实验三 ASA模拟器从内网访问DMZ区服务器配置
(ASA模拟器)
注意:本实验配置为用模拟器来实现,用来练习防火墙命令的使用,实现的功能和“实验三asa 5505 从内网访问外网服务(真实防火墙)”相同,为了降低操作难度,我们只对ASA防火墙模拟器进行配置,完整的实验请参照“实验三asa 5505 从内网访问外网服务(真实防火墙)”。
一、实验目标
在这个实验中朋友你将要完成下列任务:
1.用nameif命令给接口命名
2.用ip address命令给接口分配IP
3.用duplex配置接口的工作模式----双工(半双工)
4.配置内部转化地址池(nat)外部转换地址globla
二、实验拓扑
三、实验过程
1. ASA 模拟器基本配置:
ciscoasa>
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# interface e0/1 *进入e0/1接口的配置模式
ciscoasa(config-if)# nameif outside *把e0/1接口的名称配置为dmz
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# ip address 10.0.1.1 255.0.0.0 *给e0/1接口配置IP地址
ciscoasa(config-if)# duplex auto *设置e0/1接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/1接口
ciscoasa(config-if)# exit *退出e0/1接口的配置模式
ciscoasa(config)#
ciscoasa(config)# interface e0/0 *进入e0/0接口的配置模式
ciscoasa(config-if)# nameif inside *把e0/0接口的名称配置为inside
INFO: Security level for "inside" set to 100 by default.
*安全级别取值范围为1~100,数字越大安全级别越高,在默认情况下,inside安全级别为100。
ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给e0/0接口配置IP地址ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/0接口
ciscoasa(config-if)# exit *退出e0/0接口的配置模式
ciscoasa(config)#
2. ASA 模拟器本身接口的连通性测试
①测试防火墙本身e0/1接口连通性
ciscoasa(config)# ping 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
②测试防火墙本身e0/0接口连通性
ciscoasa(config)# ping 192.168.0.211
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
3. 配置ASA模拟器实现从内部网络inside到外部网络outside的访问:
ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0 *nat是地址转换命令,将内网的私有ip转换为外网公网ip;用来定义那些主机需要进行出站地址转换。
“nat (inside) 1 0.0.0.0 0.0.0.0”表示内网的所有主机(0 0)都可以访问由global指定的外网。
ciscoasa(config)# show running-config nat *查看防火墙的nat配置
nat (inside) 1 0.0.0.0 0.0.0.0 *nat配置信息
ciscoasa(config)# global (dmz) 1 interface *使用nat命令后,必须使用global命令定义用于转换的IP地址范围。
“global (outside) 1 interface”使用端口地址转换(PAT),指定PAT使用dmz 接口上的IP地址进行出站转换连接。
INFO: outside interface address added to PAT pool
ciscoasa(config)# show running-config global *查看防火墙的global配置
* 很遗憾,由于模拟器的局限性,无法保存配置!
* 很遗憾,由于模拟器的局限性,无法删除配置文件信息!
4.本实验重点难点知识:
内部网络通常使用私有IP地址以节省公共IP地址资源,但这些私有IP地址不能在Internet 上路由,所以在转发内部网络的数据包到外部网络时需通过NAT(网络地址转)将私有IP转换为全球公认IP地址,这也使得内部IP地址对外隐藏起来,提高安全性。
ASA防火墙默认允许流量从较高安全级别的接口流向较低安全级别的接口,为这些出站流量进行网络地址转换,可以防止将较高安全级别的主机地址暴露给较低安全级别的接口。
对于防火墙,从内部接口到外部接口流量的地址转换则需将内部地址转换为某个外部地址(如果是接入Internet,必须转换为NIC注册的地址,即公网IP)。
考虑NAT时,必须考虑是否有与内部地址等量的转换地址,如果没有,在建立连接时,某些内部主机就无法获得网络访问。
出现此问题时可以使用端口地址转换(PAT)来解决,PA T 允许多达6400台内部主机同时使用一个转换地址,从而在隐藏内部网络地址的同时,减少所需的有效转换地址的总量。
定义出站连接时,首先用nat命令来定义哪些主机需要出站的地址转换,然后使用global 命令来定义地址池,两个命令通过nat_id参数关联起来!
(1) global 命令
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
例如:
(2) nat命令
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
亲爱的朋友,当你完成这个模拟实验,请你思考一下,这个实验和实验“实验三asa 5505 从内网访问外网服务(真实防火墙)”有何相同和不同之处!下个实验我们将学习从外网访问DMZ服务器。