2022年实验三cisco防火墙asa模拟器从内网访问outside服务器借鉴 .pdf

1 实验三 ASA 模拟器从内网访问DMZ区服务器配置（ASA模拟器）注意： 本实验配置为用模拟器来实现， 用来练习防火墙命令的使用， 实现的功能和“实验三asa 5505 从内网访问外网服务（真实防火墙） ”相同，为了降低操作难度，我们只对ASA 防火墙模拟器进行配置， 完整的实验请参照 “实验三asa 5505 从内网访问外网服务 （真实防火墙）” 。一、实验目标在这个实验中朋友你将要完成下列任务：1用 nameif 命令给接口命名2用 ip address命令给接口分配 IP 3用 duplex 配置接口的工作模式 -双工（半双工）4配置内部转化地址池（nat）外部转换地址globla 二、实验拓扑三、实验过程1. ASA 模拟器基本配置：ciscoasa ciscoasa enable Password: ciscoasa# ciscoasa# configure terminal ciscoasa(config)# interface e0/1 *进入 e0/1接口的配置模式名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 2 ciscoasa(config-if)# nameif outside *把 e0/1接口的名称配置为dmz INFO: Security level for outside set to 0 by default. ciscoasa(config-if)# ip address 10.0.1.1 255.0.0.0 *给 e0/1接口配置 IP 地址ciscoasa(config-if)# duplex auto *设置 e0/1接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开 e0/1 接口ciscoasa(config-if)# exit *退出 e0/1接口的配置模式ciscoasa(config)# ciscoasa(config)# interface e0/0 *进入 e0/0接口的配置模式ciscoasa(config-if)# nameif inside *把 e0/0接口的名称配置为inside INFO: Security level for inside set to 100 by default. *安全级别取值范围为1100， 数字越大安全级别越高， 在默认情况下，inside 安全级别为 100。ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给 e0/0 接口配置 IP 地址ciscoasa(config-if)# duplex auto *设置 e0/0接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开 e0/0 接口ciscoasa(config-if)# exit *退出 e0/0接口的配置模式ciscoasa(config)# 2. ASA 模拟器本身接口的连通性测试测试防火墙本身e0/1接口连通性ciscoasa(config)# ping 10.0.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 测试防火墙本身e0/0接口连通性ciscoasa(config)# ping 192.168.0.211 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 3. 配置 ASA 模拟器实现从内部网络inside到外部网络 outside的访问：ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0 *nat 是地址转换命令， 将内网的私有 ip 转换为外网公网 ip；用来定义那些主机需要进行出站地址转换。“nat (inside) 1 0.0.0.0 0.0.0.0 ” 表示内网的所有主机 (0 0)都可以访问由 global 指定的外网。ciscoasa(config)# show running-config nat *查看防火墙的 nat配置nat (inside) 1 0.0.0.0 0.0.0.0 *nat 配置信息ciscoasa(config)# global (dmz) 1 interface *使用 nat命令后， 必须使用 global 命令定义用于转换的 IP 地址范围。 “global (outside) 1 interface ”使用端口地址转换 （PAT）,指定 PAT使用 dmz接口上的 IP 地址进行出站转换连接。INFO: outside interface address added to PAT pool ciscoasa(config)# show running-config global *查看防火墙的 global 配置global (outside) 1 interface *global 配置信息ciscoasa(config)# write memory *保存配置信息名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 3 Building configuration. Cryptochecksum: 8def4d19 431e9e78 2fd65d14 1089138c %Error opening disk0:/.private/startup-config () Error executing command FAILED * 很遗憾，由于模拟器的局限性，无法保存配置！ciscoasa(config)# write erase *删除配置文件信息Erase configuration in flash memory? confirm FAILED ciscoasa(config)# * 很遗憾，由于模拟器的局限性，无法删除配置文件信息！4本实验重点难点知识：内部网络通常使用私有IP地址以节省公共 IP地址资源， 但这些私有 IP地址不能在 Internet上路由，所以在转发内部网络的数据包到外部网络时需通过NAT(网络地址转 )将私有 IP 转换为全球公认 IP 地址，这也使得内部IP 地址对外隐藏起来，提高安全性。ASA 防火墙默认允许流量从较高安全级别的接口流向较低安全级别的接口，为这些出站流量进行网络地址转换，可以防止将较高安全级别的主机地址暴露给较低安全级别的接口。对于防火墙，从内部接口到外部接口流量的地址转换则需将内部地址转换为某个外部地址（如果是接入 Internet，必须转换为 NIC 注册的地址，即公网IP） 。考虑 NAT 时，必须考虑是否有与内部地址等量的转换地址，如果没有，在建立连接时，某些内部主机就无法获得网络访问。出现此问题时可以使用端口地址转换（PAT） 来解决，PAT允许多达 6400台内部主机同时使用一个转换地址，从而在隐藏内部网络地址的同时，减少所需的有效转换地址的总量。定义出站连接时， 首先用 nat 命令来定义哪些主机需要出站的地址转换，然后使用 global命令来定义地址池，两个命令通过nat_id 参数关联起来！(1) global 命令指定公网地址范围：定义地址池。Global 命令的配置语法：global (if_name) nat_id ip_address-ip_address netmark global_mask 其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识 (nat要引用 )。ip_address-ip_address ：表示一段 ip 地址范围。netmark global_mask：表示全局 ip 地址的网络掩码。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 - - - - - - - - - 4 例如：ciscoasa(config)#global (outside) 1 133.0.0.1-133.0.0.15 地址池 1对应的 IP 是： 133.0.0.1-133.0.0.15 ciscoasa(config)#global (outside) 1 133.0.0.1 地址池 1只有一个 IP 地址 133.0.0.1。ciscoasa(config)#no global (outside) 1 133.0.0.1 表示删除这个全局表项。(2) nat 命令地址转换命令，将内网的私有ip 转换为外网公网 ip。nat 命令配置语法： nat (if_name) nat_id local_ip netmark 其中：(if_name)：表示接口名称，一般为inside. nat_id：表示地址池，由global 命令定义。local_ip：表示内网的 ip 地址。对于 0.0.0.0表示内网所有主机。netmark：表示内网 ip 地址的子网掩码。在实际配置中nat 命令总是与 global 命令配合使用。一个指定外部网络，一个指定内部网络，通过 net_id联系在一起。例如：ciscoasa(config)#nat (inside) 1 0 0 表示内网的所有主机 (0 0)都可以访问由 global 指定的外网。ciscoasa(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有 172.16.5.0/16网段的主机可以访问global 指定的外网。亲爱的朋友， 当你完成这个模拟实验， 请你思考一下， 这个实验和实验 “实验三asa 5505 从内网访问外网服务 （真实防火墙）”有何相同和不同之处！ 下个实验我们将学习从外网访问DMZ 服务器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -