Cú pháp cấu hình dịch NAT tĩnh
NAT tĩnh thường được sử dụng cho kết nối dữ liệu vào: Bạn có một server trên interface mức cao mà muốn một giảm xuống thấp hơn đẻ xử lý, ví dụ như xử lý web dmz, email, và DNS server. Trong phần này ta sẽ đề cập đến vấn đề làm thế nào để tạo một NAT tĩnh
Đây là cú pháp để tạo một NAT tĩnh với câu lệnh sau:
ciscoasa(config)# static (local_if_name,global_if_name) global_IP_addr local_IP_addr
[netmask subnet_mask]
[tcp [max_conns [embryonic_conn_limit]] [udp max_conns [dns] [norandomseq]
Tất cả những lệnh làm việc với thiết bị Cisco, lệnh tĩnh là một trong những lệnh mà cấu hình gần tương tự nhau, vì những yêu cầu chung của tham số: local interface, địa chỉ global, và địa chỉ IP của local
Ví dụ về NAT tĩnh
Để minh họa cho chính sách cấu hình NAT tĩnh. Ta sử dụng mô hình mạng trong hình 3.17 miêu tả chính sáchcấu hình cả NAT tĩnh và động
ciscoasa(config)# static (dmz,outside) 200.200.200.1 192.168.5.2 netmask 255.255.255.255
ciscoasa(config)# static (dmz,outside) 200.200.200.2 192.168.5.3 netmask 255.255.255.255
ciscoasa(config)# static (inside,outside) 200.200.200.3 192.168.4.1 netmask 255.255.255.255
ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0
ciscoasa(config)# global (outside) 1 200.200.200.10-200.200.200.254 netmask 255.255.255.0
ciscoasa(config)# global (dmz) 1 192.168.5.10-192.168.5.254 netmask 255.255.255.0
Hình 3.17 Ví dụ cấu hình NAT tĩnh
Trong ví dụ này, thiết bị có ba giao diện bên trong, bên ngoài, và dmz. Các lệnh tĩnh đầu tiên tạo ra một chính sách dịch NAT tĩnh cho DMZ email server: người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.1, sẽ được dịch sang 192.168.5.2 và chuyển tiếp đến dmz. Lệnh thứ hai tạo ra một chính sách NAT tĩnh cho các máy chủ DMZ web: người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.2 sẽ được dịch sang 192.168.5.3 và chuyển tiếp đến dmz. Lệnh thứ ba tạo ra một chính sách NAT tĩnh cho các máy FTP_server bên trong:người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.3 sẽ được dịch sang 192.168.4.1 và chuyển tiếp đến giao diện bên
trong . Có hai chính sách dịch bổ sung để truy cập ra bên ngoài , là khi chúng ta gửi lưu lượng truy cập từ bên trong ra ngoài, các địa chỉ sẽ được dịch bằng NAT khác nhau từ 200.200.200.10 đến 200.200.200.254. Ngoài ra, khi người sử dụng bên trong truy cập vào phân đoạn mạng DMZ, các địa chỉ sẽ được dịch thành các địa chỉ có dải từ 192.168.5.10 đến 192.168.5.254