下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
实验10思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理;2、掌握常见的思科ASA防火墙的NAT规则的配置方法。二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则,使得inside区能单向访问DMZ区和outside区,DMZ区和outside区能够互访。三、实验配置1、路由器基本网络配置,配置IP地址和默认网关R1#conftR1(config)#intf0/0R1(config-if)#noshutdownR1(config-if)#exit//配置默认网关//添加默认路由R1(config)#exitR1#writeR2#conftR2(config)#intf0/0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#exitR2#writeServer#conftServer(config)#noiprouting//用路由器模拟服务器,关闭路由功能Server(config)#intf0/0Server(config-if)#noshutdownServer(config-if)#exitServer(config)#exitServer#write*说明:实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由,但在本实验中Server和R2不配置不影响实验效果。2、防火墙基本配置,配置端口IP地址和定义区域ciscoasa#conftciscoasa(config)#intg0ciscoasa(config-if)#nameifinsideciscoasa(config-if)#noshutdownciscoasa(config-if)#exitciscoasa(config)#intg1ciscoasa(config-if)#nameifdmzciscoasa(config-if)#security-level50ciscoasa(config-if)#noshutdownciscoasa(config-if)#exitciscoasa(config)#intg2ciscoasa(config-if)#nameifoutsideciscoasa(config-if)#noshutdownciscoasa(config-if)#exit3、防火墙NAT规则配置*说明:思科ASA8.3版本以后,NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较,便于读者的理解和运用。*可以通过showversion命令来查看防火墙当前的版本。(1)配置协议类型放行//状态化icmp流量,让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。ciscoasa(config)#fixupprotocolicmp(2)配置动态NAT规则8.3版本后推出了两个概念:一个是networkobject,代表一个主机或者子网的访问;另外一个是serviceobject,代表服务。先定义两个object,一个用于代表转换前的地址范围,一个是转化后的地址范围,最后在转换前的object进行调用转化后的object。●旧版本配置:●新版本配置:ciscoasa(config)#objectnetworkinsideciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkoutside-poolciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkinsideciscoasa(config-network-object)#nat(inside,outside)dynamicoutside-poolciscoasa(config-network-object)#exit(3)定义DMZ区的objectciscoasa(config)#objectnetworkobjciscoasa(config-network-object)#exit(4)配置NAT豁免NAT豁免即决定哪些流量不进行NAT转换,no-proxy-arp表示关闭ARP代理功能。●旧版本配置:●新版本配置:ciscoasa(config)#nat(inside,dmz)sourcestaticinsideinsidedestinationstaticobjobjno-proxy-arp(5)配置静态NAT●旧版本配置:●新版本配置:ciscoasa(config)#objectnetworkdmzciscoasa(config-network-object)#exit//用ACL实现允许外网访问DMZ区的服务器ciscoasa(config)#access-listoutside-to-dmzpermitiphostciscoasa(config)#access-groupoutside-to-dmzininterfaceoutsideciscoasa(config)#exitciscoasa#write四、实验验证1、查看NAT转换规则。●命令:showrunnat2、ping测试。●R1、,均可ping通。●R2ping202.1.1.20可通,但ping
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 意略明京东健康2024布局黄金赛道击破核心靶点-从多维视角出发的偏头痛行业机会洞察报告
- 中考语文一轮复习:议论文知识清单及训练
- 市政工程技术专业毕业论文08486
- 洛阳2024年统编版小学5年级英语第3单元真题
- 生活现象之热现象(二)-2023年中考物理重难点题型专项突破
- 2023年磨边轮资金筹措计划书
- 强化和改进思想政治-2019年范文
- 2024年AG13电喷汽车发动机项目资金需求报告代可行性研究报告
- 2024年航空地面试验设备项目投资申请报告代可行性研究报告
- 【苏科】期末模拟卷01【第1-5章】
- 2023年6月四级听力第一套真题及听力原文
- GB/T 40016-2021基础零部件通用元数据
- 千年菩提路解说词
- 煤矿隐蔽致灾因素普查课件
- 国开电大 Matlab语言及其应用 实验任务Simulink系统 建模与仿真实验报告
- 《金融学(第三版)》第12章 现代货币的创造机制
- 2023届高考作文模拟写作-“引体向上”与“低姿匍匐”课件
- 呼出气一氧化氮测定-课件
- 主动脉球囊反搏术IABP
- SHSG0522023年石油化工装置工艺设计包(成套技术)内容规定
- LNG项目试生产(使用)方案备案材料
评论
0/150
提交评论