实验10 思科ASA防火墙的NAT配置
一、实验目标
1、掌握思科ASA防火墙的NAT规则的基本原理;
2、掌握常见的思科ASA防火墙的NAT规则的配置方法。
二、实验拓扑
根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。
三、实验配置
1、路由器基本网络配置,配置IP地址和默认网关
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip default-gateway 192.168.2.254 //配置默认网关
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit
R1#write
R2#conf t
R2(config)#int f0/0
R2(config-if)#ip address 202.1.1.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#ip default-gateway 202.1.1.254
R2(config)#exit
R2#write
Server#conf t
Server(config)#no ip routing //用路由器模拟服务器,关闭路由功能Server(config)#int f0/0
Server(config-if)#ip address 192.168.1.1 255.255.255.0
Server(config-if)#no shutdown
Server(config-if)#exit
Server(config)#ip default-gateway 192.168.1.254
Server(config)#exit
Server#write
*说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。
2、防火墙基本配置,配置端口IP地址和定义区域
ciscoasa# conf t
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# int g1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# int g2
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
3、防火墙NAT规则配置
*说明:思科ASA 8.3 版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。
*可以通过show version命令来查看防火墙当前的版本。
(1)配置协议类型放行
//状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。
ciscoasa(config)# fixup protocol icmp
(2)配置动态NAT规则
8.3 版本后推出了两个概念:一个是network object,代表一个主机
或者子网的访问;另外一个是service object,代表服务。先定义两个object,一个用于代表转换前的地址范围,一个是转化后的地址范围,最后
在转换前的object 进行调用转化后的object。
●旧版本配置:
●新版本配置:
ciscoasa(config)# object network inside
ciscoasa(config-network-object)# subnet 192.168.2.0 255.255.255.0 ciscoasa(config-network-object)# exit
ciscoasa(config)# object network outside-pool
ciscoasa(config-network-object)# range 202.1.1.10 202.1.1.15 ciscoasa(config-network-object)# exit
ciscoasa(config)# object network inside
ciscoasa(config-network-object)# nat (inside,outside) dynamic
outside-pool
ciscoasa(config-network-object)# exit
(3)定义DMZ区的object
ciscoasa(config)# object network obj
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0 ciscoasa(config-network-object)# exit
(4)配置NAT豁免
NAT豁免即决定哪些流量不进行NAT转换,no-proxy-arp表示关闭ARP
代理功能。
●旧版本配置:
●新版本配置:
ciscoasa(config)# nat (inside,dmz) source static inside inside
destination static obj obj no-proxy-arp
(5)配置静态NAT
●旧版本配置:
●新版本配置:
ciscoasa(config)# object network dmz
ciscoasa(config-network-object)# host 192.168.1.1
ciscoasa(config-network-object)# nat (dmz,outside) static 202.1.1.20 ciscoasa(config-network-object)# exit
//用ACL实现允许外网访问DMZ区的服务器
ciscoasa(config)# access-list outside-to-dmz permit ip host
202.1.1.1 host 192.168.1.1
ciscoasa(config)# access-group outside-to-dmz in interface outside ciscoasa(config)# exit
ciscoasa# write
四、实验验证
1、查看NAT转换规则。
●命令:show run nat
2、ping测试。
●R1 ping 202.1.1.1、192.168.1.1,均可ping通。
●R2 ping 202.1.1.20可通,但ping 不通192.168.2.1和192.168.1.1。
●Server ping 202.1.1.1可通,但ping 不通192.168.2.1。
3、查看NAT转换情况。
●使用show xlate命令显示转换槽内容。
●使用show nat detail命令显示NAT详细转换内容。