ASA上的NAT類型
動態NAT
動態PAT
靜態NAT
靜態PAT
動態NAT
配置步驟:
1)指定需要進行地址轉換的網段
asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
2)定義全局地址池
asa(config)# global (outside/dmz) 1 172.16.1.100-172.16.1.200
使用 show xlate detail命令查看NAT轉換表:
asa# show xlate detail
1 in use. 1 most
Flags: D-DNS, d-dump, I-identity, i-dynamic, n-no random
r- portmap, s-static
NAT from inside: 10.1.1.1 to outside: 172.16.1.100 flags
PC2可以訪問PC4 但是沒有進行地址轉化
動態PAT
配置命令:
asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
asa(config)# global (outside) 1 172.16.1.200
直接使用outside接口的IP地址進行轉換的配置命令:
asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
asa(config)# global (outside) 1 interface
使用show xlate detail命令查看xlatet表:
asa# show xlate detail
1 in use, 1 most used
Flags: D - DNS, d- dump, I identity,t-dynamic, n - no random,
r portmap, s - static
TCP PAT from inside:10.1.1.112989 to outside:172.16.1.2001024 flags ri
靜態NAT
PC3默認可以訪問PC4,而PC4要訪問PC3,需要配置ACL:
asa(config)# access-list out_to_dmz permit ip host 172.16.1.1host 192.168.1.1
asa(config)# access-group out to_ dmz in int outside
PC3和PC4之間互相訪問都是使用自身的IP地址
配置靜態NAT,將192.168.1.1/24映射爲172.16.1.201/24 ,可以隱藏PC3的IP地址
靜態NAT創建了一個從真實地址到映射地址的一對一的固定轉換,可用於雙向通信
靜態NAT的命令語法:
asa(config)# static (local if name,global if name) global-iplocal-ip [netmask mask]
配置靜態NAT:
asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1
配置ACL
asa ( config ) #access-list out to dmz permit ip host 172.16.1.1 host 172.16.1.201
asa ( config ) # access-group out to dmz in int outside
靜態PAT
SMTP端口25 收郵件POP3 110 或者IMAP 143
配置靜態PAT和ACL的命令:
asa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
asa(config)# static (dmz,outside) tcp 172.16.1.201 smtp 192.168.1.2 smtp
asa(config)# access-list out to_ dmz permit ip host 172.16.1.1 host 172.16.1.201
asa(config)# access-group out to_ dmz in int outside
NAT控制
ASA從7.0版本開始提供了一個NAT控制的開關,即nat-control命令
默認是禁用NAT控制(no nat-control)
在禁用NAT控制和啓用NAT控制時的特性是不同的
禁用NAT控制
出站( outbound)連接
如果NAT規則只允許網段10.1.1.0/24進行地址轉換,則允許PC1出站連接並且進行地址轉換
主機PC2發起的連接不匹配NAT規則,但是允許PC2的出站連接,只是不進行地址轉換
入站( inbound)連接:
如果ASA配置了靜態NAT或靜態PAT(當然要配置ACL),則主機PC4可以訪問PC3並且進行地址轉換
在禁用NAT控制時 NAT規則並不是必需的
啓用NAT控制
出站( outbound)連接
如果NAT規則只允許網段10.1.1.0/24進行地址轉換,則允許PC1出站連接並且進行地址轉換
主機PC2發起的連接不匹配NAT規則,所以就禁止PC2的出站連接
入站( inbound)連接:
如果ASA配置了靜態NAT或靜態PAT(當然要配置ACL),則主機PC4可以訪問PC3並且進行地址轉換
如果ASA沒有配置靜態NAT或靜態PAT,則主機PC4就不能訪問PC3
在啓用NAT控制時,NAT規則是必需的
NAT豁免
NAT豁免的應用背景
當啓用NAT控制時,每個發起的連接都需要一個相應的NAT規則
在某些應用場合(例如配置VPN)需要繞過NAT規則
NAT豁免允許雙向通信
NAT豁免的配置步驟
定義一個ACL,用於指定需要繞過NAT規則的流量
配置NAT命令
asa(config)# nat (interface_name) 0 access-list acl_name
1. 啓用NAT控制併爲網段10.1.1.0/24配置動態NAT
asa(config)# nat-control
asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
asa(config)# global (outside) 1 172.16.1.100-172.16.1.200
2. 爲網段10.2.2.0/24配置NAT豁免
asa(config)# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0
asa(config)# nat (inside) 0 access-list nonat
實現目的:網段10.2.2.0/24中的主機可以訪問網段172.16.1.0/24中的主機,而且不做NAT轉換
遠程管理ASA
配置ASA的幾種方式
Console線管理
network遠程管理:telnet、SSH、ASDM
級別15就是管理員級別 cicso把權限分成了0-15 默認爲一級別
實驗拓撲
R1
R2
R3
R4
ASA 開啓
報錯 重啓
再次執行 成功
配置ASA
配置外網主機WindowsXP的IP 關閉防火牆
配置Windows10的IP
測試連通性
PC1 ping PC4 成功
PC1 ping 外網主機成功
PC2 也能ping通兩個主機
上傳ASDM模塊
VMware1的區域能訪問防火牆
打開Cisco TFTP Server軟件
檢查是否上傳成功
下載命令
配置權限爲管理員
在外網主機上安裝J2SE
安裝完成後控制面板會出現java
配置Java
在瀏覽器上輸入https://202.100.10.1下載asdm
用戶名爲admin 密碼爲123.com
下載
版本不支持 找不到更低的版本了
NAT配置
動態NAT配置
測試 查看NAT轉換表
不是指定網段不匹配
啓用NAT控制 動態PAT