ASA防火墙配置NAT

在ASA防火墙配置NAT分为4种类型:动态NAT、动态PAT、静态NAT、静态PAT。
结合实验拓补来了解如何配置这四种NAT类型:

基本配置已经配置完成
动态PAT转换配置方法:

ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0
#声明内部地址,nat-id为1
ASA(config)# global (outside) 1 30.1.1.100-30.1.1.200
#声明全局地址,nat-id与内部nat-id相对应
测试一下,查看ASA地址转换表
ASA(config)# show xlate detail
#查看ASA地址转换表
1 in use, 1 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
       r - portmap, s - static
NAT from inside:10.1.1.2 to outside:30.1.1.100 flags i
#把内部全局地址10.1.1.2转换为30.1.1.100
i表示动态NAT

动态PAT转换配置方法(第一种)

ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0
#声明内部地址,nat-id为1
ASA(config)# global (outside) 1 30.1.1.254
#声明全局地址为30.1.1.254 ,nat-id与内部nat-id相对应
测试一下,查看ASA地址转换表
ASA(config)# show xlate detail
#查看ASA地址转换表
1 in use, 1 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
       r - portmap, s - static
TCP PAT from inside:10.1.1.2/11001 to outside:30.1.1.254/1024 flags ri
#把内部全局地址10.1.1.2转换为30.1.1.100
ri 表示动态端口映射

第二种方法:

ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0
#声明内部地址,nat-id为1
ASA(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool
#声明内部地址全部转换为outside区域接口地址
测试一下,查看ASA地址转换表
ASA(config)# show xlate detail
#查看ASA地址转换表
1 in use, 1 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
       r - portmap, s - static
TCP PAT from inside:10.1.1.2/11003 to outside:30.1.1.1/1024 flags ri
#转换为outside接口的地址

一般情况第二种比较实用
静态NAT转换配置方法

ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2
#第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址
ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
ASA(config)# access-group 100 in int outside
#设置ACL允许outside区域访问dmz区域,但是访问的映射后的地址
测试一下,查看ASA地址转换表
ASA(config)# show xlate detail
#查看ASA地址转换表
1 in use, 1 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
       r - portmap, s - static
NAT from dmz:20.1.1.2 to outside:100.1.1.1 flags s
#表示dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
s 静态、永久的地址转换

一般这种方法经常使用,用于发布内部服务器
可以使用clear xlate清除NAT转换条目(但是,静态条目不会被删除)
可以使用clear configure static 删除静态的相关配置
静态PAT转换配置方法

ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http
ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp
#将内部服务器地址映射到同一个公网地址不同端口号
ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
ASA(config)# access-group 100 in int outside
#设置ACL允许outside区域访问dmz区域,但是访问的映射后的地址
测试一下,查看ASA地址转换表
ASA(config)# show xlate detail
#查看ASA地址转换表
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
       r - portmap, s - static
TCP PAT from dmz:20.1.1.2/80 to outside:100.1.1.1/80 flags sr
TCP PAT from dmz:20.1.1.3/25 to outside:100.1.1.1/25 flags sr
#将内部的服务器映射到公网同一个IP,不同端口号
sr 表示静态PAT

NAT豁免配置方法

ASA(config)# nat-control
#表示通过ASA防火墙的数据包都必须使用NAT地址转换技术
ASA(config)# access-list 102 permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list 102
#inside接口应用ACL,注意nat-id为0 表示使用NAT豁免,优先级最高
就是ACL中的地址经过ASA防火墙时,不需要进行地址转换

大概就这么多,愿我们共同学习,共同进步!

原文地址:https://blog.51cto.com/14157628/2401762

时间: 2024-10-19 00:57:29

ASA防火墙配置NAT的相关文章

第八章 大网高级   ASA上配置nat

ASA上配置nat 中动态NAT实验要求: 1. 配置路由器和asa的接口地址,实现网段互通. 2. 配置动态NAT 实现R1 访问R3 3. 配置静态NAT 实现R 3访问R2. 4. 使用telnet测试,使用show xlate detail 命令查看那NAT转换表. 5. 配置路由器模拟pc,并允许telnet内网登陆 asa. 6. 配置SSH 实现R3 远程 asa. 一. 配置iP参数 二. 配置动态NAT 实现R1 访问R3 1.R1设置 2.R3设置 3.asa 设置 4. R

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

ASA防火墙配置案例(一)

实验目标: 1.配置静态路由,实现全网互通. 2.R1能telnet到R3,R4,R3被拒绝ACL规则telnet到R4,R4无法telnet到R1和R3. ASA en conf t int e0/1 nameif inside security-level 100 ip add 10.1.1.10 255.255.255.0 no sh int e0/2 nameif dmz security-level 50 ip address 192.168.1.10 255.255.255.0 no

CentOS下配置防火墙 配置nat转发服务

CentOS下配置iptables防火墙 linux NAT(iptables)配置 CentOS下配置iptables 1,vim /etc/sysconfig/network   这里可以更改主机名称. NETWORKING=yesNETWORKING_IPV6=noHOSTNAME=BGI-TJ.localdomain GATEWAY=192.168.11.1(超算网关) 2.vim /etc/sysconfig/network-scripts/ifcfg-eth0  第一块网卡. Bro

ASA防火墙配置url过滤。详细实验步骤

实验拓扑图....服务器ip:202.168.1.10 web  www.cisco.com www.kkgame.com 分别用不同的主机名在服务器上搭建 权限添加成everyone..因为要向外发布网站. 添加一个自己改过名的默认文档,,如果没改过名的话就上移移动到顶层. 内存4G的电脑只能开两虚拟机.所以dns也搭在了这个服务器上.. dns服务器地址也是:202.168.1.10 dns设置完成后,在本机用nslookup测试一下.... 然后配置客户端.. 客户端dns指向服务器 配置

思科ASA防火墙之NAT

实验拓扑 软件版本GN3 0.8.6  ASA镜像8.0(2) 实验环境 R1和R2模拟公司内网,R3模拟互联网设备.ASA作为公司出口,实现NAT地址转换 实验需求 在ASA上做动态NAT实现对R1 loopback 0 网段的地址转换 在ASA上做动态PAT实现对R1 loopback 1 网段的地址转换 在ASA上做静态NAT实现对R2 loopback 0 地址经行转换 在ASA上做静态PAT实现将R2的F0/0的23端口映射为218.1.1.1这个地址的23端口 地址规划 R1 loo

Check Point防火墙配置NAT

Static NAT配置 Step1:创建host对象并且配置static NAT,如下图:Step2:修改全局属性的NAT项的ARP代理选项,勾选即可,如下图: Step3:在网关的web portal页面的Network Mangement标签卡中找到Proxy ARP,添加ARP绑定条目Step4:添加访问策略,本例放性外部网络访问host 10.10.1.110/32的permit ip any,如下图:Step5:验证,使用CRT登录10.10.1.110/32->(目标主机10.15

CentOS下配置iptables防火墙 linux NAT(iptables)配置

CentOS下配置防火墙 配置nat转发服务CentOS下配置iptables防火墙 linux NAT(iptables)配置 CentOS下配置iptables 1,vim /etc/sysconfig/network   这里可以更改主机名称. NETWORKING=yesNETWORKING_IPV6=noHOSTNAME=BGI-TJ.localdomain GATEWAY=192.168.11.1(超算网关) 2.vim /etc/sysconfig/network-scripts/