关键词:
实验要求:
分别划分inside(内网),outside(外网),dmz(服务器区)三个区
配置PAT,直接使用outside接口的ip地址进行转换
配置静态NAT,发布内网服务器
启用NAT控制,配置NAT豁免,内网访问dmz区中的主机时,不做NAT转换
R1配置:
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#host outsite
outsite(config)#int f0/0
outsite(config-if)#ip add 12.0.0.2 255.255.255.0
outsite(config-if)#no shut
outsite(config-if)#int f0
00:21:15: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
00:21:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
outsite(config-if)#int f0/1
outsite(config-if)#ip add 13.0.0.1 255.255.255.0
outsite(config-if)#no shut
outsite(config-if)#
00:21:33: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
00:21:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
outsite(config-if)#exit
outsite(config)#ip route 0.0.0.0 0.0.0.0 f0/0
outsite(config)#end
ASA配置:
ciscoasa# conf t
ciscoasa(config)# hostname asa
asa(config)# int e0/0
asa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
asa(config-if)# ip add 192.168.1.1 255.255.255.0
asa(config-if)# no shut
asa(config-if)# int e0/2
asa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
asa(config-if)# ip add 12.0.0.1 255.255.255.0
asa(config-if)# no shut
asa(config-if)# int e0/1
asa(config-if)# ip add 192.168.10.1 255.255.255.0
asa(config-if)# no shut
asa(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
asa(config-if)# sec
asa(config-if)# security-level 50
asa(config-if)# no shut
asa(config-if)# exit
asa(config)# route outside 0 0 12.0.0.2
ciscoasa# conf t
ciscoasa(config)# nat-control
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# gl
ciscoasa(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
ciscoasa(config)# end
ciscoasa# show xlate
0 in use, 1 most used
ciscoasa# show xlate
1 in use, 1 most used
PAT Global 12.0.0.1(1) Local 192.168.1.2 ICMP id 1
很明显的看出来已经把内网地址转换成外网地址,从而可以让内网用户上网了
Ping不通是因为防火墙的原因,这里需要些acl放行
ciscoasa(config)# access-list 111 permit icmp any any
ciscoasa(config)# acc
ciscoasa(config)# access-g
ciscoasa(config)# access-group 111 in int
ciscoasa(config)# access-group 111 in interface outside
ciscoasa(config)# access-list nonat permit ip host 192.168.1.2 host 192.168.10.10 //豁免nat,也就是说从内网访问到dmz区域的流量不走nat,直接走内网。
ciscoasa(config)# nat (inside) 0 access-list nonat
再次测试就ok了
因为默认高到低是可以通的,所以内网访问dmz区无需配置,测试如下:
静态NAT(发布DMZ区的服务器)一对一的固定转换:
ciscoasa(config)# static (dmz,outside) 12.0.0.3 192.168.10.10
ciscoasa(config)# access-list out_to_dmz permit tcp any host 12.0.0.3 eq www
ciscoasa(config)# access-group out_to_dmz in int outside
ciscoasa(config)# exit
外网验证如下:
本文出自 “快乐学习” 博客,请务必保留此出处http://983865387.blog.51cto.com/9838888/1858570
华为防火墙综合实验
华为防火墙综合实验设计需求:1:局域网需求(1)vlan的设计vlan10,教务部,网络地址为172.16.10.0/24vlan20,后勤部,网络地址为172.16.20.0/24vlan15,财务部,网络地址为172.16.15.0/24(2)资源访问要求教务部和后勤部可以上网,并且... 查看详情
第十七期asa防火墙基本配置
实验目的:1.DMZ发布Web服务器,Client2可以访问Server3使用命令showconndetail查看Conn表查看ASA和AR【R1】的路由表配置ACL禁止Client3访问Sever2实验步骤:配置ASA及路由器:R1:配置IP地址:interfaceGigabitEthernet0/0/0ipaddress192.168.1.1255.255.255.0int... 查看详情
asa防火墙实验
outside上开个环回口:lo01.1.1.1 inside上开个环回口:lo02.2.2.2允许2.2.2.2-->1.1.1.1能ping、telnet ASA配置:routeOutside1.1.1.1255.255.255.255202.100.1.11routeInside2.2.2.2255.255.255.25510.1.1.11access- 查看详情
cisco防火墙nat实验如何检验
参考技术A如果你可以上网,你直接登录一个显示natip的网站,如:ip138.com如果你外部是台pc,直接外部cmd(windows系统)输入:netstat-a,可以看到所有链接。如果你用命令行看,用Showxlate查看地址转换信息。当然,前提你要用内部... 查看详情
思科asa5505防火墙放行流量实验
...和UDP流量维护状态化信息。所有Telnet流量可以出去再穿越防火墙回来,ICMP的流量出去就回不来了。具体配置1、ASA(5505的网络区域基于 查看详情
企业防火墙的基础配置
网络运维ASA基本配置实验报告姓名:王飛班级:NTD1711日期:2018年1月30日实验任务:实验拓补图:实验需求:DMZ发布Web服务器,Client3可以访问Server2使用命令showconndetail查看Conn表表分别查看ASA和AR的的路由表配置ACL禁止Client2访问Se... 查看详情
asa防火墙配置nat(代码片段)
在ASA防火墙配置NAT分为4种类型:动态NAT、动态PAT、静态NAT、静态PAT。结合实验拓补来了解如何配置这四种NAT类型:基本配置已经配置完成动态PAT转换配置方法:ASA(config)#nat(inside)110.1.1.0255.255.255.0#声明内部地址,nat-id为1ASA(config)#... 查看详情
asa防火墙的应用
实验名称:防火墙的应用实验拓步图: 3.实验目的:1. client2可以访问server3 2.使用命令showco 查看详情
asa基本配置实验报告
网络运维ASA基本配置实验报告姓名:李军班级:NTD1710日期:2017年12月29日实验任务验证R1可以telnet到R2和R3,R3可以telnet到R2但不能telnet到R1,R2不能telnet到R1和R3思路及实验步骤将RR的端口额IP设置正确并开启路由功能EnableConfiguretermina... 查看详情
思科asa5520防火墙如何配置能正常上网?
CiscoPIX/ASA7.x防火墙透明模式下的配置ciscoPIX/ASA防火墙7.0以上版本支持透明配置。在进行透明配置之前需要下载CISCOPIX7.0以上版本并升级IOS.其升级过程比较简单.在透明模式下,防火墙只能使用两个端口,也就是不能配置DMZ区.在透明... 查看详情
防火墙技术综合实验
一、实验目的:本次实验是将多种访问控制列表以及防火墙部分的知识做一个汇总二、实验内容A:Established控制列表拓扑图配置步骤 1:配置各端口ip地址,配置登陆密码2:测试连通性 服务器远程登陆R2 Pc0ping服务器 ... 查看详情
防火墙技术综合实验
...有两种) 自反ACL、基于上下文的访问控制和区域策略防火墙的地址规划设备名称接口地址网关PC-AF1/0192.41.1.3/24192.41.1.1PC-CF1/0192.41.3.3/24192.41.3.3R1F1/0192.41.1.1/24 S0/010.41.1.1/30R 查看详情
cisco—asa的基本思路和应用(代码片段)
ASA-防火墙-ciscoASA防火墙的作用1、在网络中隔离危险流量,不分地点。ASA防火墙的原理1、通过安全级别区分不同的区域:内部区域、外部区域、非军事化区域。默认情况下:高级别的流量可以去低级别的,低级别的流量不可以去... 查看详情
防火墙(asa)的基本配置与远程管理
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分。这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式硬件与软件防火... 查看详情
求大神指点----asa配置acl规则
...看ASA和AR的路由表4、配置ACL禁止Client3访问Server25、状态化防火墙的原理是什么?6、ASA上不同安全级别的接口之间互相访问时,遵从的默认规则是什么?7、在ASA上配置ACL的作用是什么?实验步骤:一、首先,为Port0、Port1 查看详情
防火墙nat综合实验——nat控制,豁免,远程,dmz区域(带命令)
作者简介:一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。 座右铭:低头赶路,敬事如仪个人主页:网络豆的主页目录前言一.实验实验要求实验命令前言本章将会进... 查看详情
asa防火墙
ASA防火墙实验(一) 650)this.width=650;"height="478"src="https://b137.photo.store.qq.com/psb?/dd6cf90d-9cf5-423f-a387-c4b5be2610ea/LBZ4j*otKx23nuREgoYZqC47Mh2cMknyHTcaLy7gbbc!/b/dCg5qlHyJgAA&ek=1& 查看详情
asa防火墙
ASA防火墙实验(一) 650)this.width=650;"height="478"src="https://b137.photo.store.qq.com/psb?/dd6cf90d-9cf5-423f-a387-c4b5be2610ea/LBZ4j*otKx23nuREgoYZqC47Mh2cMknyHTcaLy7gbbc!/b/dCg5qlHyJgAA&ek=1& 查看详情