ASA NAT实验

配置PIX ASA FWSM之二：NAT私人资料，请勿商用Power_foo@Write by Powerfoo2011/4/12NAT1.全局激活NATpix1(config)#nat-control#在7.0以后的版本，不输入此命令也内网--->外网的流量也可以通过，外网--->内网需ACL放行。

使用此命令后，只要是穿越PIX的流量都需要有NAT项(nat、static、global)#，没有配置nat/global或nat 0的话任何流量都不可穿越PIX，即使是inside--->outside的流量#2.定义被转换地址(inside local)：pix1(config)# nat (inside) 1 192.168.1.88 255.255.255.255#括号()内应写入被转换网段接口的名称，1指定全局地址池，应与命令global相一致。

0.0.0.0 0.0.0.0代表所有主机，可缩写成0。

例如nat (inside) 1 0 0将允许所有内部地址执行NAT#命令nat的其他选项：nat (inside) 1 0 0 0~65535nat (inside) 1 0 0tcp 0~65535 #这两条命令等效，限制内部用户最大的TCP并发连接数(simultaneous connections) nat (inside) 1 0 0 tcp 0~65535 0~65535 #限制每个用户的最大半开连接数(embryonic connections),即未完成3次握手的连接# nat (inside) 1 0 0 udp0~65535 #限制内部用户最大的UDP并发连接数# 3.定义全局地址(inside global)：pix1(config)#global (outside) 110.0.0.88[-x.x.x.x] [netmask x.x.x.x]pix1(config)#global (outside) 1 interface#括号()应写入NAT出接口名称，1指定全局地址池，应与命令nat相一致。

ASA的NA T配置配置1.nat-control命令解释命令解释pix7.0版本前默认为nat-control,并且不可以更改并且不可以更改nat-control。

可以类似路由器一样，直接走路由；如果启用no nat-controlpix7.0版本后默认为no nat-control，那就与pix7.0版本前同。

版本前同。

2.配置动态nat 把内部网段：172.16.25.0/24 转换成为一个外部的地址池转换成为一个外部的地址池200.1.1.1-200.1.1.99 NA T配置命令配置命令ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）（定义地址池）注意：id必须匹配，并且大于1，这里先使用1 检测命令：检测命令：ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置P A T 把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 NA T配置命令配置命令ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 （定义地址）（定义地址）ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用2 4.配置sta c NAT 把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100 NA T配置命令配置命令ASA(config)# sta c (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的，红色的接口和红色的地址对应。

ASA配置指南,~、文档属性 文档历史； 序号 版本号修订日期 修订人 修订内容 1.郑鑫 文档初定 2. ·3.4.<）（, 属性 内容标题 思科ASA 防火墙配置指南文档传播范围发布日期目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)《(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)"(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT（策略NAT） (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)%(二)配置A/A (76)一、文档说明<本文档主要介绍思科ASA防火墙在版本之前与版本之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在以后，但有很多老的设备都在以前，所以本文档通过使用ASA 与这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

）二、基础配置(一)查看系统信息hostnat (inside,outside) staticobject networkhostnat (outside,inside) staticaccess-list inbound extended permit ip host host access-group inbound in interface outside@新命令的outbound和inbound流量动作是一样的：（inside,outside）针对outbound流量是源的转换，针对inbound流量是目的的转换（outside,inside）针对outbound流量是转换目的，针对inbound的是转换源。

思科ASA系列防火墙NAT解析网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP 地址，增加安全性；允许外网主机访问DMZ。

动态NAT和PAT在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下：FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要转换的源地址。

其NAT ID为1。

用于匹配global命令中的NAT ID。

FW(config)# global (outside) 1 61.136.150.10-61.136.150.20指定用于替代源地址的地址池。

其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。

该方式即为动态NAT。

FW(config)# global (dmz) 1 10.0.2.20指定用于替代源地址的唯一地址。

其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址(10.0.2.20)。

该方式即为动态PAT。

收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。

静态NAT在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的IP地址(10.0.2.1)映射(静态转换)为公网地址(如61.136.151.1)，静态转换命令如下：FW (config)# static (dmz,outside) 61.136.151.1 10.0.2.1 netmask255.255.255.255本例中子网掩码为255.255.255.255，表示只转换一个IP地址。

若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，则表示要完成一个子网到另一个子网的静态转换。

NATNAT(Network address translation)网络地址翻译。

在以下一些场景需要使用：1、节省地址（私有IP转公有IP，避免私有IP冲突）2、使相同地址之间互访（总公司和分公司之间）3、外网访问内网的时候保证安全性4、更换ISP时不需要重新编址5、使用单个IP支持负载均衡NAT与代理服务器区别：NAT优点：透明、简单缺点：很多技术不适用NAT（数字签名、组播、动态路由、DNS域的迁移、BOOTP、TALK、NTALK、SNMP、NETFLOW）不支持TCP协议分段。

代理服务器优点：利于管理、杀毒、缓存加速、翻墙。

缺点：使用困难、成本、首次访问很可能延迟很长。

1、NAT的几种地址Inside local 网关内部设备的私有地址Inside global 网关连接外部的公网地址Outside local 外网的主机地址Outside global连接网关公网地址的地址发数据包的流程：①源包的源IP和目的IP分别为[inside local outside global]②发送到网关，先查路由表，如果有路由条目去往此目的IP，并且需要NAT，那么就去做NAT的翻译③按照NAT转换。

源IP和目的IP[inside global outside global]。

然后通过ISP传导目的地。

④如果目的地回包的话，源IP和目的IP是[outside global inside global]发回网关。

⑤收到包的时候先查看是否有NAT的翻译表项。

然后把inside global 翻译成insidelocal。

则源IP目的IP就是[outside global inside local]⑥再查网关是否有此路由。

如果有则需要发到目的地。

Cisco的路由器，出去的时候先查路由表，后查NAT。

回来的时候先转换，再查路由表。

ASA的NAT和路由器的NAT正好相反。

2、静态NAT（一对一转换）在转换的过程中，inside local inside global只能有一个。

实验四 ASA模拟器从内网访问DMZ区服务器配置(ASA模拟器)注意：本实验配置为用模拟器来实现，用来练习防火墙命令的使用，实现的功能和“实验四asa 5505 从内网访问DMZ服务器（真实防火墙）”相同，为了降低操作难度，我们只对ASA防火墙模拟器进行配置，完整的实验请参照“实验四asa 5505 从内网访问DMZ服务器（真实防火墙）”。

一、实验目标在这个实验中朋友你将要完成下列任务：1．用nameif命令给接口命名2．用ip address命令给接口分配IP3．用duplex配置接口的工作模式----双工（半双工）4．配置内部转化地址池（nat）外部转换地址globla二、实验拓扑三、实验过程1. ASA 模拟器基本配置：ciscoasa>ciscoasa> enablePassword:ciscoasa#ciscoasa# configure terminalciscoasa(config)# interface e0/2 *进入e0/2接口的配置模式ciscoasa(config-if)# nameif dmz *把e0/2接口的名称配置为dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给e0/2接口配置IP地址ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/2接口ciscoasa(config-if)# exit *退出e0/2接口的配置模式ciscoasa(config)#ciscoasa(config)# interface e0/0 *进入e0/0接口的配置模式ciscoasa(config-if)# nameif inside *把e0/0接口的名称配置为insideINFO: Security level for "inside" set to 100 by default.*安全级别取值范围为1～100，数字越大安全级别越高，在默认情况下，inside安全级别为100。

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区,Security-Level:0,接RouterF0/0；ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口；ASA防火墙Eth2接口定义为DMZ 区,Security-Level:60,接MailServer;三、实验目的Server能够ping通Router的F0/0；outside能够访问insdie区的WebServer的http端口80和dmz区的MailServer的pop3端口110、smtp端口25.四、详细配置步骤1、端口配置CiscoASAconfiginterfaceethernet0CiscoASAconfignameifousideCiscoASAconfig-ifsecurity-level0CiscoASAconfig-ifipaddressCiscoASAconfig-ifnoshutCiscoASAconfiginterfaceethernet1CiscoASAconfignameifinsideCiscoASAconfig-ifsecurity-level100CiscoASAconfig-ifipaddressCiscoASAconfig-ifnoshutCiscoASAconfiginterfaceethernet2CiscoASAconfignameifdmzCiscoASAconfig-ifsecurity-level50CiscoASAconfig-ifCiscoASAconfig-ifnoshut2、路由配置CiscoASAconfigrouteoutside1默认路由CiscoASAconfigrouteinside1外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASAconfignatinside100CiscoASAconfignatdmz1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASAconfigglobaloutside1interfaceCiscoASAconfigglobaldmz1interface5、定义静态IP映射也称一对一映射CiscoASAconfigstaticinside,outsidetcpnetmaskCiscoASAconfigstaticdmz,outsidetcppop3pop3netmask2:110CiscoASAconfigstaticdmz,outsidetcpsmtpsmtpnetmask6、定义access-listCiscoASAconfigaccess-list101extendedpermitipanyanyCiscoASAconfigaccess-list101extendedpermiticmpanyanyCiscoASAconfigaccess-list102extendedpermittcpanyhosteqCiscoASAconfigaccess-list102extendedpermiticmpanyanyCiscoASAconfigaccess-list103extendedpermittcpanyhosteqpop3CiscoASAconfigaccess-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASAconfigaccess-group101ininterfaceoutsideCiscoASAconfigaccess-group102ininterfaceinsideCiscoASAconfigaccess-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了,无须配置nat/global,也无须配置access-list,就可以直接telnet低权限区域主机;2、只要路由配通了,同时配置了access-list,无须配置nat/global,就可以直接ping通低权限区域主机；3、只要路由配通了,同时配置了nat/global/access-list,此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了,也不能成功访问；2、路由已经配通了,同时必须正确配置了staticIP地址映射及access-list,才能成功访问；3、调通路由是基础,同时只跟static/access-list有关,而跟nat/global毫无关系;。