【网络安全】防火墙的NAT实验

防火墙的NAT实验

实验步骤

• 配置IP地址，并检测直连链路通信无异常
• 依次进行动态NAT、PAT和静态NAT、PAT的配置
• 再进行NAT豁免实验
• 依次进行实验的结果测试

实验拓扑

根据拓扑，配置路由器和PC的IP地址，因为配置IP地址比较简单，这里就不一一记录

实验命令

ASA防火墙

ciscoasa(config)# int e0/1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip add 192.168.10.253 255.255.255.0
ciscoasa(config-if)# no sh

ciscoasa(config)# int e0/2
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 202.100.10.1 255.255.255.0
ciscoasa(config-if)# no sh


ciscoasa(config)# int e0/3
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip add 192.168.20.253 255.255.255.0
ciscoasa(config-if)# no sh

ciscoasa(config-if)# route outside 0 0 202.100.10.2

动态NAT

ASA防火墙

ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# global (outside) 1 202.100.10.10-202.100.10.20   //定义内部全局地址池，注意nat-id要一致

动态PAT

ASA防火墙

ciscoasa(config)#  nat (inside) 1 192.168.10.0 255.255.255.0
ciscoasa(config)# global (outside) 1 [202.100.10.11] / [interface]
//定义内部全局地址，注意nat-id要一致

静态NAT

ASA防火墙

ciscoasa(config)# static (inside,outside) 202.100.10.30 192.168.20.2
//本地全局地址 + 本地局部地址
ciscoasa(config)# ciscoasa(config)# access-list acl1 permit ip any host 202.100.10.30
ciscoasa(config)# access-group acl1 in interface outside

静态PAT

ASA防火墙

ciscoasa(config)# static (dmz,outside) tcp [202.100.10.30] /[interface] telnet 192.168.20.1 telnet    //和静态nat类似，先设置本地全局地址，在设置本地局部地址。若设置的时interface则默认为outside接口作为复用全局IP
ciscoasa(config)# access-list 0to50 permit ip any host 202.100.10.30
ciscoasa(config)# access-group 0to50 in int outside

NAT豁免

ASA防火墙

ASA(config)# nat-control 
//开启NAT控制通过ASA防火墙的数据包都必须使用NAT地址转换技术
ASA(config)# access-list huomian permit ip 192.168.10.0 255.255.255.0 202.100.20.0 255.255.255.0
ASA(config)# nat (inside) 0 access-list huomian
//inside接口应用ACL，注意nat-id为0 表示使用NAT豁免，优先级最高
就是ACL中的地址经过ASA防火墙时，不需要进行地址转换

*NAT控制¹

*NAT豁免²

试验测试

动态NAT

动态PAT

静态NAT

静态PAT

NAT豁免

为了达到实验效果需要在R4配置一条回程的静态

开启NAT控制前，PC1可以正常访问PC4

开启NAT控制后，PC1访问PC4失败

配置NAT豁免

PC1又可以正常访问PC4

---

---

1. NAT控制：当NAT控制关闭时，有NAT转换映射的地址进行转换并访问，没有NAT转换映射的地址不受阻碍；当NAT控制开启时，有NAT转换映射的地址进行转换并访问，没有NAT转换映射的地址禁止通信 ↩︎

2. NAT豁免：不论目标路由是否有NAT映射关系，都不进行NAT转换，直接放行，即使开启NAT控制也不能阻碍没有进行地址转换的路由，多用于虚拟专用网络 ↩︎