Lab. ASA + STATIC NAT

Posted on Posted in Cyber, Networking

Lab. ASA + STATIC NAT


Assalamu’alaikum Warahmatullahi Wabarakatu

Semangat Pagi Kawan, Kali ini kita akan ngoprek Firewall Cisco atau bisa disebut tembok Api, hehehe..

tepat kita akan ngoprek ASA + STATIC NAT, Mungkin para pembaca sudah apa itu ASA dan Static NAT, Saya Jelaskan sedikit Apa itu ASA ???

Cisco Asas datang dalam dua rasa, fisik dan virtual. Satu virtual yang relatif baru, dan dikenal sebagai ASAv ( “v” untuk virtual, masuk akal). Rentang fisik ASA firewall (5500 series) telah sekitar selama beberapa tahun, dan menggantikan firewall PIX.


Berbagai produk saat ini dimulai dengan 5505, yang akan menjadi SOHO router firewall combo khas Anda, dan kemudian rentang bergerak ke model X, dimulai dengan 5506-X.


X menunjukkan bahwa model ini adalah generasi berikutnya dari ASA, dan datang dengan senjata, yang kita akan melihat dalam posting yang berbeda. Jadi, apa perbedaan antara 5505 dan 5506-X? Itu cukup besar sebenarnya.

 ( Salah 1 jenis ASA cisco )

Kali ini kita akan Jenis ASA 5505 di Cisco Packet Tracert.

Les’t go to Ngoprek… ūü϶ūüėÄ

1. Topologi Lab :

 ( Topologi )

Perangkat dan tool yang saya gunakan :

  1. Router Cisco 1800 Series
  2. Switch Catalyst 2960 Series SI PoE-24
  3. 6 kabel Straight + 2 kabel Cross
  4. kabel console + conventor Aten

2. Tahapan Lab :

  • Konfigurasi Router¬†
    • Setting IP address tiap Interface ( g0/0 & g0/1 )
  • Setting Semua IP Address Perangkat END Device sesuai Topologi
  • Konfigurasi Router ASA
    • Konfigurasi NAT dan Static NAT
      • setting dan nama interface
        • Inside 100 Security level
        • Outside-0 Security level
        • DMZ-50 Security level
  • Membuat Object LAN-Subnet dan DMZ-Subnet dan Enable Nat
  • Membuat Access-list
  • Default Route
  • Access-Group
  • Statik NAT
    • Map IP Public = 203.1.1.10 = 10.10.10.10¬†

3. Verifikasi Lab :

  • Pastikan PC0 dapat ping WEBSERVER dan cek pakai web browser menggunakan IP 203.1.1.10
  • Pastikan Webserver dapat Ping Server ( outside ) dan cek pakai web browser mengunakan IP 8.8.8.8
  • Pastikan Pc1 ( inside ) dapat ping IP 8.8.8.8 dan ip 8.8.8.9

4. Konfigurasi Lab :

  • Konfigurasi Router
    • Setting IP address

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int g0/0

Router(config-if)#ip address 203.1.1.2 255.255.255.0

Router(config-if)#no shutdown

*Nov 18 06:15:27.607: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

Router(config-if)# exit

Router(config)#int g0/1

Router(config-if)#ip address 8.8.8.1 255.255.255.0

Router(config-if)#no shutdown

*Nov 18 06:15:27.607: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up

  • Konfigurasi ASA

ciscoasa>en

Password:( Kosong )

ciscoasa#conf t

ciscoasa(config)#no dhcp address 192.168.1.5-192.168.1.36 inside

ciscoasa(config)#no dhcpd enable inside

ciscoasa(config)#int vlan 1

ciscoasa(config-if)#no ip address

WARNING: DHCPD bindings cleared on interface ‘inside’, address pool removed


ciscoasa(config-if)#no ip address dhcp

ciscoasa(config-if)#exit

ciscoasa(config)#int vlan 2

ciscoasa(config-if)#no ip address dhcp

ciscoasa(config-if)#end

ciscoasa#sh run

: Saved

:

ASA Version 8.4(2)

!

hostname ciscoasa

names

!

interface Ethernet0/0

 switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

interface Vlan1

 nameif inside

 security-level 100

 no ip address

!

interface Vlan2

 nameif outside

 security-level 0

 no ip address

!

!

!

!

!

!

!

!

!

!

!

!

telnet timeout 5

ssh timeout 5

!

!

!

!

!

!

ciscoasa#conf t

ciscoasa(config)#int vlan 2

ciscoasa(config-if)#no ip add

ciscoasa(config-if)#no ip address

ciscoasa(config-if)#

ciscoasa(config-if)#exit


Konfigurasi inside vlan 1 :


ciscoasa(config)#int vlan 1

ciscoasa(config-if)#ip address 172.16.1.1 255.255.255.0

ciscoasa(config-if)#nameif inside

ciscoasa(config-if)#security-level 100

ciscoasa(config-if)#exit


—————————————————————————————————————————-


Konfigurasi Outside vlan 2 :


ciscoasa(config)#int vlan 2

ciscoasa(config-if)#ip address 203.1.1.1 255.255.255.0

ciscoasa(config-if)#no shutdown

ciscoasa(config-if)#nameif Outside

ciscoasa(config-if)#security-level 0

ciscoasa(config-if)#exit


————————————————————————————–


Konfigurasi DMZ vlan 3 :


ciscoasa(config)#int vlan 3

ciscoasa(config-if)#no shutdown

ciscoasa(config-if)#no forward interface vlan 1

ciscoasa(config-if)#ip address 10.10.10.1 255.255.255.0

ciscoasa(config-if)#security-level 50

ciscoasa(config-if)#nameif DMZ

ciscoasa(config-if)#exit


————————————————————————————–


ciscoasa(config)#int e0/1

ciscoasa(config-if)#no shutdown

ciscoasa(config-if)#switchport access vlan 1

ciscoasa(config-if)#exit

ciscoasa(config)#int e0/0

ciscoasa(config-if)#no shutdown

ciscoasa(config-if)#switchport access vlan 2

ciscoasa(config-if)#exit


————————————————————————————————————————–


ciscoasa(config)#object network LAN-Inside

ciscoasa(config-network-object)#subnet 172.16.1.0 255.255.255.0

ciscoasa(config-network-object)#nat (inside,outside) dynamic interface

ciscoasa(config-network-object)#exit


ciscoasa(config)#access-list intoout extended permit tcp any any

ciscoasa(config)#access-list intoout extended permit icmp any any


————————————————————————————————————————-


Konfigurasi Default Route:

ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 203.1.1.2


Konfigurasi Access-group :

ciscoasa(config)#access-group intoout in interface outside

Note :

Supaya area Outside dapat terhubung di area DMZ , area inside atau sebaliknya dengan menggunakan Default Route.


————————————————————————————————————————-


ciscoasa(config)#object network DMZ-Subnet

ciscoasa(config-network-object)#subnet 10.10.10.0 255.255.255.0

ciscoasa(config-network-object)#nat (DMZ,outside) dynamic interface

ciscoasa(config-network-object)#exit


ciscoasa#conf t

ciscoasa(config)#access-list dmz-out extended permit tcp any any

ciscoasa(config)#access-list dmz-out extended permit icmp any any


————————————————————————————————————————-


ciscoasa(config)#object network WEBSERVER

ciscoasa(config-network-object)#host 10.10.10.10

ciscoasa(config-network-object)#nat (dmz,outside) static 203.1.1.10

ciscoasa(config-network-object)#exit

ciscoasa#conf t

ciscoasa(config)#access-list outtodmz ext

ciscoasa(config)#access-list outtodmz extended per

ciscoasa(config)#access-list outtodmz extended permit tcp any host 203.1.1.10 eq www

ciscoasa(config)#

Note :

Pada WebServer kita telah merubah / mentranslate IP 10.10.10.10 menjadi IP 203.1.1.10 dengan menggunakan Static Nat .


————————————————————————————————————————–


Setelah Selesai melakukan Konfigurasi, Sekarang Test apakah berhasil atau tidak

  • Pastikan PC0 dapat ping WEBSERVER dan cek pakai web browser menggunakan IP 203.1.1.10

  • Pastikan Webserver dapat Ping Server ( outside ) dan cek pakai web browser mengunakan IP 8.8.8.8

  • Pastikan Pc1 ( inside ) dapat ping IP 8.8.8.8 dan ip 8.8.8.9

Alhamdulillah Lab. Hari ini telah berhasil,

Semoga bermanfaat untuk para pembaca.

Waassalamu’alaikum warahmatullahi wabarakatu

Salam,,

Hamdan H.









Leave a Reply

Your email address will not be published. Required fields are marked *