实验10 思科ASA防火墙的NAT配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验10 思科ASA防火墙的NAT配置
一、实验目标
1、掌握思科ASA防火墙的NAT规则的基本原理;
2、掌握常见的思科ASA防火墙的NAT规则的配置方法。
二、实验拓扑
根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。
三、实验配置
1、路由器基本网络配置,配置IP地址和默认网关
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip default-gateway 192.168.2.254 //配置默认网关
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit
R1#write
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip address 202.1.1.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#ip default-gateway 202.1.1.254
R2(config)#exit
R2#write
Server#conf t
Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0
Server(config-if)#ip address 192.168.1.1 255.255.255.0
Server(config-if)#no shutdown
Server(config-if)#exit
Server(config)#ip default-gateway 192.168.1.254
Server(config)#exit
Server#write
*说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。
2、防火墙基本配置,配置端口IP地址和定义区域
ciscoasa# conf t
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# int g1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# int g2
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
3、防火墙NAT规则配置
*说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。
*可以通过show version命令来查看防火墙当前的版本。
(1)配置协议类型放行
//状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。
ciscoasa(config)# fixup protocol icmp
(2)配置动态NAT规则
8.3 版本后推出了两个概念:一个是network object,代表一个主机
或者子网的访问;另外一个是service object,代表服务。先定义两个object,一个用于代表转换前的地址范围,一个是转化后的地址范围,最后
在转换前的object 进行调用转化后的object。
●旧版本配置:
●新版本配置:
ciscoasa(config)# object network inside
ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0 ciscoasa(config-network-object)# exit
ciscoasa(config)# object network outside-pool
ciscoasa(config-network-object)# range 202.1.1.10 202.1.1.15 ciscoasa(config-network-object)# exit
ciscoasa(config)# object network inside
ciscoasa(config-network-object)# nat (inside,outside) dynamic
outside-pool
ciscoasa(config-network-object)# exit
(3)定义DMZ区的object
ciscoasa(config)# object network obj
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 ciscoasa(config-network-object)# exit
(4)配置NAT豁免
NAT豁免即决定哪些流量不进行NAT转换,no-proxy-arp表示关闭ARP
代理功能。
●旧版本配置:
●新版本配置:
ciscoasa(config)# nat (inside,dmz) source static inside inside
destination static obj obj no-proxy-arp
(5)配置静态NAT
●旧版本配置:
●新版本配置:
ciscoasa(config)# object network dmz
ciscoasa(config-network-object)# host 192.168.1.1
ciscoasa(config-network-object)# nat (dmz,outside) static 202.1.1.20 ciscoasa(config-network-object)# exit