20-思科防火墙:Network Static NAT:网络静态NAT

一、实验拓扑:

二、实验要求:
本质:将一个连续的网络转换到另一个连续的网络。
1、配置Network static NAT,转换Inside网络10.1.1.0/28到DMZ区域的网络地址10.1.2.0/28;这是网段转换为另一个网段;
2、配置Network static NAT,转换DMZ网络10.1.2.200-10.1.2.210到Outside区域的网络地址202.100.1.200-202.100.1.210;
这是一个范围转换为另一个范围,转换前和转换后不一定能对应上:比如转换前可能为:10.1.2.200,转换后可能为202.100.1.203,但是不影响正常通信;

三、命令部署:
实验一:网段转换
1、清除上个实验的Object配置,并查看验证:
ASA(config)# clear configure object
ASA(config)# show run object
ASA(config)# show run nat

2、将原来的10.1.1.0/24改为10.1.1.0/28
R2(config)#int f0/0
R2(config-if)#ip add 10.1.1.2 255.255.255.240

3、配置Network static NAT,转换Inside网络10.1.1.0/28到DMZ区域的网络地址10.1.2.0/28
ASA(config)# object network in-dmz
ASA(config-network-object)# subnet 10.1.2.0 255.255.255.240

ASA(config)# object network in-yuan
ASA(config-network-object)# subnet 10.1.1.0 255.255.255.240
ASA(config-network-object)# nat (inside,dmz) static in-dmz
验证:
R2#telnet 10.1.2.3
Trying 10.1.2.3 ... Open
User Access Verification
Username: cc
Password:
R3>

ASA# show xlate
1 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.0/28 to dmz:10.1.2.0/28
flags s idle 0:01:05 timeout 0:00:00

R3#show users
Line User Host(s) Idle Location

  • 0 con 0 idle 00:00:00
    130 vty 0 cc idle 00:00:31 10.1.2.2

清除掉刚刚的连接:包括xlate和arp
ASA# clear xlate
INFO: 0 xlate deleted
ASA# clear arp inside

4、R2更改IP地址为10.1.1.3/28
R2(config)#int f0/0
R2(config-if)#ip add 10.1.1.3 255.255.255.240
验证:
R2#telnet 10.1.2.3
Trying 10.1.2.3 ...
% Connection timed out; remote host not responding
结论:老师的不行,我的也不行,各种清xlate、arp都不行,怪事。

实验二:范围转换
1、清除上个实验的Object配置,并查看验证:
ASA(config)# clear configure object
ASA(config)# show run object
ASA(config)# show run nat

2、配置Network static NAT,转换DMZ网络10.1.2.200-10.1.2.210到Outside区域的网络地址202.100.1.200-202.100.1.210
ASA(config)# object network out-pool
ASA(config-network-object)# range 202.100.1.200 202.100.1.210

ASA(config)# object network dmz-yuan
ASA(config-network-object)# range 10.1.2.200 10.1.2.210
ASA(config-network-object)# nat (dmz,outside) static out-pool

3、修改R3地址为10.1.2.200
R3(config)#int f0/0
R3(config-if)#ip add 10.1.2.200 255.255.255.0

验证:
有时候地址可以对的上有时候对不上,多更改R3地址看是否能对的上:
第一次:对上了
R3#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>

R1#show users
Line User Host(s) Idle Location
66 vty 0 aa idle 00:00:21 202.100.1.200
第二次:也对上了
R3(config)#int f0/0
R3(config-if)#ip add 10.1.2.205 255.255.255.0

R3#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>

R1#show users
Line User Host(s) Idle Location
66 vty 0 aa idle 00:00:29 202.100.1.205

第三次:又对上了
R3(config)#int f0/0
R3(config-if)#ip add 10.1.2.209 255.255.255.0

R1#show users
Line User Host(s) Idle Location
66 vty 0 aa idle 00:00:02 202.100.1.209
ASA模拟器有点小问题,效果不能全部出来!!

原文地址:http://blog.51cto.com/13856092/2138607

时间: 2024-11-02 13:54:13

20-思科防火墙:Network Static NAT:网络静态NAT的相关文章

大型企业网络构建之动态NAT、静态NAT和华为NAT

动态NAT.静态NAT和华为NAT一.NAT概述1.(network address translation )网络地址转换.2.NAT的工作过程:NAT设备收到内网的数据包以后,1.首先查看本地是否有去往数据包目地地址的路由:2.再次查看本地设备是否存在对应的nat转换条目:-- 如果有,则进行地质转换,然后发送出去:-- 如果无,则不进行地质转换,然后发送出去.3.静态NAT:私有-公有 1:1,不节省IP地址:4.配置静态NAT:1.给R1(即内部最末端的路由器)配置一个去往运营商的缺省路

通过思科模拟器CISCO PACKET TRACER学习网络12——静态NAT

NAT[Network Address Translation]网络地址转换在IP地址缺乏的情况下起了很大用处,它可以实现无法正常上外网的内网地址转换为合法的外网地址在公网上收发数据.同时地址转换功能也能很好的隐藏并保护内网的主机. NAT有静态NAT(内部地址和外部地址一对一)和动态NAT(内部地址池和外部地址池一对一) 本次我们来了解一下静态NAT 配置思路 1配置路由器1和路由器2的接口地址 2配置PC和服务器的地址,网关为对应路由器下联接口的地址 3配置静态路由,使得网络可以互相通信 4

思科路由静态NAT配置

实验名称:思科路由静态NAT配置实验拓扑:实验环境:1.3台路由器,2.一台交换机Router 0 边界路由器(内网和外网)Router 1 边界路由器(公网的内网和外网)Pouter 2 内网路由器 (公网的内部网络)3.一台PC 实验步骤:1. 配置PC机地址:IP : 192.168.10.1/24网关:192.168.10.252. 配置Router 0Continue with configuration dialog? [yes/no]: n Press RETURN to get

穿越两次PIX8.0防火墙并两次静态NAT的FTP测试

一.测试拓扑 二.测试思路 客户端和Server端不能直接通讯,都作了一对一的静态NAT 当客户端采用被动模式的FTP连接FTP服务器端时,FTP的控制通讯和数据通讯,发起端都在客户端: ----对于客户端侧防火墙来说,都是从高安全区到低安全区的访问,无需放通策略; ----对于服务端防火墙来说,控制通讯是从低安全区到高安全区的访问,因此,需要开放针对TCP21的策略;数据通讯也是从低安全区到高安全区的访问,端口随机,因此需要配置ftp审查. 当客户端采用主动模式的FTP连接FTP服务器端时,F

CentOs下NAT模式静态IP网络配置

虚拟机安装可以参考:https://www.cnblogs.com/willingchen/p/9069477.html. 一.VM部分设置 首先我们来配置VM的网络配置,首先打开VMware的编辑找到虚拟网络编辑器 然后点击更改设置后,选择NAT模式 接下来设置好子网ip(一般为xxx.xxx.xxx.0)和子网掩码(255.255.255.0),然后点击DHCP 接下来设置好DHCP(设置到和子网的同一个IP段即可) 点击确定后,设置NAT设置 设置NAT的网关,一般子网ip我们设置为xxx

思科 GNS3 配置 静态 NAT

静态NAT 1. 实验拓扑 使用GNS3模拟器版本 0.8.5 2.实验需求 1C1通过静态nat上公网 3. 实验拓扑 IP规划 R1(config)#int f0/0 R1(config-if)#ip add 12.0.0.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#int f0/1 R1(config-if)#ip add 192.168.10.1 255.255.255.0 R1(config-if)#no sh R1(config

思科防火墙NAT穿越技术

拓扑图: 需求: R1作为局域网出口路由器,承担这PAT地址转换功能. ASA需要跟R3建立vpn R4作为局域网内部机器可以跟R3互联,并可以上外网 步骤: 给所有设备配置ip地址,地址规划如上图所示并默认路由 在R4上面配置ip地址配置默认路由 interface FastEthernet0/0 ip address 192.168.1.2 255.255.255.0no shutdown !ip route 0.0.0.0 0.0.0.0 192.168.1.1 在ASA1上面配置ip地址

【思科防火墙】思科ASA防火墙企业网实例

前提:随着网络发展,网络安全成为当前重要的课题,越来越多的公司会选择将防火墙作为公司出口设备,相比于路由器,防火墙除了具有转发路由的功能外,还可以对内部.外部的流量进行过滤,从而进一步加强公司网络的安全性. 实验拓扑: 实验目的:如图,公司内网划分为两个vlan,vlan10和vlan 20,将三层交换机M1作为网关,将思科防火墙ASA1作为公司的出口设备,R1为运营商路由器,在R1环回口1.1.1.1/32模拟外网. 在ASA1上做PAT,使得内网主机可以上外网 在ASA1上做配置,使得R1可

NAT地址转换详解(静态NAT,端口映射,动态NAT,PAT)

NAT地址转换概述图 这一章我们将学习并实践,静态NAT地址转换,动态NAT地址转换, 端口映射,PAT端口多路复用 一.了解NAT的优缺点 二.NAT的工作原理 静态转换 (Static Translation)动态转换(Dynamic Translation)端口多路复用(Port Address Translation) 三.NAT的术语于转换表 NAT地址转换一种伪装,确保了地址的安全 如图: PC1第一件事情发出请求,先查询路由表,然后才会根据NAT表转换成公网地址,去访问外部网.源I