实验四 ASA模拟器从内网访问DMZ区服务器配置
(ASA模拟器)
kwon
注意:本实验配置为用模拟器来实现,用来练习防火墙命令的使用,实现的功能和“实验四 asa 5505 从内网访问DMZ服务器(真实防火墙)”相同,为了降低操作难度,我们只对ASA防火墙模拟器进行配置,完整的实验请参照“实验四 asa 5505 从内网访问DMZ服务器(真实防火墙)”。
一、实验目标
在这个实验中朋友你将要完成下列任务:
1.用nameif命令给接口命名
2.用ip address命令给接口分配IP
3.用duplex配置接口的工作模式----双工(半双工)
4.配置内部转化地址池(nat)外部转换地址globla
二、实验拓扑
三、实验过程
1. ASA 模拟器基本配置:
ciscoasa>
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# interface e0/2 *进入e0/2接口的配置模式
ciscoasa(config-if)# nameif dmz *把e0/2接口的名称配置为dmz
INFO: Security level for "dmz" t to 0 by default.
ciscoasa(config-if)# curity-level 50 *配置dmz 安全级别为50
ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给e0/2接口配置IP地址
ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商
ciscoasa(config-if)# no shutdown *打开e0/2接口
ciscoasa(config-if)# exit *退出e0/2接口的配置模式
ciscoasa(config)#
ciscoasa(config)# interface e0/0 *进入e0/0接口的配置模式
ciscoasa(config-if)# nameif inside *careabout把e0/0接口的名称配置为inside
INFO: Security level for "inside" t to 100 by default.
*安全级别取值范围为学电脑组装维修1~100,数字越大安全级别越高,在默认情况下,inside安全级别为100。
ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给e0/0接口配置IP地址
ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商
ciscoasa(config-if)# no shutdown *打开e0/0接口
ciscoasa(config-if)# exit *退出e0/0go through接口的配置模式
ciscoasa(config)#
2. ASA 模拟器本身接口的连通性测试
测试防火墙本身e0/2接口连通性
ciscoasa(config)# ping 11.0.0.1
Type escape quence to abort.
Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 conds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
测试防火墙本身e0/0接口连通性
ciscoasa(config)# ping 192.168.0.211
Type escape quence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 conds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
3. entity配置ASA模拟器实现从内部网络inside到外部网络outside的访问:
ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0 *nat是地址转换命令,将内网的私有ip转换为外网公网ip;用来定义那些主机需要进行出站地址转换。“nat (inside) 1 0.0.0.0 0.0.0.0” 表示内网的所有主机(0 0)都可以访问由global指定的外网。
ciscoasa(config)# show running-config nat *查看防火墙的nat配置
英文翻译器nat (inside) 1 0.0.0.0 0.0.0.0 *nat配置信息
ciscoasa(config)# global (dmz) 1 interface *使用nat命令后,必须使用global命令定义用于转换的IP地址范围。“global (dmz) 1 interface”使用端口地址转换(PAT),指定PAT使用dmz接口上的IP地址进行出站转换连接。
INFO: dmz interface address added to PAT pool
ciscoasa(config)# show running-config global *查看防火墙的global配置
global (dmz) 1 interface *global配置信息
ciscoasa(config)# write memory *保存配置信息
Cryptochecksum: 8def4d19 431e9e78 2fd65d14 1089138c
%Error opening disk0:/.private/startup-config ()
Error executing command
[FAILED]
* 很遗憾,由于模拟器的局限性,无法保存配置!
ciscoasa(config)# write era *删除配置文件信息
Era configuration in flash memory? [confirm]
[FAILED]
ciscoasa(config)#
* 很遗憾,由于模拟器的局限性,无法删除配置文件信息!
4.本实验重点难点知识:
内部网络通常使用私有IP地址以节省公共IP地址资源,但这些私有IP地址不能在Internet上路由,所以在转发内部网络的数据包到外部网络时需通过NAT(网络地址转)将私有IP转换为全球公认IP地址,这也使得内部IP地址对外隐藏起来,提高安全性。
ASA防火墙默认允许流量从较高安全级别的接口流向较低安全级别的接口,为这些出站流量进行网络地址转换,可以防止将较高安全级别的主机地址暴露给较低安全级别的接口。对于防火墙,从内部接口到外部接口流量的地址转换则需将内部地址转换为某个外部地址(如果是接入Internet,必须转换为NIC注册的地址,即公网IP)。
考虑NAT时,必须考虑是否有与内部地址等量的转换地址,如果没有,在建立连接时,某些内部主机就无法获得网络访问。出现此问题时可以使用端口地址转换(PAT)来解决,永恒的爱英文PAT允许多达6400台内部主机同时使用一个转换地址,从而在隐藏内部网络地址的同时,减少所需的有效转换地址的总量。
定义出站连接时,首先用nat命令来定义哪些主机需要出站的地址转换,然后使用global命令来定义地址池,两个命令通过nat_id参数关联起来!
(1) global 命令
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name)的英文:表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
例如:
ciscoasa(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址池1对应的IP是:133.0.0.1-133.0.0.15
ciscoasa(config)#global (outside) 1 133.0.0.1
地址池1只有一个townhallIP地址 133.0.0.1。
ciscoasa(config)#no global (outside) 1 133.0.0.1
表示删除这个全局表项。
(2) nat命令
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。
exocell
[netmark]:表示内网ip地址的子网掩码。
