实验10-思科ASA防火墙的NAT配置

实验10 思科ASA防火墙的NAT配置

一、实验目标

1、掌握思科ASA防火墙的NAT规则的基本原理；

2、掌握常见的思科ASA防火墙的NAT规则的配置方法。

二、实验拓扑

根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。

三、实验配置

1、路由器基本网络配置，配置IP地址和默认网关

R1#conf t

R1(config)#int f0/0

R1(config-if)#ip address 192.168.2.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#ip default-gateway 192.168.2.254 //配置默认网关

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exit

R1#write

R2#conf t

R2(config)#int f0/0

R2(config-if)#ip address 202.1.1.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#ip default-gateway 202.1.1.254

R2(config)#exit

R2#write

Server#conf t

Server(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0

Server(config-if)#ip address 192.168.1.1 255.255.255.0

Server(config-if)#no shutdown

Server(config-if)#exit

Server(config)#ip default-gateway 192.168.1.254

Server(config)#exit

Server#write

*说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。

2、防火墙基本配置，配置端口IP地址和定义区域

ciscoasa# conf t

ciscoasa(config)# int g0

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0 ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# exit

ciscoasa(config)# int g1

ciscoasa(config-if)# nameif dmz

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# exit

ciscoasa(config)# int g2

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# ip address 202.1.1.254 255.255.255.0 ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# exit

3、防火墙NAT规则配置

*说明：思科ASA 8.3 版本以后，NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较，便于读者的理解和运用。

*可以通过show version命令来查看防火墙当前的版本。

（1）配置协议类型放行

//状态化icmp流量，让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。