🔥 Lab Hướng Dẫn: Cấu Hình NAT trên Cisco Secure Firewall Threat Defense (FTD)

🎯 Mục tiêu


Trong lab này bạn sẽ thực hành cấu hình Network Address Translation (NAT) trên Cisco Secure Firewall Threat Defense (FTD) được quản lý bởi Secure Firewall Management Center (FMC).

Các tác vụ chính:

• Xác minh cấu hình mạng cơ bản (interfaces, routing).
• Tạo network/port objects để dùng cho NAT.
• Cấu hình và kiểm chứng:
  • Dynamic PAT cho mạng Inside.
  • Static NAT cho DMZ Server.
  • Static PAT (Port Forwarding) cho dịch vụ SSH.
• Sử dụng Packet Tracer + CLI để khắc phục sự cố NAT.

Lab này áp dụng cho phiên bản FTD/FMC 7.2+ và mô phỏng môi trường doanh nghiệp thực tế.

---

🛠️ Yêu cầu

• Thiết bị:
  • FTD-1 (v7.2+)
  • FMC (v7.2+)
• Jump Host PC: Firefox, PuTTY.
• Tài khoản:
  • Jump Host → student / 1234QWer
  • FTD-1 / FMC → admin / Cisco#1234
• Mạng:
  • Inside → 192.168.133.0/24
  • DMZ → 192.168.10.0/24
  • Outside → kết nối internet qua Rtr-Outside 192.0.2.2
• Zones: zone_inside, zone_dmz, zone_outside.

---

🔎 Phần 1: Xác minh cài đặt mạng

1. Đăng nhập Jump Host → mở Firefox → truy cập FMC https://192.168.111.20.
2. Vào Devices > Device Management → chọn FTD-1.
3. Kiểm tra:
   • Device mode: Routed.
   • Interfaces: Inside / DMZ / Outside.
   • Routing: default route → 192.0.2.2 (ISP Router).
4. SSH vào FTD-1 (192.168.111.10). Kiểm tra:
   • show interface ip brief → IP đúng.
   • show route → có default route.
   • show firewall → chế độ Routed.
   • Dùng system support diagnostic-cli → chạy lệnh ASA CLI như show route.

---

🧩 Phần 2: Tạo Network & Port Objects


Trong FMC: Objects > Object Management

• DMZ_SERVER → Host 192.168.10.90
• TRANSLATED_DMZ_SERVER → Host 192.0.2.3
• GENERAL_NETWORK → Network 192.168.133.0/24
• Port Object: TRANSLATED_SSH → TCP/2222

---

🌐 Phần 3: Dynamic PAT cho Inside

1. Devices > NAT → tạo NAT Policy: Internet Edge NAT Policy.
2. Thêm Rule:
   • Auto NAT – Dynamic
   • Original Source: GENERAL_NETWORK
   • Translated Source: Interface IP (Outside)
   • Interface Objects: Source zone_inside, Destination zone_outside.
3. Deploy policy.
4. Kiểm tra:
   • show running-config nat → NAT rule tồn tại.
   • show xlate → dịch PAT từ IP Inside sang IP Outside.
5. Truy cập internet từ Jump Host. Nếu bị block → vào ACP, chỉnh Default Action → Intrusion Prevention (Balanced), rồi Deploy lại.

---

🖥️ Phần 4: Static NAT cho DMZ Server

1. Devices > NAT → Add Rule:
   • Auto NAT – Static
   • Original Source: DMZ_SERVER
   • Translated Source: TRANSLATED_DMZ_SERVER
   • Interfaces: Source zone_dmz → Destination zone_outside.
2. Deploy.
3. Kiểm chứng:
   • Từ DMZ Server → truy cập internet (dịch thành IP công cộng 192.0.2.3).
   • Từ Branch-PC → truy cập 192.0.2.3.
   • CLI FTD: show xlate → dịch Static NAT (flag s).

---

🔐 Phần 5: Static PAT (Port Forwarding) cho SSH

1. Devices > NAT → Add Rule:
   • Manual NAT – Static
   • Original Source: DMZ_SERVER, Port SSH (22)
   • Translated Source: TRANSLATED_DMZ_SERVER, Port TRANSLATED_SSH (2222)
   • Interfaces: zone_dmz → zone_outside.
2. Deploy.
3. Kiểm chứng:
   • Từ Branch-PC → SSH 192.0.2.3:2222 → login thành công.
   • CLI: show xlate → có NAT mapping 192.168.10.90:22 → 192.0.2.3:2222.

---

🧰 Khắc phục sự cố

• Không kết nối được → chạy Packet Tracer để phân tích flow.
• NAT không hoạt động → kiểm tra thứ tự rule NAT (Manual > Auto).
• Deploy lỗi → kiểm tra kết nối FMC ↔ FTD.

---

✅ Kết luận


Trong lab này, bạn đã:

• Kiểm tra cấu hình cơ bản trên FTD.
• Tạo đối tượng mạng/cổng trong FMC.
• Thực hiện Dynamic PAT, Static NAT, Static PAT.
• Sử dụng CLI (show nat, show xlate) và Packet Tracer để xác minh.

👉 Đây là quy trình chuẩn mà các doanh nghiệp áp dụng khi triển khai NAT trên Cisco Secure Firewall Threat Defense, giúp đảm bảo kết nối outbound, inbound, và dịch vụ port forwarding an toàn.
​