Tweet
Hướng dẫn Lab: Cấu hình NAT trên Cisco Secure Firewall Threat Defense
Mục tiêu
Bài lab này hướng dẫn cách cấu hình và xác minh Network Address Translation (NAT) trên thiết bị Cisco Secure Firewall Threat Defense (FTD) sử dụng Secure Firewall Management Center (FMC). Bạn sẽ thực hiện các tác vụ sau:
Bài lab này được thiết kế để hoạt động trong môi trường thực tế với các thiết bị Cisco Secure Firewall Threat Defense phiên bản 7.2 trở lên, sử dụng FMC để quản lý. Các bước được tối ưu hóa để đảm bảo khả năng áp dụng gần 100% trong các môi trường doanh nghiệp hoặc phòng thí nghiệm. Yêu cầu
Mục tiêu
Xác minh các cài đặt mạng cơ bản trên thiết bị FTD-1, bao gồm giao diện và định tuyến, để đảm bảo rằng chúng đã được cấu hình sẵn đúng cách. Các bước thực hiện
Bước 1
Truy cập vào Jump Host. Đăng nhập với thông tin:
Bước 2
Mở trình duyệt Firefox trên Jump Host và kết nối với Secure Firewall Management Center tại https://192.168.111.20.
Bước 3
Trong FMC, điều hướng đến Devices > Device Management.
Bước 4
Nhấp vào tab Device. Xác minh rằng thiết bị đang chạy ở chế độ Routed (định tuyến).
Bước 5
Nhấp vào tab Interfaces. Xác minh rằng có ba giao diện đã được cấu hình:
Lưu ý: Cisco Secure Firewall Threat Defense sử dụng khái niệm vùng bảo mật (security zones) để quản lý lưu lượng. Mỗi giao diện chỉ có thể thuộc một vùng. Trong lab này, các vùng bảo mật đã được cấu hình sẵn: zone_inside, zone_dmz, và zone_outside. Bạn có thể kiểm tra các vùng này trong Objects > Object Management > Interface.
Bước 6
Trên trang Devices > Device Management, nhấp vào tab Routing.
Bước 7
Mở PuTTY trên Jump Host và kết nối với thiết bị FTD-1 qua SSH tại 192.168.111.10.
Bước 8
Trong CLI của FTD-1, chạy lệnh:
show interface ip brief
Xác minh rằng ba giao diện (Inside, DMZ, Outside) đã được cấu hình với địa chỉ IP chính xác.
Bước 9
Chạy lệnh:
show route
Xác minh rằng bảng định tuyến hiển thị tuyến tĩnh mặc định trỏ đến 192.0.2.2 qua giao diện outside.
Bước 10
Chạy lệnh:
show firewall
Xác minh rằng thiết bị đang chạy ở chế độ Routed.
Bước 11
Để kiểm tra các cài đặt trong CLI ASA (LINA), chạy:
system support diagnostic-cli
Lưu ý: CLI ASA hữu ích cho các lệnh gỡ lỗi, vì đầu ra chỉ hiển thị trong CLI ASA.
Bước 12
Thoát khỏi CLI ASA:
Mục tiêu
Tạo các đối tượng mạng và cổng để sử dụng trong cấu hình NAT. Các đối tượng là thành phần cốt lõi của FTD, giúp đơn giản hóa việc quản lý chính sách. Các bước thực hiện
Bước 13
Quay lại giao diện GUI của FMC trên Jump Host.
Bước 14
Điều hướng đến Objects > Object Management. Chọn Network từ menu bên trái.
Bước 15
Nhấp Add Network > Add Object để tạo một đối tượng mới.
Bước 16
Tạo đối tượng cho DMZ Server:
Bước 17
Tạo các đối tượng bổ sung:
Bước 18
Trong Object Management, chọn Port từ menu bên trái. Nhấp Add Port > Add Object.
Bước 19
Tạo đối tượng cổng cho dịch vụ SSH:
Mục tiêu
Kích hoạt kết nối đi ra (outbound) cho các máy chủ trong mạng bên trong bằng Dynamic PAT, dịch địa chỉ IP nguồn sang địa chỉ IP của giao diện ngoài. Các bước thực hiện
Bước 20
Trong FMC, điều hướng đến Devices > NAT. Xác minh rằng không có chính sách NAT nào tồn tại theo mặc định.
Bước 21
Nhấp vào liên kết Threat Defense NAT Policy hoặc New Policy > Threat Defense NAT để tạo chính sách NAT mới.
Bước 22
Tạo chính sách NAT:
Bước 23
Trong chính sách, nhấp Add Rule để tạo quy tắc NAT.
Bước 24
Cấu hình quy tắc Dynamic PAT:
Lưu ý: Khi Translated source là giao diện đích hoặc một địa chỉ IP duy nhất, FTD tự động thực hiện PAT. Nếu bạn cần PAT với nhiều địa chỉ IP, cấu hình trong tab PAT Pool.
Bước 25
Trong cửa sổ Add NAT Rule, nhấp vào tab Interface Objects:
Bước 26
Nhấp Save để lưu chính sách.
Bước 27
Triển khai cấu hình:
Bước 28
Chọn hộp kiểm FTD-1 và nhấp Deploy. Xác nhận nếu cần.
Bước 29
Theo dõi tiến trình triển khai bằng biểu tượng trạng thái tác vụ (vòng tròn xanh với dấu kiểm). Đợi triển khai hoàn tất (khoảng 1 phút).
Bước 30
Trên Jump Host, mở PuTTY và kết nối SSH với FTD-1 tại 192.168.111.10. Đăng nhập với admin / Cisco#1234.
Bước 31
Chạy lệnh:
show running-config nat
Xác minh rằng quy tắc NAT là thuộc tính của đối tượng mạng (GENERAL_NETWORK).
Bước 32
Chạy lệnh:
show running-config object id GENERAL_NETWORK
Xác minh địa chỉ IP của đối tượng: 192.168.133.0/24.
Bước 33
Trên Jump Host, mở trình duyệt và điều hướng đến https://www.cisco.com để kiểm tra kết nối đi ra.
Bước 34
Trong FMC, điều hướng đến Devices > Troubleshoot > Packet Tracer.
Bước 35
Quan sát các trường cấu hình trong cửa sổ Packet Tracer.
Bước 36
Cấu hình Packet Tracer:
Bước 37
Xem kết quả Packet Tracer. Lưu lượng bị drop do Default Action trong ACP chặn tất cả lưu lượng.
Bước 38
Điều hướng đến Policies > Access Control > Access Control. Nhấp vào biểu tượng bút chì bên cạnh FTD-Initial-Policy ACP.
Bước 39
Xác minh rằng không có quy tắc ACP nào tồn tại. Thay đổi Default Action thành Intrusion Prevention: Balanced Security and Connectivity để cho phép lưu lượng và gửi đến IPS.
Bước 40
Nhấp Save để lưu ACP.
Bước 41
Triển khai thay đổi:
Bước 42
Nhấp Proceed nếu thấy cảnh báo Errors and Warnings. Đợi triển khai hoàn tất.
Bước 43
Trên Jump Host, mở trình duyệt và điều hướng lại đến https://www.cisco.com. Kết nối sẽ thành công.
Bước 44
Quay lại phiên SSH của FTD-1.
Bước 45
Chạy lệnh:
show nat
Xác minh rằng có một mục trong bảng NAT cho quy tắc Dynamic PAT, với translate_hits tăng.
Bước 46
Chạy lệnh:
show xlate
Xác minh các bản dịch NAT:
Lưu ý: Bản dịch PAT hết hạn sau 30 giây. Nếu không thấy bản dịch, làm mới trang https://www.cisco.com.
Bước 47
Đóng trang trình duyệt kết nối với internet, giữ mở trang FMC. Phần 4: Cấu hình và xác minh Static NAT cho DMZ Server
Mục tiêu
Kích hoạt kết nối đi ra và đi vào cho DMZ Server bằng Static NAT, dịch địa chỉ IP của DMZ Server sang một địa chỉ IP công cộng. Các bước thực hiện
Bước 48
Quay lại giao diện FMC trên Jump Host.
Bước 49
Điều hướng đến Devices > NAT. Nhấp vào biểu tượng bút chì bên cạnh Internet Edge NAT Policy.
Bước 50
Nhấp Add Rule.
Bước 51
Cấu hình quy tắc Static NAT:
Bước 52
Trong cửa sổ Add NAT Rule, nhấp vào tab Interface Objects:
Bước 53
Nhấp Save.
Bước 54
Triển khai thay đổi:
Bước 55
Truy cập vào Bleda (DMZ Server) với thông tin: student / 1234QWer.
Bước 56
Trên Bleda, mở Firefox và điều hướng đến https://www.cisco.com. Kết nối sẽ thành công.
Bước 57
Quay lại phiên SSH của FTD-1.
Bước 58
Chạy lệnh:
show running-config nat
Xác minh rằng quy tắc Static NAT là thuộc tính của đối tượng DMZ_SERVER.
Bước 59
Chạy lệnh:
show nat
Xác minh rằng bảng NAT có hai quy tắc (Dynamic PAT và Static NAT), với translate_hits tăng cho quy tắc Static NAT.
Bước 60
Truy cập vào Branch-PC với thông tin: student / 1234QWer.
Bước 61
Trên Branch-PC, mở trình duyệt và điều hướng đến 192.0.2.3. Kết nối sẽ thành công do Static NAT và ACP cho phép lưu lượng.
Bước 62
Quay lại phiên SSH của FTD-1.
Bước 63
Chạy lệnh:
show nat
Xác minh rằng untranslate_hits tăng do kết nối từ bên ngoài đến DMZ Server.
Bước 64
Chạy lệnh:
show xlate
Xác minh bản dịch Static NAT:
Mục tiêu
Kích hoạt chuyển tiếp cổng (Static PAT) cho dịch vụ SSH trên DMZ Server, dịch cổng 22 sang cổng 2222 trên địa chỉ IP công cộng. Các bước thực hiện
Bước 65
Quay lại giao diện FMC trên Jump Host.
Bước 66
Điều hướng đến Devices > NAT. Nhấp vào biểu tượng bút chì bên cạnh Internet Edge NAT Policy.
Bước 67
Nhấp Add Rule.
Bước 68
Cấu hình quy tắc Static PAT:
Lưu ý: Static PAT chỉ áp dụng cho kết nối đi vào. Kết nối đi ra vẫn sử dụng Static NAT hoặc Dynamic PAT.
Bước 69
Trong cửa sổ Add NAT Rule, nhấp vào tab Interface Objects:
Bước 70
Nhấp Save.
Bước 71
Triển khai thay đổi:
Bước 72
Truy cập vào Branch-PC với thông tin: student / 1234QWer.
Bước 73
Trên Branch-PC, mở PuTTY và kết nối SSH đến 192.0.2.3 trên cổng 2222 với thông tin: student / 1234QWer. Kết nối sẽ thành công.
Bước 74
Quay lại phiên SSH của FTD-1.
Bước 75
Chạy lệnh:
show running-config nat
Xác minh rằng quy tắc Manual NAT là một lệnh toàn cục, tham chiếu đến đối tượng DMZ_SERVER và TRANSLATED_SSH.
Bước 76
Chạy lệnh:
show nat
Xác minh rằng quy tắc Manual NAT xuất hiện trong phần đầu tiên của bảng NAT, với cả translate_hits và untranslate_hits tăng (do Manual NAT là NAT hai lần).
Bước 77
Chạy lệnh:
show xlate
Xác minh hai bản dịch:
Bước 78
Đóng tất cả cửa sổ và thoát khỏi tất cả thiết bị.
Khắc phục sự cố
Bài lab này đã hướng dẫn bạn cách cấu hình và xác minh NAT trên Cisco Secure Firewall Threat Defense sử dụng FMC. Bạn đã học cách:
Các bước này tuân thủ các thực tiễn tốt nhất từ tài liệu Cisco và có thể áp dụng trong môi trường thực tế với độ tin cậy cao.
Mục tiêu
Bài lab này hướng dẫn cách cấu hình và xác minh Network Address Translation (NAT) trên thiết bị Cisco Secure Firewall Threat Defense (FTD) sử dụng Secure Firewall Management Center (FMC). Bạn sẽ thực hiện các tác vụ sau:
- Xác minh cài đặt mạng cơ bản (giao diện, định tuyến).
- Tạo các đối tượng mạng và cổng để sử dụng trong NAT.
- Cấu hình và xác minh Dynamic PAT cho các máy chủ bên trong.
- Cấu hình và xác minh Static NAT cho DMZ Server.
- Cấu hình và xác minh Static PAT (chuyển tiếp cổng) cho dịch vụ SSH trên DMZ Server.
- Sử dụng Packet Tracer để khắc phục sự cố kết nối.
Bài lab này được thiết kế để hoạt động trong môi trường thực tế với các thiết bị Cisco Secure Firewall Threat Defense phiên bản 7.2 trở lên, sử dụng FMC để quản lý. Các bước được tối ưu hóa để đảm bảo khả năng áp dụng gần 100% trong các môi trường doanh nghiệp hoặc phòng thí nghiệm. Yêu cầu
- Thiết bị Cisco Secure Firewall Threat Defense (FTD-1) chạy phiên bản 7.2 hoặc cao hơn.
- Cisco Secure Firewall Management Center (FMC) chạy phiên bản 7.2 hoặc cao hơn.
- Jump Host PC với trình duyệt Firefox và PuTTY cài đặt sẵn.
- Quyền truy cập SSH và HTTPS vào FTD-1 và FMC.
- Thông tin đăng nhập:
- Jump Host: student / 1234QWer
- FMC và FTD-1: admin / Cisco#1234
- Mạng được cấu hình sẵn với các giao diện:
- Inside: Kết nối với mạng General Network (192.168.133.0/24).
- DMZ: Kết nối với mạng DMZ (192.168.10.0/24).
- Outside: Kết nối với internet qua Rtr-Outside (192.0.2.2).
- Các vùng bảo mật (Security Zones): zone_inside, zone_dmz, zone_outside.
- Đảm bảo rằng thiết bị FTD-1 đã được đăng ký với FMC.
- Các chính sách NAT và Access Control Policy (ACP) cần được triển khai (deploy) sau mỗi thay đổi để áp dụng cấu hình.
- Sử dụng các công cụ như Packet Tracer và lệnh CLI (show nat, show xlate) để xác minh và khắc phục sự cố.
- Đảm bảo tuân thủ các thực tiễn bảo mật tốt nhất khi cấu hình NAT, như được đề cập trong Cisco Secure Firewall Threat Defense Hardening Guide, Version 7.2.
Mục tiêu
Xác minh các cài đặt mạng cơ bản trên thiết bị FTD-1, bao gồm giao diện và định tuyến, để đảm bảo rằng chúng đã được cấu hình sẵn đúng cách. Các bước thực hiện
Bước 1
Truy cập vào Jump Host. Đăng nhập với thông tin:
- Tên người dùng: student
- Mật khẩu: 1234QWer (nếu cần).
Bước 2
Mở trình duyệt Firefox trên Jump Host và kết nối với Secure Firewall Management Center tại https://192.168.111.20.
- Chấp nhận cảnh báo chứng chỉ (nếu có).
- Đăng nhập với thông tin:
- Tên người dùng: admin
- Mật khẩu: Cisco#1234
Bước 3
Trong FMC, điều hướng đến Devices > Device Management.
- Tìm thiết bị FTD-1.
- Nhấp vào biểu tượng bút chì bên cạnh FTD-1 để chỉnh sửa cài đặt thiết bị.
Bước 4
Nhấp vào tab Device. Xác minh rằng thiết bị đang chạy ở chế độ Routed (định tuyến).
Bước 5
Nhấp vào tab Interfaces. Xác minh rằng có ba giao diện đã được cấu hình:
- Inside: Kết nối với mạng General Network (192.168.133.0/24).
- DMZ: Kết nối với mạng DMZ (192.168.10.0/24).
- Outside: Kết nối với internet qua Rtr-Outside (192.0.2.2).
Lưu ý: Cisco Secure Firewall Threat Defense sử dụng khái niệm vùng bảo mật (security zones) để quản lý lưu lượng. Mỗi giao diện chỉ có thể thuộc một vùng. Trong lab này, các vùng bảo mật đã được cấu hình sẵn: zone_inside, zone_dmz, và zone_outside. Bạn có thể kiểm tra các vùng này trong Objects > Object Management > Interface.
Bước 6
Trên trang Devices > Device Management, nhấp vào tab Routing.
- Trong menu bên trái, chọn Static Route.
- Xác minh rằng tuyến tĩnh mặc định đã được cấu hình, trỏ đến giao diện outside và đối tượng ISP-Router (192.0.2.2) làm bước nhảy tiếp theo (next hop).
Bước 7
Mở PuTTY trên Jump Host và kết nối với thiết bị FTD-1 qua SSH tại 192.168.111.10.
- Đăng nhập với thông tin:
- Tên người dùng: admin
- Mật khẩu: Cisco#1234
Bước 8
Trong CLI của FTD-1, chạy lệnh:
show interface ip brief
Xác minh rằng ba giao diện (Inside, DMZ, Outside) đã được cấu hình với địa chỉ IP chính xác.
Bước 9
Chạy lệnh:
show route
Xác minh rằng bảng định tuyến hiển thị tuyến tĩnh mặc định trỏ đến 192.0.2.2 qua giao diện outside.
Bước 10
Chạy lệnh:
show firewall
Xác minh rằng thiết bị đang chạy ở chế độ Routed.
Bước 11
Để kiểm tra các cài đặt trong CLI ASA (LINA), chạy:
system support diagnostic-cli
- Nhập lệnh enable và sử dụng mật khẩu enable trống (nhấn Enter).
- Chạy lại một lệnh, ví dụ:
show route - Xác minh rằng đầu ra giống với đầu ra từ CLI FTD.
Lưu ý: CLI ASA hữu ích cho các lệnh gỡ lỗi, vì đầu ra chỉ hiển thị trong CLI ASA.
Bước 12
Thoát khỏi CLI ASA:
- Chạy exit để thoát chế độ EXEC đặc quyền.
- Chạy exit lần nữa để quay lại CLI FTD.
Mục tiêu
Tạo các đối tượng mạng và cổng để sử dụng trong cấu hình NAT. Các đối tượng là thành phần cốt lõi của FTD, giúp đơn giản hóa việc quản lý chính sách. Các bước thực hiện
Bước 13
Quay lại giao diện GUI của FMC trên Jump Host.
Bước 14
Điều hướng đến Objects > Object Management. Chọn Network từ menu bên trái.
Bước 15
Nhấp Add Network > Add Object để tạo một đối tượng mới.
Bước 16
Tạo đối tượng cho DMZ Server:
- Tên: DMZ_SERVER
- Mạng: Host
- Địa chỉ IP: 192.168.10.90
Nhấp Save.
Bước 17
Tạo các đối tượng bổ sung:
- Translated DMZ Server:
- Tên: TRANSLATED_DMZ_SERVER
- Mạng: Host
- Địa chỉ IP: 192.0.2.3
- Inside Network:
- Tên: GENERAL_NETWORK
- Mạng: Network
- Địa chỉ IP: 192.168.133.0/24
Nhấp Save cho mỗi đối tượng.
Bước 18
Trong Object Management, chọn Port từ menu bên trái. Nhấp Add Port > Add Object.
Bước 19
Tạo đối tượng cổng cho dịch vụ SSH:
- Tên: TRANSLATED_SSH
- Giao thức: TCP
- Cổng: 2222
Nhấp Save.
Mục tiêu
Kích hoạt kết nối đi ra (outbound) cho các máy chủ trong mạng bên trong bằng Dynamic PAT, dịch địa chỉ IP nguồn sang địa chỉ IP của giao diện ngoài. Các bước thực hiện
Bước 20
Trong FMC, điều hướng đến Devices > NAT. Xác minh rằng không có chính sách NAT nào tồn tại theo mặc định.
Bước 21
Nhấp vào liên kết Threat Defense NAT Policy hoặc New Policy > Threat Defense NAT để tạo chính sách NAT mới.
Bước 22
Tạo chính sách NAT:
- Tên: Internet Edge NAT Policy
- Trong Available Devices, chọn FTD-1 và nhấp Add to Policy.
- Nhấp Save.
Bước 23
Trong chính sách, nhấp Add Rule để tạo quy tắc NAT.
Bước 24
Cấu hình quy tắc Dynamic PAT:
- NAT Rule: Auto NAT Rule
- Type: Dynamic
- Original source: GENERAL_NETWORK
- Translated source: Destination Interface IP
Lưu ý: Khi Translated source là giao diện đích hoặc một địa chỉ IP duy nhất, FTD tự động thực hiện PAT. Nếu bạn cần PAT với nhiều địa chỉ IP, cấu hình trong tab PAT Pool.
Bước 25
Trong cửa sổ Add NAT Rule, nhấp vào tab Interface Objects:
- Source Interface Objects: zone_inside
- Destination Interface Objects: zone_outside
Nhấp OK.
Bước 26
Nhấp Save để lưu chính sách.
Bước 27
Triển khai cấu hình:
- Nhấp Deploy ở góc trên bên phải.
- Trong cửa sổ triển khai, nhấp Advanced Deploy để xem các thay đổi được đề xuất.
- Mở rộng FTD-1 để xác minh rằng chỉ có cấu hình NAT thay đổi.
Bước 28
Chọn hộp kiểm FTD-1 và nhấp Deploy. Xác nhận nếu cần.
Bước 29
Theo dõi tiến trình triển khai bằng biểu tượng trạng thái tác vụ (vòng tròn xanh với dấu kiểm). Đợi triển khai hoàn tất (khoảng 1 phút).
Bước 30
Trên Jump Host, mở PuTTY và kết nối SSH với FTD-1 tại 192.168.111.10. Đăng nhập với admin / Cisco#1234.
Bước 31
Chạy lệnh:
show running-config nat
Xác minh rằng quy tắc NAT là thuộc tính của đối tượng mạng (GENERAL_NETWORK).
Bước 32
Chạy lệnh:
show running-config object id GENERAL_NETWORK
Xác minh địa chỉ IP của đối tượng: 192.168.133.0/24.
Bước 33
Trên Jump Host, mở trình duyệt và điều hướng đến https://www.cisco.com để kiểm tra kết nối đi ra.
- Kết nối sẽ không thành công do chính sách ACP chặn lưu lượng. Để trang hết thời gian chờ (khoảng vài phút) hoặc tiếp tục.
Bước 34
Trong FMC, điều hướng đến Devices > Troubleshoot > Packet Tracer.
Bước 35
Quan sát các trường cấu hình trong cửa sổ Packet Tracer.
Bước 36
Cấu hình Packet Tracer:
- Device: FTD-1
- Protocol: TCP
- Source Type: IPv4 address 192.168.133.30 (Jump Host)
- Destination: IPv4 address 192.0.2.2 (RTR-Outside)
- Interface: inside
- Source port: 2000
- Destination port: 80
Nhấp Trace.
Bước 37
Xem kết quả Packet Tracer. Lưu lượng bị drop do Default Action trong ACP chặn tất cả lưu lượng.
Bước 38
Điều hướng đến Policies > Access Control > Access Control. Nhấp vào biểu tượng bút chì bên cạnh FTD-Initial-Policy ACP.
Bước 39
Xác minh rằng không có quy tắc ACP nào tồn tại. Thay đổi Default Action thành Intrusion Prevention: Balanced Security and Connectivity để cho phép lưu lượng và gửi đến IPS.
Bước 40
Nhấp Save để lưu ACP.
Bước 41
Triển khai thay đổi:
- Nhấp Deploy, chọn FTD-1, và nhấp Deploy.
- Đợi triển khai hoàn tất.
Bước 42
Nhấp Proceed nếu thấy cảnh báo Errors and Warnings. Đợi triển khai hoàn tất.
Bước 43
Trên Jump Host, mở trình duyệt và điều hướng lại đến https://www.cisco.com. Kết nối sẽ thành công.
Bước 44
Quay lại phiên SSH của FTD-1.
Bước 45
Chạy lệnh:
show nat
Xác minh rằng có một mục trong bảng NAT cho quy tắc Dynamic PAT, với translate_hits tăng.
Bước 46
Chạy lệnh:
show xlate
Xác minh các bản dịch NAT:
- Loại: TCP PAT
- Nguồn gốc: 192.168.133.30 (cổng cao)
- Nguồn dịch: 192.0.2.1 (giao diện ngoài)
- Cờ: ri (Dynamic PAT).
Lưu ý: Bản dịch PAT hết hạn sau 30 giây. Nếu không thấy bản dịch, làm mới trang https://www.cisco.com.
Bước 47
Đóng trang trình duyệt kết nối với internet, giữ mở trang FMC. Phần 4: Cấu hình và xác minh Static NAT cho DMZ Server
Mục tiêu
Kích hoạt kết nối đi ra và đi vào cho DMZ Server bằng Static NAT, dịch địa chỉ IP của DMZ Server sang một địa chỉ IP công cộng. Các bước thực hiện
Bước 48
Quay lại giao diện FMC trên Jump Host.
Bước 49
Điều hướng đến Devices > NAT. Nhấp vào biểu tượng bút chì bên cạnh Internet Edge NAT Policy.
Bước 50
Nhấp Add Rule.
Bước 51
Cấu hình quy tắc Static NAT:
- NAT Rule: Auto NAT Rule
- Type: Static
- Original source: DMZ_SERVER
- Translated source: TRANSLATED_DMZ_SERVER
Bước 52
Trong cửa sổ Add NAT Rule, nhấp vào tab Interface Objects:
- Source Interface Objects: zone_dmz
- Destination Interface Objects: zone_outside
Nhấp OK.
Bước 53
Nhấp Save.
Bước 54
Triển khai thay đổi:
- Nhấp Deploy, chọn FTD-1, và nhấp Deploy.
- Đợi triển khai hoàn tất.
Bước 55
Truy cập vào Bleda (DMZ Server) với thông tin: student / 1234QWer.
Bước 56
Trên Bleda, mở Firefox và điều hướng đến https://www.cisco.com. Kết nối sẽ thành công.
Bước 57
Quay lại phiên SSH của FTD-1.
Bước 58
Chạy lệnh:
show running-config nat
Xác minh rằng quy tắc Static NAT là thuộc tính của đối tượng DMZ_SERVER.
Bước 59
Chạy lệnh:
show nat
Xác minh rằng bảng NAT có hai quy tắc (Dynamic PAT và Static NAT), với translate_hits tăng cho quy tắc Static NAT.
Bước 60
Truy cập vào Branch-PC với thông tin: student / 1234QWer.
Bước 61
Trên Branch-PC, mở trình duyệt và điều hướng đến 192.0.2.3. Kết nối sẽ thành công do Static NAT và ACP cho phép lưu lượng.
Bước 62
Quay lại phiên SSH của FTD-1.
Bước 63
Chạy lệnh:
show nat
Xác minh rằng untranslate_hits tăng do kết nối từ bên ngoài đến DMZ Server.
Bước 64
Chạy lệnh:
show xlate
Xác minh bản dịch Static NAT:
- Loại: NAT
- Nguồn gốc: 192.168.10.90
- Nguồn dịch: 192.0.2.3
- Cờ: s (Static NAT).
Mục tiêu
Kích hoạt chuyển tiếp cổng (Static PAT) cho dịch vụ SSH trên DMZ Server, dịch cổng 22 sang cổng 2222 trên địa chỉ IP công cộng. Các bước thực hiện
Bước 65
Quay lại giao diện FMC trên Jump Host.
Bước 66
Điều hướng đến Devices > NAT. Nhấp vào biểu tượng bút chì bên cạnh Internet Edge NAT Policy.
Bước 67
Nhấp Add Rule.
Bước 68
Cấu hình quy tắc Static PAT:
- NAT Rule: Manual NAT Rule
- Type: Static
- Original source: DMZ_SERVER
- Original source port: SSH
- Translated source: TRANSLATED_DMZ_SERVER
- Translated source port: TRANSLATED_SSH
Lưu ý: Static PAT chỉ áp dụng cho kết nối đi vào. Kết nối đi ra vẫn sử dụng Static NAT hoặc Dynamic PAT.
Bước 69
Trong cửa sổ Add NAT Rule, nhấp vào tab Interface Objects:
- Source Interface Objects: zone_dmz
- Destination Interface Objects: zone_outside
Nhấp OK.
Bước 70
Nhấp Save.
Bước 71
Triển khai thay đổi:
- Nhấp Deploy, chọn FTD-1, và nhấp Deploy.
- Đợi triển khai hoàn tất.
Bước 72
Truy cập vào Branch-PC với thông tin: student / 1234QWer.
Bước 73
Trên Branch-PC, mở PuTTY và kết nối SSH đến 192.0.2.3 trên cổng 2222 với thông tin: student / 1234QWer. Kết nối sẽ thành công.
Bước 74
Quay lại phiên SSH của FTD-1.
Bước 75
Chạy lệnh:
show running-config nat
Xác minh rằng quy tắc Manual NAT là một lệnh toàn cục, tham chiếu đến đối tượng DMZ_SERVER và TRANSLATED_SSH.
Bước 76
Chạy lệnh:
show nat
Xác minh rằng quy tắc Manual NAT xuất hiện trong phần đầu tiên của bảng NAT, với cả translate_hits và untranslate_hits tăng (do Manual NAT là NAT hai lần).
Bước 77
Chạy lệnh:
show xlate
Xác minh hai bản dịch:
- Dịch 192.168.10.90/22 sang 192.0.2.3/2222 (cờ srT).
- Dịch danh tính 0.0.0.0/0 sang 0.0.0.0/0 (cờ srT và I).
Bước 78
Đóng tất cả cửa sổ và thoát khỏi tất cả thiết bị.
Khắc phục sự cố
- Kết nối không thành công: Sử dụng Packet Tracer để kiểm tra luồng lưu lượng. Đảm bảo rằng ACP cho phép lưu lượng cần thiết.
- NAT không hoạt động: Kiểm tra thứ tự quy tắc NAT trong FMC (quy tắc trên cùng có ưu tiên cao hơn). Sử dụng lệnh show nat và show xlate để xác minh bản dịch.
- Triển khai thất bại: Kiểm tra trạng thái triển khai trong FMC. Đảm bảo kết nối giữa FMC và FTD-1 ổn định.
Bài lab này đã hướng dẫn bạn cách cấu hình và xác minh NAT trên Cisco Secure Firewall Threat Defense sử dụng FMC. Bạn đã học cách:
- Xác minh cài đặt mạng cơ bản.
- Tạo các đối tượng mạng và cổng.
- Cấu hình Dynamic PAT, Static NAT, và Static PAT.
- Sử dụng CLI và Packet Tracer để xác minh và khắc phục sự cố.
Các bước này tuân thủ các thực tiễn tốt nhất từ tài liệu Cisco và có thể áp dụng trong môi trường thực tế với độ tin cậy cao.