CẤU HÌNH PAT

Trong những tình huống thực tế, một doanh nghiệp chỉ nhận được một số giới hạn một số địa chỉ công cộng từ ISP , trong khi số lượng địa chỉ tin nội bộ là lớn hơn nhiều.Điều này có nghĩa rằng nếu chúng ta sử dụng động NAT trong một tình huống như vậy,pool địa chỉ công cộng bên ngoài sẽ bị cạn kiệt rất nhanh khi có nhiều máy chủ nội bộ truy cập Internet cùng một lúc.

Để khắc phục vấn đề này, chúng ta có thể sử dụng một “many-to-one” dịch địa chỉ, gọi cũng Port Address Translation (PAT).Sử dụng PAT, nhiều kết nối từ máy chủ nội bộ khác nhau có thể được ghép trên một địa chỉ (công cộng) chỉ duy nhất một địa chỉ IP sử dụng số cổng nguồn khác nhau.

VD: khi host bên trong một mạng lan có địa chỉ là 192.168.1.1 kết nối với một máy chủ bên ngoài Internet, tường lửa sẽ dịch địa chỉ nguồn và cổng vào một địa IP công cộng là 203.205.57.58 với cổng nguồn 1023.Tương tự như vậy, người dẫn chương 192.168.1.2 sẽ được dịch một lần nữa với 203.205.57.58 nhưng với một cổng nguồn khác (1024). Một địa chỉ duy nhất PAT có thể hỗ trợ khoảng 64.000 host.

Khi ASA nhận IP DHCP kết nối với ISP cấu hình sẽ như sau:

ciscoasa(config)# hostname ASA

ASA(config)# interface gigabitEthernet 0/0

ASA(config-if)# nameif outside

ASA(config-if)# security-level 0

ASA(config-if)# ip address dhcp setrout

ASA(config-if)# no shutdown

!

ASA(config)# interface gigabitEthernet 0/1

ASA(config-if)# nameif intside

ASA(config-if)# security-level 100

ASA(config-if)# ip address 192.168.1.1 255.255.255.0

ASA(config-if)# no shutdown

!

ASA(config)# object network LAN

ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0

ASA(config-network-object)# nat (intside,outside) dynamic interface

Trong trường hợp khi doanh nghiệp thuê IP tĩnh từ ISP ở đây giả sử IP là 203.205.57.58 cấu hình sẽ như sau:

ASA(config)# object network LAN

ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0

ASA(config-network-object)# nat (intside,outside) dynamic 203.205.57.58