【网络安全】防火墙的NAT实验
防火墙的NAT实验
实验步骤
- 配置IP地址,并检测直连链路通信无异常
- 依次进行动态NAT、PAT和静态NAT、PAT的配置
- 再进行NAT豁免实验
- 依次进行实验的结果测试
实验拓扑
根据拓扑,配置路由器和PC的IP地址,因为配置IP地址比较简单,这里就不一一记录
实验命令
ASA防火墙
ciscoasa(config)# int e0/1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.10.253 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# int e0/2
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 202.100.10.1 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config)# int e0/3
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip add 192.168.20.253 255.255.255.0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# route outside 0 0 202.100.10.2
动态NAT
ASA防火墙
ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# global (outside) 1 202.100.10.10-202.100.10.20 //定义内部全局地址池,注意nat-id要一致
动态PAT
ASA防火墙
ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# global (outside) 1 [202.100.10.11] / [interface]
//定义内部全局地址,注意nat-id要一致
静态NAT
ASA防火墙
ciscoasa(config)# static (inside,outside) 202.100.10.30 192.168.20.2
//本地全局地址 + 本地局部地址
ciscoasa(config)# ciscoasa(config)# access-list acl1 permit ip any host 202.100.10.30
ciscoasa(config)# access-group acl1 in interface outside
静态PAT
ASA防火墙
ciscoasa(config)# static (dmz,outside) tcp [202.100.10.30] /[interface] telnet 192.168.20.1 telnet //和静态nat类似,先设置本地全局地址,在设置本地局部地址。若设置的时interface则默认为outside接口作为复用全局IP
ciscoasa(config)# access-list 0to50 permit ip any host 202.100.10.30
ciscoasa(config)# access-group 0to50 in int outside
NAT豁免
ASA防火墙
ASA(config)# nat-control
//开启NAT控制通过ASA防火墙的数据包都必须使用NAT地址转换技术
ASA(config)# access-list huomian permit ip 192.168.10.0 255.255.255.0 202.100.20.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list huomian
//inside接口应用ACL,注意nat-id为0 表示使用NAT豁免,优先级最高
就是ACL中的地址经过ASA防火墙时,不需要进行地址转换
*NAT控制1
*NAT豁免2
试验测试
动态NAT
动态PAT
静态NAT
静态PAT
NAT豁免
为了达到实验效果需要在R4配置一条回程的静态
开启NAT控制前,PC1可以正常访问PC4
开启NAT控制后,PC1访问PC4失败
配置NAT豁免
PC1又可以正常访问PC4
NAT控制:当NAT控制关闭时,有NAT转换映射的地址进行转换并访问,没有NAT转换映射的地址不受阻碍;当NAT控制开启时,有NAT转换映射的地址进行转换并访问,没有NAT转换映射的地址禁止通信 ↩︎
NAT豁免:不论目标路由是否有NAT映射关系,都不进行NAT转换,直接放行,即使开启NAT控制也不能阻碍没有进行地址转换的路由,多用于虚拟专用网络 ↩︎