0
Tải bản đầy đủ (.doc) (130 trang)

Cấu hình NAT tĩnh

Một phần của tài liệu TÌM HIỂU FIREWALL TRÊN CÔNG NGHỆ CISCO VÀ DEMO MỘT SỐ ỨNG DỤNG THỰC TIỄN (Trang 66 -68 )

Cú pháp cấu hình dịch NAT tĩnh

NAT tĩnh thường được sử dụng cho kết nối dữ liệu vào: Bạn có một server trên interface mức cao mà muốn một giảm xuống thấp hơn đẻ xử lý, ví dụ như xử lý web dmz, email, và DNS server. Trong phần này ta sẽ đề cập đến vấn đề làm thế nào để tạo một NAT tĩnh

Đây là cú pháp để tạo một NAT tĩnh với câu lệnh sau:

ciscoasa(config)# static (local_if_name,global_if_name) global_IP_addr local_IP_addr

[netmask subnet_mask]

[tcp [max_conns [embryonic_conn_limit]] [udp max_conns [dns] [norandomseq]

Tất cả những lệnh làm việc với thiết bị Cisco, lệnh tĩnh là một trong những lệnh mà cấu hình gần tương tự nhau, vì những yêu cầu chung của tham số: local interface, địa chỉ global, và địa chỉ IP của local

Ví dụ về NAT tĩnh

Để minh họa cho chính sách cấu hình NAT tĩnh. Ta sử dụng mô hình mạng trong hình 3.17 miêu tả chính sáchcấu hình cả NAT tĩnh và động

ciscoasa(config)# static (dmz,outside) 200.200.200.1 192.168.5.2 netmask 255.255.255.255

ciscoasa(config)# static (dmz,outside) 200.200.200.2 192.168.5.3 netmask 255.255.255.255

ciscoasa(config)# static (inside,outside) 200.200.200.3 192.168.4.1 netmask 255.255.255.255

ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0

ciscoasa(config)# global (outside) 1 200.200.200.10-200.200.200.254 netmask 255.255.255.0

ciscoasa(config)# global (dmz) 1 192.168.5.10-192.168.5.254 netmask 255.255.255.0

Hình 3.17 Ví dụ cấu hình NAT tĩnh

Trong ví dụ này, thiết bị có ba giao diện bên trong, bên ngoài, và dmz. Các lệnh tĩnh đầu tiên tạo ra một chính sách dịch NAT tĩnh cho DMZ email server: người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.1, sẽ được dịch sang 192.168.5.2 và chuyển tiếp đến dmz. Lệnh thứ hai tạo ra một chính sách NAT tĩnh cho các máy chủ DMZ web: người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.2 sẽ được dịch sang 192.168.5.3 và chuyển tiếp đến dmz. Lệnh thứ ba tạo ra một chính sách NAT tĩnh cho các máy FTP_server bên trong:người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.3 sẽ được dịch sang 192.168.4.1 và chuyển tiếp đến giao diện bên trong

. Có hai chính sách dịch bổ sung để truy cập ra bên ngoài , là khi chúng ta gửi lưu lượng truy cập từ bên trong ra ngoài, các địa chỉ sẽ được dịch bằng NAT khác nhau từ

200.200.200.10 đến 200.200.200.254. Ngoài ra, khi người sử dụng bên trong truy cập vào phân đoạn mạng DMZ, các địa chỉ sẽ được dịch thành các địa chỉ có dải từ 192.168.5.10 đến 192.168.5.254

Một phần của tài liệu TÌM HIỂU FIREWALL TRÊN CÔNG NGHỆ CISCO VÀ DEMO MỘT SỐ ỨNG DỤNG THỰC TIỄN (Trang 66 -68 )

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×