当前位置:首页>微思动态 > >详情
全国热线电话 400-881-4699

在线留言

【每日必学】NAT配置总结实例

发布作者:微思网络   发布时间:2017-04-24   浏览量:0

NAT配置总结实例

Software Version 7.2(3)

 

实验拓扑:

 

泉州CCNA培训具体要求:

 

1.直连初始化,ASA能够ping通所有设备的直连接口

 

2.路由a.In.R2默认路由指向ASA Inside(192.168.1.10)

 

b.Dmz.R3 默认路由指向ASA DMZ (10.1.1.10) c.Out.R1 不能设置任何路由

 

3.打开所有设备(In.R2 Dmz.R3 Out.R1)的Telnet功能

 

4.把内部网络(192.168.1.0),转换到外部网络两种转换方案

 

a.转换到一个地址池 202.100.1.100 - 202.100.1.200 b.复用外部接口地址

 

测试方法:In.R2 Telnet Out.R1 a.Telnet到Out.R1后show user能够看到转换后的地址b.ASA上Show Xlate可以看到转换槽位c.ASA上show conn 可以看到连接状态表项

 

d.ASA上show local-host 可以看到每一个内部PC的连接状态

 

5.让内部用户192.168.1.1能够ping通202.100.1.1


可以通过两种方法来实现1.通过ACL放行流量

 

2.通过inspect icmp来实现

 

6.让内部用户能够正常访问DMZ

测试方法:In.R2 Telnet Dmz.R3 a.Telnet到DMZ后show user能够看到自己真实的地址b.ASA上show conn 可以看到连接状态表项

c.ASA上show local-host 可以看到每一个内部PC的连接状态

 

7.把DMZ的服务器(10.1.1.1)转换到外部一个地址(202.100.1.201),并且允许任何外部用户访问这个地址的telnet

 

测试方法:Out.R1 Telnet 202.100.1.201

 

各要求具体配置步骤:

 

1. 初始化配置拓扑中的设备,使得ASA能够ping通所有设备的直连接口

 

实现命令:

 

配置Out.R1 R1.OUT(config)#int e0/0

 

R1.OUT(config-if)#ip add 202.100.1.1 255.255.255.0 R1.OUT(config-if)#no sh

 

配置IN.R2 IN.R2(config)#int e0/0

 

IN.R2(config-if)#ip add 192.168.1.1 255.255.255.0 IN.R2(config-if)#no sh

 

配置Dmz.R3 DMZ.R3(config)#int e0/0

 

DMZ.R3(config-if)#ip add 10.1.1.1 255.255.255.0 DMZ.R3(config-if)#no sh

 

配置ASA

 

ciscoasa(config)# host ASA ASA(config)# int e0/0 ASA(config-if)# no sh ASA(config-if)# int e0/1 ASA(config-if)# no sh ASA(config-if)# int e0/2

ASA(config-if)# no sh

ASA(config-if)# exit

ASA(config)# interface Ethernet0/0

ASA(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA(config-if)# security-level 0

ASA(config-if)# ip address 202.100.1.10 255.255.255.0

ASA(config-if)#

ASA(config-if)# interface Ethernet0/1

ASA(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

ASA(config-if)# security-level 100

ASA(config-if)# ip address 192.168.1.10 255.255.255.0

ASA(config-if)#

ASA(config-if)# interface Ethernet0/2

ASA(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

ASA(config-if)# security-level 50

ASA(config-if)# ip address 10.1.1.10 255.255.255.0

在ASA上测试直连连通性: ASA# ping 202.100.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms ASA# ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASA# ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASA#


2.路由

a.In.R2默认路由指向ASA Inside(192.168.1.10) 

实现命令:

IN.R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.10 b.Dmz.R3默认路由指向ASA Dmz (10.1.1.10)

实现命令:

DMZ.R3(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10 c.Out.R1 不能设置任何路由 d.ASA 默认路由指向202.100.1.1 

实现命令:

ASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.1.1

 

3.打开In.R2 , Dmz.R3 , Out.R1 Telnet功能

 

实现命令:

 

IN.R2(config)#line vty 0 15

 

IN.R2(config-line)#no login

 

DMZ.R3(config)#line vty 0 15

 

DMZ.R3(config-line)#no login

 

R1.OUT(config)#line vty 0 15

 

R1.OUT(config-line)#no login

 

 

4.把内部网络(192.168.1.0),转换到外部网络

 

a.转换到一个地址池 202.100.1.100 - 202.100.1.200

 

实现命令:

 

ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0 ASA(config)# global (outside) 1 202.100.1.100-202.100.1.200

 

测试方法:

 

a.TelnetOutsideshow user能够看到转换后的地址

 

实现命令:

 

IN.R2#telnet 202.100.1.1

 

Trying 202.100.1.1 ... Open

 

R1.OUT>

 

R1.OUT>show user

 

Line User Host(s) Idle Location


 

 

 

 


 

b.ASAShow Xlate可以看到转换槽位

 

实现命令:

 

ASA(config)# show xlate 1 in use, 7 most used

 

Global 202.100.1.100 Local 192.168.1.1

 

c.ASA上show conn 可以看到连接状态表项

 

实现命令: ASA(config)# show conn 1 in use, 3 most used

 

TCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:06 bytes 66 flags UIO

 

d.ASAshow local-host 可以看到每一个内部PC的连接状态

 

实现命令:

 

ASA(config)# show local-host

 

Interface dmz: 0 active, 1 maximum active, 0 denied

 

Interface inside: 1 active, 1 maximum active, 0 denied

 

local host: <192.168.1.1>,

TCP flow count/limit = 1/unlimited

TCP embryonic count to host = 0

TCP intercept watermark = unlimited

UDP flow count/limit = 0/unlimited

Xlate:


Global 202.100.1.100 Local 192.168.1.1

Conn:

TCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:38 bytes 66 flags UIO Interface outside: 1 active, 1 maximum active, 0 denied

local host: <202.100.1.1>,

TCP flow count/limit = 1/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited

Conn: 

TCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:38 bytes 66 flags UIO


返回顶部