH và password FTTH được cung cấp từ nhà mạng của bạn
Bước 1 Xác định nhóm VPDN sẽ được sử dụng cho PPPoE bằng lệnh sau:
ASA (config)# vpdn group group_name request dialout pppoe
Bước 2 Nếu ISP yêu cầu xác thực, hãy chọn giao thức xác thực bằng cách nhập lệnh sau:
ASA(config)# vpdn group group_name ppp authentication {chap | mschap | pap}
Bước 3 Liên kết tên người dùng được chỉ định bởi ISP với nhóm VPDN bằng cách nhập lệnh sau:
ASA(config)# vpdn group group_name localname username
Thay thế group_name với tên nhóm và tên người dùng VPDN bằng tên người dùng được chỉ định bởi ISP.
Bước 4 Tạo cặp tên người dùng và mật khẩu cho kết nối PPPoE bằng cách nhập lệnh sau:
ASA(config)# vpdn username username password password store-local
Enabling PPPoE
Bước 1 Kích hoạt ứng dụng khách PPPoE bằng cách nhập lệnh sau từ chế độ cấu hình giao diện:
ASA(config)# interface gigabitethernet 0/0
ASA(config-if)# ip address pppoe setroute
Bước 2 Chỉ định nhóm VPDN cho máy khách PPPoE sử dụng với lệnh sau từ chế độ cấu hình giao diện
ASA(config-if)# pppoe client vpdn group groupname