asa防火墻基本上網(wǎng)綜合實(shí)驗(yàn)

實(shí)驗(yàn)要求：

10年積累的網(wǎng)站制作、做網(wǎng)站經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有鎮(zhèn)寧免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

分別劃分inside（內(nèi)網(wǎng)），outside（外網(wǎng)），dmz（服務(wù)器區(qū)）三個(gè)區(qū)

配置PAT，直接使用outside接口的ip地址進(jìn)行轉(zhuǎn)換

配置靜態(tài)NAT，發(fā)布內(nèi)網(wǎng)服務(wù)器

啟用NAT控制，配置NAT豁免，內(nèi)網(wǎng)訪問(wèn)dmz區(qū)中的主機(jī)時(shí)，不做NAT轉(zhuǎn)換

R1配置：

R1#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#host outsite

outsite(config)#int f0/0

outsite(config-if)#ip add 12.0.0.2 255.255.255.0

outsite(config-if)#no shut

outsite(config-if)#int f0

00:21:15: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

00:21:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

outsite(config-if)#int f0/1

outsite(config-if)#ip add 13.0.0.1 255.255.255.0

outsite(config-if)#no shut

outsite(config-if)#

00:21:33: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

00:21:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

outsite(config-if)#exit

outsite(config)#ip route 0.0.0.0 0.0.0.0 f0/0

outsite(config)#end

 

 

ASA配置：

ciscoasa# conf t

ciscoasa(config)# hostname asa

asa(config)# int e0/0

asa(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

asa(config-if)# ip add 192.168.1.1 255.255.255.0

asa(config-if)# no shut

asa(config-if)# int e0/2

asa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

asa(config-if)# ip add 12.0.0.1 255.255.255.0

asa(config-if)# no shut

asa(config-if)# int e0/1

asa(config-if)# ip add 192.168.10.1 255.255.255.0

asa(config-if)# no shut

asa(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

asa(config-if)# sec

asa(config-if)# security-level 50

asa(config-if)# no shut

asa(config-if)# exit

 

asa(config)# route outside 0 0 12.0.0.2

ciscoasa# conf t

ciscoasa(config)# nat-control

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0

ciscoasa(config)# gl

ciscoasa(config)# global (outside) 1 interface

INFO: outside interface address added to PAT pool

ciscoasa(config)# end

ciscoasa# show xlate

0 in use, 1 most used

ciscoasa# show xlate

1 in use, 1 most used

PAT Global 12.0.0.1(1) Local 192.168.1.2 ICMP id 1

很明顯的看出來(lái)已經(jīng)把內(nèi)網(wǎng)地址轉(zhuǎn)換成外網(wǎng)地址，從而可以讓內(nèi)網(wǎng)用戶上網(wǎng)了

 

Ping不通是因?yàn)榉阑饓Φ脑颍@里需要些acl放行

ciscoasa(config)# access-list 111 permit icmp any any

ciscoasa(config)# acc

ciscoasa(config)# access-g

ciscoasa(config)# access-group 111 in int

ciscoasa(config)# access-group 111 in interface outside

ciscoasa(config)# access-list nonat permit ip host 192.168.1.2 host 192.168.10.10  //豁免nat，也就是說(shuō)從內(nèi)網(wǎng)訪問(wèn)到dmz區(qū)域的流量不走nat，直接走內(nèi)網(wǎng)。

ciscoasa(config)# nat (inside) 0 access-list nonat

 

 

再次測(cè)試就ok了

因?yàn)槟J(rèn)高到低是可以通的，所以內(nèi)網(wǎng)訪問(wèn)dmz區(qū)無(wú)需配置，測(cè)試如下：

靜態(tài)NAT（發(fā)布DMZ區(qū)的服務(wù)器）一對(duì)一的固定轉(zhuǎn)換：

ciscoasa(config)#  static (dmz,outside) 12.0.0.3 192.168.10.10

ciscoasa(config)# access-list out_to_dmz permit tcp any host 12.0.0.3 eq www

ciscoasa(config)# access-group out_to_dmz in int outside

ciscoasa(config)# exit

外網(wǎng)驗(yàn)證如下：

當(dāng)前文章：asa防火墻基本上網(wǎng)綜合實(shí)驗(yàn)
當(dāng)前路徑：http://muchs.cn/article38/pihcsp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、標(biāo)簽優(yōu)化、企業(yè)網(wǎng)站制作、網(wǎng)站改版、企業(yè)建站、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)