实验三 cisco防火墙asa 模拟器 从内网访问outside 服务器

实验三ASA模拟器从内网访问DMZ区服务器配置（ASA模拟器）注意:本实验配置为用模拟器来实现,用来练习防火墙命令的使用，实现的功能和“实验三asa5505从内网访问外网服务（真实防火墙）”相同，为了降低操作难度，我们只对ASA防火墙模拟器进行配置,完整的实验请参照“实验三asa5505从内网访问外网服务（真实防火墙）”。一、 实验目标在这个实验中朋友你将要完成下列任务：用nameif命令给接口命名用ipaddress命令给接口分配IP用duplex配置接口的工作模式一双工（半双工）配置内部转化地址池（nat）外部转换地址globla二、 实验拓扑说粉’本带外盘SA棋拟器扔扑觀.实现的功能祁“实嗓三asaS505从内网苗何外期恥铸C真实防吮境1”相祠.1^.163.0,21^inside1921闘心2笛/24E0/0E0/1/81^.163.0,21^inside1921闘心2笛/24E0/0E0/1/8outsideWWW/卜TP三、实验过程1.ASA模拟器基本配置：ciscoasa>ciscoasa>enablePassword:ciscoasa#*进入e0/1*进入e0/1接口的配置模式ciscoasa(config-if)#nameifoutside *把e0/1接口的名称配置为dmzINFO:Securitylevelfor"outside"setto0bydefault.ciscoasa(config-if)#ipaddress*给e0/1接口配置IP地址*设置eO/1接口的工作模式为自动协商*设置eO/1接口的工作模式为自动协商*打开e0/1接口*退出e0/1接口的配置模式ciscoasa(config)#interfacee0/0ciscoasa(config-if)#nameifinside*进入e0/0接口的配置模式*把e0/0接口的名称配置为insideINFO:Securitylevelfor"inside"setto100bydefault.*安全级别取值范围为1〜100,数字越大安全级别越高,在默认情况下,inside安全级别为100ciscoasa(config-if)#ipaddress11*给e0/0接口配置IP地址*设置e0/0接口的工作模式为自动协商**设置e0/0接口的工作模式为自动协商*打开e0/0接口*退出e0/0接口的配置模式①测试防火墙本身e0/1接口连通性ciscoasa(config)#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms②测试防火墙本身e0/0接口连通性ciscoasa(config)#ping11Typeescapesequencetoabort.Sending5,100-byteICMPEchosto11,timeoutis2seconds:Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms3.配置ASA模拟器实现从内部网络inside到外部网络outside的访问：ciscoasa(config)#nat(inside)1*nat是地址转换命令，将内网的私有ip转换为外网公网ip；用来定义那些主机需要进行出站地址转换。“nat(inside)1”表示内网的所有主机(00)都可以访问由global指定的外网。ciscoasa(config)#showrunning-confignat *查看防火墙的nat配置nat(inside)1 *nat配置信息ciscoasa(config)#global(dmz)1interface*使用nat命令后,必须使用global命令定义用于转换的IP地址范围。“global(outside)1interface”使用端口地址转换(PAT)，指定PAT使用dmz接口上的IP地址进行出站转换连接。INFO:outsideinterfaceaddressaddedtoPATpoolciscoasa(config)#showrunning-configglobal *查看防火墙的global配置global(outside)1interface *global配置信息ciscoasa(config)#writememory *保存配置信息Buildingconfiguration...Cryptochecksum:8def4dl9431e9e782fd65dl41089138c%Erroropeningdisk0:/.private/startup-config()Errorexecutingcommand[FAILED]*很遗憾，由于模拟器的局限性，无法保存配置！ciscoasa(config)#writeerase *删除配置文件信息Eraseconfigurationinflashmemory?[confirm][FAILED]ciscoasa(config)#*很遗憾，由于模拟器的局限性，无法删除配置文件信息！4．本实验重点难点知识：内部网络通常使用私有IP地址以节省公共IP地址资源，但这些私有IP地址不能在Internet上路由，所以在转发内部网络的数据包到外部网络时需通过NAT(网络地址转)将私有IP转换为全球公认IP地址，这也使得内部IP地址对外隐藏起来，提高安全性。ASA防火墙默认允许流量从较高安全级别的接口流向较低安全级别的接口，为这些出站流量进行网络地址转换，可以防止将较高安全级别的主机地址暴露给较低安全级别的接口。对于防火墙，从内部接口到外部接口流量的地址转换则需将内部地址转换为某个外部地址(如果是接入Internet，必须转换为NIC注册的地址，即公网IP)。考虑NAT时，必须考虑是否有与内部地址等量的转换地址，如果没有，在建立连接时，某些内部主机就无法获得网络访问。出现此问题时可以使用端口地址转换(PAT)来解决，PAT允许多达6400台内部主机同时使用一个转换地址，从而在隐藏内部网络地址的同时，减少所需的有效转换地址的总量。定义出站连接时，首先用nat命令来定义哪些主机需要出站的地址转换，然后使用global命令来定义地址池，两个命令通过nat_id参数关联起来！(1)global命令指定公网地址范围：定义地址池。Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中：(if_name)：表示外网接口名称，一般为outside。nat_id：建立的地址池标识(nat要引用)。ip_address-ip_address：表示一段ip地址范围。[netmarkglobal_mask]：表示全局ip地址的网络掩码。例如：ciscoasa(config)#global(outside)1-5地址池1对应的IP是：-5ciscoasa(config)#global(outside)1地址池1只有一个IP地址。ciscoasa(config)#noglobal(outside)1表示删除这个全局表项。(2)nat命令地址转换命令，将内网的私有ip转换为外网公网ip。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id:表示地址池，由global命令定义。local_ip：表示内网的ip地址。对于表示内网所有主机。[netmark]:表示内网ip地址的子网掩码。在实际配置中nat命令总是与global命令配合使用。一个指定外部网络，一个指定内部网络，通过net_id联系在一起。例如：ciscoasa(config)#nat(inside)10