ASA LAB-ASA NAT配置大全

ASA LAB-ASA NAT配置大全

两种NAT配置方式 :

1- Auto(object)NAT

2- Twice NAT

NAT分类 :

Static nat

Dynamic nat

Static PAT

Dynamic PAT

Nat exmption

今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步

实验:

先看下 ASA的基本配置和环境

ciscoasa# sh run

: Saved

:

ASA Version 8.4(2)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface GigabitEthernet0

shutdown

no nameif

no security-level

no ip address

!

interface GigabitEthernet1

description DMZ

nameif DMZ

security-level 50

ip address 192.168.1.2 255.255.255.0

!

interface GigabitEthernet2

nameif inside

security-level 100

ip address 10.1.20.1 255.255.255.0

!

interface GigabitEthernet3

nameif outside

security-level 0

ip address 10.1.30.1 255.255.255.0

!

ftp mode passive

pager lines 24

mtu DMZ 1500

mtu inside 1500

mtu outside 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

router eigrp 90

no auto-summary

network 0.0.0.0 0.0.0.0

redistribute static

!

route outside 0.0.0.0 0.0.0.0 10.1.30.3 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

telnet timeout 5

ssh timeout 5

console timeout 0

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect ip-options

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

inspect icmp

!

service-policy global_policy global

prompt hostname context

no call-home reporting anonymous

call-home

profile CiscoTAC-1

no active

destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

destination address email [email protected]

destination transport-method http

subscribe-to-alert-group diagnostic

subscribe-to-alert-group environment

subscribe-to-alert-group inventory periodic monthly

subscribe-to-alert-group configuration periodic monthly

subscribe-to-alert-group telemetry periodic daily

crashinfo save disable

Cryptochecksum:239eb7333d302b09c0f2ec5ef970ebde

: end

实验拓扑:

1-Static NAT

需求 把 10.1.30.4 (公网地址)同 inside 的 2.2.2.2映射起来

ciscoasa# sh run access-list

access-list allowping extended permit icmp any any

access-list allowping extended permit 23 any any

ciscoasa# sh run access-group

access-group allowping in interface outside

object network staticnat

host 2.2.2.2

nat (inside,outside) static 10.1.30.4

2-Network static NAT

需求 R1的loopback 1.1.1.1 1.1.1.2 1.1.1.3 同 10.1.30.5-6(公网地址)映射起来

object network dmz-nat

nat (DMZ,outside) static outside-nat

object network outside-nat

range 10.1.30.5 10.1.30.6

object network dmz-nat

range 1.1.1.1 1.1.1.3

3-Static PAT

利用ASA的接口地址 端口给内部host的某一端口使用

比如我们把 10.1.30.1 23 端口跟 2.2.2.2 23端口映射起来

object network inside-nat

host 2.2.2.2

object network inside-nat

nat (inside,outside) static interface service tcp telnet telnet

4-Static NAT DNS Rewriter

目的是内网不需要通过外网再进inside找host

首先ASA 上要激活 DNS inspect

object network inside-nat

nat (inside,outside) static interface dns

5-Dynamic NAT

把多个内网地址映射出多个公网地址 (不常用)

object network INSIDE-SUBNET

subnet 172.20.10.0 255.255.255.0

nat (inside,outside) dynamic OUT-SUBNET

object network OUT-SUBNET

range 10.1.30.5 10.1.30.6

time xlate 0:30:00

6-Dyanmic PAT

动态PAT,把多个内网地址映射到一个公网地址的多个port (常用)

object network INSIDE-SUBNET

subnet 172.20.10.0 255.255.255.0

nat (inside,outside) dynamic interface

7-Static/Dyanmic Identiy NAT

转换本地地址到相同的地址(用的比较少)

ciscoasa(config)# object network test

ciscoasa(config-network-object)# host 222.222.222.222

ciscoasa(config-network-object)# nat (inside,outside) static test

8-Twice NAT

类似以前的policy NAT,能根据流量的源和目的实验不同的转换.

比如说当inside网络访问VPN拨号172.16.1.0/24使用indentity nat技术自己转换到自己

Object nework inside-network

Subnet 10.1.1.0 255.255.255.0

Object network remote-vpn

Subnet 172.16.1.0 255.255.255.0

Nat (inside,outside) source static inside-network inside-network destination static remote-vpn remote-vpn

Twice nat 只要搞清楚了转换前S/D和转换后S/D ,那么就不难写了.

参考链接:

https://www.packet6.com/configuring-nat-for-a-public-server-using-same-outside-interface/

时间: 2024-08-11 07:44:50

ASA LAB-ASA NAT配置大全的相关文章

Cisco ASA 应用NAT配置详解

ASA 防火墙上NAT的基本原理与路由器上一样,只不过只用定义一下内网地址和进行转换后的地址就可以了,不需要进入接口再应用了.基本上两条命令即可完成一种NAT的配置.ASA上的NAT有动态NAT.动态PAT.静态NAT和静态PAT四种类型. 1.动态NAT(可以说是一对一,但不是静态的,一般不使用动态NAT)的配置步骤如下: 将内网10.0.0.0/8进行NAT转换为170.16.1.100~172.16.1.200: ciscoasa(config)# nat (inside) 1 10.0.

asa的nat配置,所有的情况都在这里了

NAT 1 将内部所有地址段转化为外部地址段的某一段IP nat (inside) 1 0 0 glob (outside) 1 172.16.0.150-172.16.0.160 shxlate查看NAT转换项 sh conn 查看不同区域的IP连接项 sh glob (sh running-config global) 查看glob地址池配置 clear nat清除NAT配置 clear glob 清除lob地址池配置 clear xlate清除现有NAT转换项 NAT 2 将内部网段转化为

ASA 防火墙nat配置

1.防火墙上动态nat配置 nat (inside) id号 192.168.20.0 255.255.255.0    //宣告要转化的网段// global (outsie) id号 12.0.0.2-12.0.0.6        //宣告转化后的网段// 查看nat  为show xlate deatil 2.防火墙上动态pat配置 nat (inside) id号 192.168.20.0 255.255.255.0    //宣告需要转换的网段// global (outside)

第八章 大网高级   在asa上启用 NAT控制

 ASA上启用nat控制 实验要求: 1.配置各路由接口IP,asa接口 2.Asa上配置动态nat,实现R1能够telnet R4. 3.Asa 上配置动态PAT,实现R3能够telnet R4. 4.配置路由,实现 R2能够telnet R4 5.Asa 上配置启用nat控制,看R2是否能够访问R4? 6.让R4 实现telnet R1,需配置什么? 7.Show xlate detail  查看转换表. 一.配置接口 二.配置路由,实现内网互通. R1 R3 ASA 三.配置动态nat,R

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

思科ASA对象组NAT

ACL对象组NAT配置 ciscoasa#conf t ciscoasa(config)#hostname ASA ASA(config)#domain-name asa.com ASA(config)#enable password class ASA(config)#int vlan 1 ASA(config-if)#nameif inside ASA(config-if)#security-level 100 ASA(config-if)#ip add 192.168.1.1 255.25

防火墙(ASA)的基本配置与远程管理

在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分.这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式 硬件与软件防火墙 1.软件防火墙 软件防火墙单独使用软件系统来完成防火墙功能,将软件部署到系统主机上,其安全性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统性能.其一般用于单机系统或个人计算机,极少用于计算机网络,如瑞星.天网.360等. 2.硬件防火墙 硬件防火墙比软件防火墙更有优势,原因有一下两个方面 *

Network Object NAT配置介绍

1.Dynamic NAT(动态NAT,动态一对一) 实例一: 传统配置方法: nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.100-202.100.1.200 新配置方法(Network Object NAT) object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Inside-Network sub

NAT配置模版

A 类:10.0.0.0-10.255.255.255 B 类:172.16.0.0-172.31.255.255 C 类:192.168.0.0-192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用. NAT实现方式:静态转换.动态转换.端口多路复用 1.静态转换: 第一步,设置外部端口 interface serial 0/0 ip address 与ISP互联的地址 ip nat outside 第二步,设