ASA上的NAT配置及互聯網接入（動態NAT、動態PAT、靜態NAT、靜態PAT以及NAT豁免、使用思科TFTP服務器上傳ASDM模塊）

ASA上的NAT類型

動態NAT

動態PAT

靜態NAT

靜態PAT

 

動態NAT

配置步驟:

1)指定需要進行地址轉換的網段

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

2)定義全局地址池

asa(config)# global (outside/dmz) 1 172.16.1.100-172.16.1.200

使用 show xlate detail命令查看NAT轉換表:

asa# show xlate detail

1 in use. 1 most

Flags: D-DNS, d-dump, I-identity, i-dynamic, n-no random

r- portmap, s-static

NAT from inside: 10.1.1.1 to outside: 172.16.1.100 flags

PC2可以訪問PC4 但是沒有進行地址轉化

動態PAT

配置命令:

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

asa(config)# global (outside) 1 172.16.1.200

直接使用outside接口的IP地址進行轉換的配置命令:

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

asa(config)# global (outside) 1 interface

使用show xlate detail命令查看xlatet表:

asa# show xlate detail

1 in use, 1 most used

Flags: D - DNS, d- dump, I identity,t-dynamic, n - no random,

r portmap, s - static

TCP PAT from inside:10.1.1.112989 to outside:172.16.1.2001024 flags ri

 

靜態NAT

PC3默認可以訪問PC4，而PC4要訪問PC3，需要配置ACL:

asa(config)# access-list out_to_dmz permit ip host 172.16.1.1host 192.168.1.1

asa(config)# access-group out to_ dmz in int outside

PC3和PC4之間互相訪問都是使用自身的IP地址

 

配置靜態NAT，將192.168.1.1/24映射爲172.16.1.201/24 ，可以隱藏PC3的IP地址

靜態NAT創建了一個從真實地址到映射地址的一對一的固定轉換，可用於雙向通信

靜態NAT的命令語法:

asa(config)# static (local if name,global if name) global-iplocal-ip [netmask mask]

配置靜態NAT:

asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1

配置ACL

asa ( config ) #access-list out to dmz permit ip host 172.16.1.1 host 172.16.1.201

asa ( config ) # access-group out to dmz in int outside

 

靜態PAT

SMTP端口25  收郵件POP3 110 或者IMAP 143

配置靜態PAT和ACL的命令:

asa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http

asa(config)# static (dmz,outside) tcp 172.16.1.201 smtp 192.168.1.2 smtp

asa(config)# access-list out to_ dmz permit ip host 172.16.1.1 host 172.16.1.201

asa(config)# access-group out to_ dmz in int outside

 

NAT控制

ASA從7.0版本開始提供了一個NAT控制的開關，即nat-control命令

默認是禁用NAT控制(no nat-control)

在禁用NAT控制和啓用NAT控制時的特性是不同的

 

禁用NAT控制

 

出站( outbound)連接

如果NAT規則只允許網段10.1.1.0/24進行地址轉換,則允許PC1出站連接並且進行地址轉換

主機PC2發起的連接不匹配NAT規則,但是允許PC2的出站連接,只是不進行地址轉換

 

入站( inbound)連接:

如果ASA配置了靜態NAT或靜態PAT(當然要配置ACL),則主機PC4可以訪問PC3並且進行地址轉換

 

在禁用NAT控制時  NAT規則並不是必需的

 

啓用NAT控制

出站( outbound)連接

如果NAT規則只允許網段10.1.1.0/24進行地址轉換,則允許PC1出站連接並且進行地址轉換

主機PC2發起的連接不匹配NAT規則,所以就禁止PC2的出站連接

 

入站( inbound)連接:

如果ASA配置了靜態NAT或靜態PAT(當然要配置ACL),則主機PC4可以訪問PC3並且進行地址轉換

如果ASA沒有配置靜態NAT或靜態PAT，則主機PC4就不能訪問PC3

 

在啓用NAT控制時，NAT規則是必需的

 

NAT豁免

NAT豁免的應用背景

當啓用NAT控制時，每個發起的連接都需要一個相應的NAT規則

在某些應用場合(例如配置VPN)需要繞過NAT規則

NAT豁免允許雙向通信

NAT豁免的配置步驟

定義一個ACL，用於指定需要繞過NAT規則的流量

配置NAT命令

asa(config)# nat (interface_name) 0 access-list acl_name

1. 啓用NAT控制併爲網段10.1.1.0/24配置動態NAT

asa(config)# nat-control

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

asa(config)# global (outside) 1 172.16.1.100-172.16.1.200

2. 爲網段10.2.2.0/24配置NAT豁免

asa(config)# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0

asa(config)# nat (inside) 0 access-list nonat

實現目的:網段10.2.2.0/24中的主機可以訪問網段172.16.1.0/24中的主機，而且不做NAT轉換

 

遠程管理ASA

配置ASA的幾種方式

Console線管理

network遠程管理：telnet、SSH、ASDM

級別15就是管理員級別 cicso把權限分成了0-15  默認爲一級別

 

實驗拓撲

 

R1

 

R2

 

R3

 

R4

 

ASA 開啓

 

報錯 重啓

 

再次執行 成功

配置ASA

 

配置外網主機WindowsXP的IP 關閉防火牆

配置Windows10的IP

 

測試連通性

PC1 ping PC4 成功

 

PC1 ping 外網主機成功

 

PC2 也能ping通兩個主機

 

上傳ASDM模塊

VMware1的區域能訪問防火牆

 

打開Cisco TFTP Server軟件

 

檢查是否上傳成功

 

下載命令

 

配置權限爲管理員

 

在外網主機上安裝J2SE

 

安裝完成後控制面板會出現java

 

配置Java

 

在瀏覽器上輸入https://202.100.10.1下載asdm

 

用戶名爲admin 密碼爲123.com

下載

 

版本不支持 找不到更低的版本了

 

NAT配置

動態NAT配置

 

測試 查看NAT轉換表

 

不是指定網段不匹配

 

啓用NAT控制 動態PAT