ASA NAT 综合实验
ASA NAT 综合实验
一.拓扑图如下所示:
二、需求描述
1. 动态PAT 192.168.0.0/24 192.168.1.0/24 网段可以使用防火墙的外网口IP访问外网。
2. 静态PAT 外部网络访问202.100.0.10 的23 号端口时,映射到192.168.10.1 主机的23号端口
3. 动态NAT 内部网络的11.11.11.11 和22.22.22.22 访问外网时转换为202.100.0.11-202.100.0.12
4. 静态NAT 外部网络访问202.100.10.20 时映射到DMZ 区域的77.77.77.77
5. 动态策略NAT 内网网络的11.11.11.11 和22.22.22.22 访问外部网络的55.55.55.55 时转换为202.100.0.30-202.100.0.31
6. 静态策略NAT 内部网络的33.33.33.33 访问外部网络的55.55.55.55 时映射为202.100.0.40
7. nat bypass
当内部网络的44.44.44.44 访问外部网络的66.66.66.66 时不进行NAT
三、解法:
需求1 动态PAT 192.168.0.0/24 192.168.1.0/24 网段可以使用防火墙的外网口IP访问外网。
nat (vlan22) 1 192.168.0.0 255.255.255.0
nat (vlan33) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface
需求2 静态PAT 外部网络访问202.100.0.10 的23 号端口时,映射到192.168.10.1 主机的23号端口
static (DMZ,outside) tcp interface telnet 192.168.10.1 telnet netmask 255.255.255.255
access-list out-to-in extended permit tcp any host 202.100.0.10
需求3 动态NAT 内部网络的11.11.11.11 和22.22.22.22 访问外网时转换为202.100.0.11-202.100.0.12
nat (vlan22) 2 11.11.11.0 255.255.255.0
nat (vlan22) 2 22.22.22.0 255.255.255.0
global (outside) 2 202.100.0.11-202.100.0.12
需求4 静态NAT 外部网络访问202.100.10.20 时映射到DMZ 区域的77.77.77.77
static (DMZ,outside) 202.100.0.20 77.77.77.77 netmask 255.255.255.255
access-list out-to-in extended permit ip any host 202.100.0.20
需求5 动态策略NAT 内网网络的11.11.11.11 和22.22.22.22 访问外部网络的55.55.55.55 时转换为202.100.0.30-202.100.0.31
access-list nat-policy extended permit ip host 11.11.11.11 host 55.55.55.55
access-list nat-policy extended permit ip host 22.22.22.22 host 55.55.55.55
nat (vlan22) 3 access-list nat-policy
global (outside) 3 202.100.0.30-202.100.0.31
需求6 静态策略NAT 内部网络的33.33.33.33 访问外部网络的55.55.55.55 时映射为202.100.0.40
static (vlan33,outside) 202.100.0.40 access-list policy-nat2
access-list policy-nat2 extended permit ip host 33.33.33.33 host 55.55.55.55
需求7 nat bypass
当内部网络的44.44.44.44 访问外部网络的66.66.66.66 时不进行NAT
access-list no-nat extended permit ip host 44.44.44.44 host 66.66.66.66
nat (vlan33) 0 access-list no-nat
本文出自 “遗忘的角落” 博客,谢绝转载!