Lab. ASA + STATIC NAT
Assalamu'alaikum Warahmatullahi Wabarakatu
Semangat Pagi Kawan, Kali ini kita akan ngoprek Firewall Cisco atau bisa disebut tembok Api, hehehe..
tepat kita akan ngoprek ASA + STATIC NAT, Mungkin para pembaca sudah apa itu ASA dan Static NAT, Saya Jelaskan sedikit Apa itu ASA ???
Cisco Asas datang dalam dua rasa, fisik dan virtual. Satu virtual yang relatif baru, dan dikenal sebagai ASAv ( "v" untuk virtual, masuk akal). Rentang fisik ASA firewall (5500 series) telah sekitar selama beberapa tahun, dan menggantikan firewall PIX.
Berbagai produk saat ini dimulai dengan 5505, yang akan menjadi SOHO router firewall combo khas Anda, dan kemudian rentang bergerak ke model X, dimulai dengan 5506-X.
X menunjukkan bahwa model ini adalah generasi berikutnya dari ASA, dan datang dengan senjata, yang kita akan melihat dalam posting yang berbeda. Jadi, apa perbedaan antara 5505 dan 5506-X? Itu cukup besar sebenarnya.
1. Topologi Lab :
Perangkat dan tool yang saya gunakan :
Password:( Kosong )
ciscoasa#conf t
ciscoasa(config)#no dhcp address 192.168.1.5-192.168.1.36 inside
ciscoasa(config)#no dhcpd enable inside
ciscoasa(config)#int vlan 1
ciscoasa(config-if)#no ip address
WARNING: DHCPD bindings cleared on interface 'inside', address pool removed
ciscoasa(config-if)#no ip address dhcp
ciscoasa(config-if)#exit
ciscoasa(config)#int vlan 2
ciscoasa(config-if)#no ip address dhcp
ciscoasa(config-if)#end
ciscoasa#sh run
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
no ip address
!
interface Vlan2
nameif outside
security-level 0
no ip address
!
!
!
!
!
!
!
!
!
!
!
!
telnet timeout 5
ssh timeout 5
!
!
!
!
!
!
ciscoasa#conf t
ciscoasa(config)#int vlan 2
ciscoasa(config-if)#no ip add
ciscoasa(config-if)#no ip address
ciscoasa(config-if)#
ciscoasa(config-if)#exit
Konfigurasi inside vlan 1 :
ciscoasa(config)#int vlan 1
ciscoasa(config-if)#ip address 172.16.1.1 255.255.255.0
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#exit
----------------------------------------------------------------------------------------------------------------------------
Konfigurasi Outside vlan 2 :
ciscoasa(config)#int vlan 2
ciscoasa(config-if)#ip address 203.1.1.1 255.255.255.0
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#nameif Outside
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#exit
--------------------------------------------------------------------------------------
Konfigurasi DMZ vlan 3 :
ciscoasa(config)#int vlan 3
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#no forward interface vlan 1
ciscoasa(config-if)#ip address 10.10.10.1 255.255.255.0
ciscoasa(config-if)#security-level 50
ciscoasa(config-if)#nameif DMZ
ciscoasa(config-if)#exit
--------------------------------------------------------------------------------------
ciscoasa(config)#int e0/1
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#switchport access vlan 1
ciscoasa(config-if)#exit
ciscoasa(config)#int e0/0
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#switchport access vlan 2
ciscoasa(config-if)#exit
--------------------------------------------------------------------------------------------------------------------------
ciscoasa(config)#object network LAN-Inside
ciscoasa(config-network-object)#subnet 172.16.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa(config)#access-list intoout extended permit tcp any any
ciscoasa(config)#access-list intoout extended permit icmp any any
-------------------------------------------------------------------------------------------------------------------------
Konfigurasi Default Route:
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 203.1.1.2
Konfigurasi Access-group :
ciscoasa(config)#access-group intoout in interface outside
-------------------------------------------------------------------------------------------------------------------------
ciscoasa(config)#object network DMZ-Subnet
ciscoasa(config-network-object)#subnet 10.10.10.0 255.255.255.0
ciscoasa(config-network-object)#nat (DMZ,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa#conf t
ciscoasa(config)#access-list dmz-out extended permit tcp any any
ciscoasa(config)#access-list dmz-out extended permit icmp any any
-------------------------------------------------------------------------------------------------------------------------
ciscoasa(config)#object network WEBSERVER
ciscoasa(config-network-object)#host 10.10.10.10
ciscoasa(config-network-object)#nat (dmz,outside) static 203.1.1.10
ciscoasa(config-network-object)#exit
ciscoasa#conf t
ciscoasa(config)#access-list outtodmz ext
ciscoasa(config)#access-list outtodmz extended per
ciscoasa(config)#access-list outtodmz extended permit tcp any host 203.1.1.10 eq www
ciscoasa(config)#
--------------------------------------------------------------------------------------------------------------------------
Setelah Selesai melakukan Konfigurasi, Sekarang Test apakah berhasil atau tidak
Alhamdulillah Lab. Hari ini telah berhasil,
Semoga bermanfaat untuk para pembaca.
Waassalamu'alaikum warahmatullahi wabarakatu
Salam,,
Hamdan H.
Assalamu'alaikum Warahmatullahi Wabarakatu
Semangat Pagi Kawan, Kali ini kita akan ngoprek Firewall Cisco atau bisa disebut tembok Api, hehehe..
tepat kita akan ngoprek ASA + STATIC NAT, Mungkin para pembaca sudah apa itu ASA dan Static NAT, Saya Jelaskan sedikit Apa itu ASA ???
Cisco Asas datang dalam dua rasa, fisik dan virtual. Satu virtual yang relatif baru, dan dikenal sebagai ASAv ( "v" untuk virtual, masuk akal). Rentang fisik ASA firewall (5500 series) telah sekitar selama beberapa tahun, dan menggantikan firewall PIX.
Berbagai produk saat ini dimulai dengan 5505, yang akan menjadi SOHO router firewall combo khas Anda, dan kemudian rentang bergerak ke model X, dimulai dengan 5506-X.
X menunjukkan bahwa model ini adalah generasi berikutnya dari ASA, dan datang dengan senjata, yang kita akan melihat dalam posting yang berbeda. Jadi, apa perbedaan antara 5505 dan 5506-X? Itu cukup besar sebenarnya.
( Salah 1 jenis ASA cisco )
Kali ini kita akan Jenis ASA 5505 di Cisco Packet Tracert.
Les't go to Ngoprek... ๐ฆ๐
1. Topologi Lab :
( Topologi )
- Router Cisco 1800 Series
- Switch Catalyst 2960 Series SI PoE-24
- 6 kabel Straight + 2 kabel Cross
- kabel console + conventor Aten
- Konfigurasi Router
- Setting IP address tiap Interface ( g0/0 & g0/1 )
- Setting Semua IP Address Perangkat END Device sesuai Topologi
- Konfigurasi Router ASA
- Konfigurasi NAT dan Static NAT
- setting dan nama interface
- Inside 100 Security level
- Outside-0 Security level
- DMZ-50 Security level
- Membuat Object LAN-Subnet dan DMZ-Subnet dan Enable Nat
- Membuat Access-list
- Default Route
- Access-Group
- Statik NAT
- Map IP Public = 203.1.1.10 = 10.10.10.10
- Pastikan PC0 dapat ping WEBSERVER dan cek pakai web browser menggunakan IP 203.1.1.10
- Pastikan Webserver dapat Ping Server ( outside ) dan cek pakai web browser mengunakan IP 8.8.8.8
- Pastikan Pc1 ( inside ) dapat ping IP 8.8.8.8 dan ip 8.8.8.9
- Konfigurasi Router
- Setting IP address
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int g0/0
Router(config-if)#ip address 203.1.1.2 255.255.255.0
Router(config-if)#no shutdown
*Nov 18 06:15:27.607: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
Router(config-if)# exit
Router(config)#int g0/1
Router(config-if)#ip address 8.8.8.1 255.255.255.0
Router(config-if)#no shutdown
*Nov 18 06:15:27.607: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
- Konfigurasi ASA
Password:( Kosong )
ciscoasa#conf t
ciscoasa(config)#no dhcp address 192.168.1.5-192.168.1.36 inside
ciscoasa(config)#no dhcpd enable inside
ciscoasa(config)#int vlan 1
ciscoasa(config-if)#no ip address
WARNING: DHCPD bindings cleared on interface 'inside', address pool removed
ciscoasa(config-if)#no ip address dhcp
ciscoasa(config-if)#exit
ciscoasa(config)#int vlan 2
ciscoasa(config-if)#no ip address dhcp
ciscoasa(config-if)#end
ciscoasa#sh run
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
no ip address
!
interface Vlan2
nameif outside
security-level 0
no ip address
!
!
!
!
!
!
!
!
!
!
!
!
telnet timeout 5
ssh timeout 5
!
!
!
!
!
!
ciscoasa#conf t
ciscoasa(config)#int vlan 2
ciscoasa(config-if)#no ip add
ciscoasa(config-if)#no ip address
ciscoasa(config-if)#
ciscoasa(config-if)#exit
Konfigurasi inside vlan 1 :
ciscoasa(config)#int vlan 1
ciscoasa(config-if)#ip address 172.16.1.1 255.255.255.0
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#exit
----------------------------------------------------------------------------------------------------------------------------
Konfigurasi Outside vlan 2 :
ciscoasa(config)#int vlan 2
ciscoasa(config-if)#ip address 203.1.1.1 255.255.255.0
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#nameif Outside
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#exit
--------------------------------------------------------------------------------------
Konfigurasi DMZ vlan 3 :
ciscoasa(config)#int vlan 3
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#no forward interface vlan 1
ciscoasa(config-if)#ip address 10.10.10.1 255.255.255.0
ciscoasa(config-if)#security-level 50
ciscoasa(config-if)#nameif DMZ
ciscoasa(config-if)#exit
--------------------------------------------------------------------------------------
ciscoasa(config)#int e0/1
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#switchport access vlan 1
ciscoasa(config-if)#exit
ciscoasa(config)#int e0/0
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#switchport access vlan 2
ciscoasa(config-if)#exit
--------------------------------------------------------------------------------------------------------------------------
ciscoasa(config)#object network LAN-Inside
ciscoasa(config-network-object)#subnet 172.16.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa(config)#access-list intoout extended permit tcp any any
ciscoasa(config)#access-list intoout extended permit icmp any any
-------------------------------------------------------------------------------------------------------------------------
Konfigurasi Default Route:
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 203.1.1.2
Konfigurasi Access-group :
ciscoasa(config)#access-group intoout in interface outside
Note :
Supaya area Outside dapat terhubung di area DMZ , area inside atau sebaliknya dengan menggunakan Default Route.
-------------------------------------------------------------------------------------------------------------------------
ciscoasa(config)#object network DMZ-Subnet
ciscoasa(config-network-object)#subnet 10.10.10.0 255.255.255.0
ciscoasa(config-network-object)#nat (DMZ,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa#conf t
ciscoasa(config)#access-list dmz-out extended permit tcp any any
ciscoasa(config)#access-list dmz-out extended permit icmp any any
-------------------------------------------------------------------------------------------------------------------------
ciscoasa(config)#object network WEBSERVER
ciscoasa(config-network-object)#host 10.10.10.10
ciscoasa(config-network-object)#nat (dmz,outside) static 203.1.1.10
ciscoasa(config-network-object)#exit
ciscoasa#conf t
ciscoasa(config)#access-list outtodmz ext
ciscoasa(config)#access-list outtodmz extended per
ciscoasa(config)#access-list outtodmz extended permit tcp any host 203.1.1.10 eq www
ciscoasa(config)#
Note :
Pada WebServer kita telah merubah / mentranslate IP 10.10.10.10 menjadi IP 203.1.1.10 dengan menggunakan Static Nat .
--------------------------------------------------------------------------------------------------------------------------
Setelah Selesai melakukan Konfigurasi, Sekarang Test apakah berhasil atau tidak
- Pastikan PC0 dapat ping WEBSERVER dan cek pakai web browser menggunakan IP 203.1.1.10
- Pastikan Webserver dapat Ping Server ( outside ) dan cek pakai web browser mengunakan IP 8.8.8.8
- Pastikan Pc1 ( inside ) dapat ping IP 8.8.8.8 dan ip 8.8.8.9
Alhamdulillah Lab. Hari ini telah berhasil,
Semoga bermanfaat untuk para pembaca.
Waassalamu'alaikum warahmatullahi wabarakatu
Salam,,
Hamdan H.