ASA防火墙之NAT的实例配置
ASA防火墙之NAT的实例配置
关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT。
动态NAT(dynamic NAT)
dynamic NAT的转换采用object NAT 配置,具体用在一个组的真实地址映射到一组映射后的地址,即多对多的转换映射,映射后地址往往比真实地址数量少,遵循先来先服务的原则,只有真实的主机才可以发器连接,下面我们以实例介绍。
dynamic NAT实例配置
需求:
1:配置dynamic NAT转换inside网段(192.168.150.0/24)到outside地址池202.100.1.100-200。
(分析 :192.168.150.0/24网段访问外部地址时,源地址转换为202.100.1.100-200区域内,即多对多的转换)
2:修改转换槽位的闲置超时时间,从3个小时到1个小时。
环境(ASA防火墙一台,路由器若干,交换机若干)
底层配置,再不考虑防火墙的情况下,实现全网通信,即需配置路由。IP地址规划如上图。
配置好后,R1telnetR5,查看情况。
成功telnet,且源地址为192.168.150.100
配置dynamic NAT地址转换命令:
ASA(config)# object network inside-outside //定义转换后的对象组
ASA(config-network-object)# range 202.100.1.100 202.100.1.200 //转换后的IP地址范围
ASA(config)# object network inside //定义转换前的对象组
ASA(config-network-object)# subnet 192.168.150.0 255.255.255.0 //转换前的IP地址范围
ASA(config-network-object)# nat (inside,outside) dynamic inside-outside //启用NAT
配置完成,再次查看R1 telnet R5情况。
依旧可以telnet成功,但是很明显源地址发生变化,变成我们设定的转换后的IP地址。
Show xlate //查看NAT转换情况
这里可以清楚的看到源地址转换成为那个地址,且闲置默认时间为3个小时。
可以通过下面这条命令修改闲置超时时间,按需求改为1个小时。
ASA(config)# timeout xlate 1:00:00
注意修改后查看需clear xlate 后,再来查看。闲置超时时间改为1小时。
动态PAT(dynamicPAT)
dynamic PAT实例配置
1.配置Dynamie PAT,转换Inside网段192.168.150.0/24,到DMZ区域地址 192.168.106.100
2配置Dymamic NAT,转换Inside网段192.168.150.0/24,到Outside区域址池202.100.1.100-101 当地址池耗尽后,PAT转换到Outside接口地址。
3.配置Dynamic PAT, PAT转换DMZ网段192.168.106.0/24, 到Outside区域PAT地址池202.100.1.200-210 (可选:循环使用地址池)。
需求1配置命令:
ASA(config)# object net inside-dmz
ASA(config-network-object)# subnet 192.168.231.0 255.255.255.0
ASA(config-network-object)# nat (inside,dmz) dynamic 172.16.1.100
配置完毕,测试R2 telnet R3。
可以发现,成功telnet,且源地址为192.168.106.100,正是转换后的IP地址。
再让R1telnet R3,查看转换情况:show xlate。
可以发现,每次转换的地址都是相同的,但是端口号不相同。即一对多。
需求2配置命令:
ASA(config)# object network outside-pool
ASA(config-network-object)# range 202.100.1.100 202.100.1.101 //定义转换后的地址池只有两个地址
ASA(config)# object network inside-outside
ASA(config-network-object)#subnet 192.168.150.0 255.255.255.0
ASA(config-network-object)#nat (inside,outside) dynamic outside-pool interface
测试,R1和R2与R7分别telnetR5。
可以发现,R1与R2telnetR5时,使用地址池当中的两个地址(100-101),IP地址耗尽之后,R7去telnetR5,就使用PAT转换成接口地址。
需求3配置命令:
需求所说的循环使用的意思是,在转换地址池中,出现多个转换IP地址,那么就会遵循设备与IP地址之间的循环使用,不会出现一个IP地址的多个接口使用,而其他的地址不使用的情况。而是每一个设备循环对应IP地址+接口的模式的循环。即假设当地址池中有三个公网地址时,那么第一台登陆的设备使用第一个公网地址+端口,第二台登陆的设备使用第二台公网地址+端口,那么第三台登陆的设备使用第三个公网地址+端口。而当第四台设备登陆时,会使用第一个公网地址+端口,如此类推。
ASA(config)# object network dmz-outside-pool
ASA(config-network-object)# range 202.100.1.200 202.100.1.210
ASA(config)# object network dmz
ASA(config-network-object)#subnet 192.168.106.0 255.255.255.0
ASA(config-network-object)#nat (dmz,outside) dynamic pat-pool dmz-outside-pool
配置完成,让R3,R4分别telnetR5,查看情况。
可以发现,当没有配置循环使用的命令时,虽然可以实现地址的转换,但是转换的源地址则会一直使用第一个IP+端口,直到把端口号用完,才会使用下一个公网地址。理论上一个IP地址有65535个接口,适用于数十台设备使用。
这里我们来配置循环使用命令:
ASA(config-network-object)#nat (dmz,outside) dynamic pat-pool dmz-outside-pool round-robin
配置之后,再次让R3,R4 telnetR5,查看情况。
可以发现,配置了循环使用的命令后,第二个登陆的设备用的是第二个公网地址+端口。
静态NAT(static NAT)
static NA则是一个持久的映射,映射一个真实的地址到一个映射后的地址,允许双向流量。
static NAT配置实例
需求:
1、配置static NAT,转换位于dmz区域的telnet服务器192.168.106.3为outside区域的全局地址202.100.1.101。
2、放行源自于互联网(outside区域网络)访问服务器(192.168.106.3)的所有telnet流量。
需求1配置命令:
ASA(config)#object network dmz
ASA(config-network-object)#host 192.168.106.3
ASA(config-network-object)#nat (dmz,outside) static 202.100.1.101
配置完成,让R3 telnet R5,查看情况。
可以发现,成功telnet,且源地址转换为202.100.1.101。
需求2配置命令
ASA(config)#access-list outside-dmz-telnet extended permit tcp any host 192.168.106.3 eq 23
ASA(config)#access-group outside-dmz-telnet in interface outside
配置完成,让R5 telnet 202.100.1.101
可以发现,成功telnet,不过这里注意telnet需telnet转换之前的IP地址,即R5telnetr3,需R5telnet202.100.1.101,原因是需求一配置中发现地址转换。
network static NAT
network static NAT配置实例
需求:
1:配置static NAT,转换inside网段192.168.150.0/24,到DMZ区域网段202.200.1.0/24。
环境(ASA防火墙一台,路由器若干,交换机若干)
底层配置,再不考虑防火墙的情况下,实现全网通信,即需配置路由。IP地址规划如上图。
配置好后,R1telnetR3,查看情况。
可以发现,成功telnet,源地址为192.168.150.100。
配置dynamic NAT地址转换命令:
ASA(config)# object network inside-dmz //定义转换后的对象组
ASA(config-network-object)# subnet 202.200.1.0/24 //转换后的IP地址范围
ASA(config)# object network inside2 //定义转换前的对象组
ASA(config-network-object)# subnet 192.168.150.0 255.255.255.0 //转换前的IP地址范围
ASA(config-network-object)# nat (inside,dmz) static inside-dmz //启用NAT
配置完成,让R1,R2,R7,R8分别telnetR3。
可以看到,转换为对应的.2 .7 .8 .100,一一对应IP地址,原因是源IP地址与转换后的地址数目一致,所以能够一对一的转换。
静态PAT(static PAT)
需求:
1:配置static PAT,转换dmz区域的地址192.168.106.3:80到outside区域202.100.1.101:80
配置命令:
ASA(config)# object network dmz-outside
ASA(config-network-object)# host 192.168.106.3
ASA(config-network-object)# nat (dmz,outside) static 202.100.1.101 service tcp www www
ASA(config)# access-list dmz-outside extended permit tcp any object dmz-outsid eq www
ASA(config)# access-group dmz-outside in interface outside
配置完成,让R3telnetR5 80,查看情况。
可以发现,R3成功telnet80,查看转换情况,可看出明确的端口转换。
twice NAT
twice NAT配置实例
需求1:
当内部网络192.168.150.024。去往3.3.3.3(作为R5的环回接口)时.转换内部网络192.168.150.0/24到外部地址192.168.184.100
网络基本配置:省略。
注意需给ASA配置3.3.3.3的路由
ASA(config)# route outside 3.3.3.0 255.255.255.0 192.168.184.5
配置之前,我们先查看一下R1分别telnet 192.168.184.5 和3.3.3.3的情况。
可以发现,成功telnet,且源地址为R1(192.168.150.100)
配置命令:
ASA(config)# object network inside-network //定义内部地址
ASA(config-network-object)# subnet 192.168.150.0 255.255.255.0
ASA(config)# object network outside-network //定义外部目的地址
ASA(config-network-object)# host 3.3.3.3
ASA(config)# object network outside-transform //定义转换地址
ASA(config-network-object)# host 192.168.184.100
ASA(config)# nat (inside,outside) source dynamic inside-network outside-transform destination static outside-network outside-network //把源至于内动态的转换成外部地址,目的是不变的
配置完成,再来查看R1分别telnet 192.168.184.5 和3.3.3.3的情况。
可以看出,当192.168.150.0/24网段去往3.3.3.3地址时,发生地址转换,去往其他的地址就不变。
需求二:
当内部网络192.168.150.0/24,访问内部网络192.168.150.150时.目的地会被转送到192.168.184.5,并且源内部地址会转换为192.168.154.100
配置之前,我们先查看一下R1telnet 192.168.150.150情况。
可以看到,无法telnet,原因是改地址并不存在。
ASA:
ASA(config)# object network inside-network //定义内部转换前源
ASA(config-network-object)# subnet 192.168.150.0 255.255.255.0
ASA(config)# object network inside-destination //定义内部转换前目的
ASA(config-network-object)# host 192.168.150.150
ASA(config)# object network outside-source //定义外部转换后源
ASA(config-network-object)# host 192.168.184.100
ASA(config)# object network outside-destination //定义转换后目的
ASA(config-network-object)# host 192.168.184.5
ASA(config)# nat (inside,outside) source dynamic inside-network outside-source destination static inside-destination outside-destination //动态的转换内部源,静态的转换外部目的。
配置完成,再来查看R1telnet 192.168.150.150的情况。
成功telnet,原因是改地址发生转换,源和目的地址均已发生转换。
static NAT DNS rewrite
static NAT DNS rewrite配置实例
19
环境:R1(192.168.150.100)模拟http服务器,DNS服务器(192.168.184.184)
需求1:配置ASA监控和DNS域名解析,使得外部(outside)网络可以通过DNS服务器访问R1的域名www.cjc.com
需求2:配置DNS重写,使得内部(inside)网络可以访问www.cjc.com。
DNS服务器配置:
新建主机为192.168.184.150。
配置网络底层配置,注意需配置路由,这里不再介绍。
需求1配置:
R1(config)#ip name-server 192.168.184.184 //指定DNS服务器
R5(config)#ip domain-lookup //开启DNS外部查询功能。
R2(config)#ip domain-lookup //开启DNS外部查询功能。
ASA配置:
ASA(config)# object network inside-http-server
ASA(config-network-object)# host 192.168.150.100
ASA(config-network-object)# nat (inside,outside) static 192.168.184.150
ASA(config)# access-list out permit tcp any host 192.168.150.100 eq 80
ASA(config)# access-group out in interface outside
配置完成,让R5telnet www.lsj.com,查看情况
会发现。通过DNS域名解释回来的地址是192.168.184.150,并且成功的访问到内部网络。
再来看R2 telnet www.lsj.com,查看情况。
可以发现,无法telnet,原因是发生的地址转换,数据包从一个接口进,又从同一个接口出,直接丢包。
需求2配置:
ASA(config-network-object)# nat (inside,outside) static 192.168.184.150 dns //开启DNS重写功能。
配置完成,再来查看R2 telnet www.lsj.com情况。
可以发现,成功telnet上了,原因就是ASA会把DNS信息。重写到192.168.150.100.之后会重内部网络直接访问内部HTTP服务器。这样访问DNS服务器就不必去192.168.184.184,地址也无需发生地址变化。
最后
到此,防火墙NAT到此结束,上面举例了多个实例,包含多方面的知识点内容,有错误的欢迎指教,感谢观看。
ASA防火墙之NAT的实例配置相关推荐
- ASA防火墙之基于用户MPF配置实例
ASA防火墙之基于用户MPF 本篇继续介绍ASA防火墙,上篇我们讲了URL的过滤,那么本篇我们在这个基础下设置不同的用户,来控制一个可以访问,一个过滤掉. 配置实例 需求: ASA本地有两个用户:分别 ...
- 华为防火墙的NAT介绍及配置详解
一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT ...
- ASA防火墙的网管方式ACL配置实例
ASA防火墙的网管方式ACL配置实例 上篇讲了ASDM的使用,那本篇就讲一下命令模式的配置ASA防火墙的网络管理以及ACl配置. ASA防火墙的网管方式 拓扑 1.telnet 需求 inside区域 ...
- AR220路由器、USG3000防火墙NAT及过滤配置
AR220路由器.USG3000防火墙的NAT及过滤配置 一.路由器AR220的NAT配置 1.定义ACL2000 acl 2000 rule normal perimit source 192.16 ...
- Docker+Swarm实例配置 -三主一从
常用命令: # 初始化一个swarm docker swarm init # 指定初始化ip地址节点 docker swarm init --advertise-addr 管理端IP地址 # 去除本地 ...
- ASA防火墙之telnet的AAA穿越认证配置实例
telnet的AAA穿越认证 本篇继续介绍ASA防火墙,主要讲解网络穿越ASA防火墙进行访问,并进行AAA认证,才可以正常的访问通信. 实验拓扑 环境(ASA防火墙,ACS服务器,路由器) 需求: 为 ...
- ASA防火墙之透明模式的使用及配置
ASA防火墙之透明模式的使用及配置 本篇讲一下ASA防火墙的透明模式的使用和实例配置分析,这篇之前我讲的所以内容都是路由模式进行配置的,透明模式在ASA防火墙有着不同的用法.下面我们具体分析一下. 透 ...
- ASA防火墙之failover的介绍及配置
failover的介绍及配置 本篇讲一下ASA防火墙的另外一种冗余的技术,failover,字面意思是失效转移,也就是当设备出现故障时,能够在数秒内将配置转换到另外一台设备中,是一种设备级的冗余技术. ...
- 基于ASA防火墙的SSL ×××配置
基于ASA防火墙的SSL ×××配置 实验拓扑图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...
最新文章
- 华为实习日记——第二十二天
- python难度大的题_早看少被坑!Python 最难的问题
- BZOJ3172 [Tjoi2013]单词 字符串 SA ST表
- python open encoding为无效的参数_TypeError:“encoding”是无效的关键字参数ex23.py
- java实现对HDFS增删改查(CRUD)等操作
- Qt vlc视频开发libvlc_new返回空的问题
- Python赋值、打包和解包,90%人不清楚的知识点!
- 归并排序比较次数_归并排序「从入门到放弃」
- [js] 处理字符串换行造成的json解析失败
- Java-Android【2】-弹出对话框
- ps如何裁剪掉图片的不规则区域
- 加密算法Bcrypt
- [译]概率论沉思录——第一章合情推理
- js实现图片压缩上传
- Arrays.sort()和lambda表达式
- mysql 正则表达式_MySQL的正则表达式
- Python函数式编程(fn)
- fiddler安卓模拟器与ios手机抓包
- Win10-更改c盘下的用户文件夹名[转]
- activemq断线重连
热门文章
- 你了解吗?小游戏和H5小游戏不是一码事
- RH850开发板StarterKit示例程序分析--R_ADCA0_Init();ADC初始化
- 电信无线光猫设置方法(附以中兴F460为例)
- CSJH网络安全团队简介
- 求一圈中留下的最后一个人
- 压缩包的加密、去除密码、解密
- 欧氏空间距离和内积_线性空间,度量空间,赋范空间,线性赋范空间,内积空间,巴拿赫空间以及希尔伯特空间、拓扑空间...
- 【SSL】2021-08-19 1045.采药
- 2015 中国电商网站排行榜
- 基于matlab的多元线性回归分析