Cisco ASA配置（二）

对于NAT来说大家并不是很陌生了，在路由器上的nat和防火墙的nat原理是一致的，区别在于命令的配置而已。

动态NAT：主要用来访问互联网，将一组ip转换为指定地址池中的ip地址，或者是某一接口（PAT）。

  基本语法：

      nat （interface_name) nat-id local-ip mask定义要做动态NAT的网段。

      global （interface_name）nat-id { global-ip(start-end)}

      global  (interface_name) nat-id interface动态PAT，当然也需要定义网段

静态NAT：主要用来发布内网的服务器（通常位于dmz区域）

  基本语法：

       static （local_if_name,global_if_name） global-ip local-ip [netmask mask]

      static （local_if_name,global_if_name） {tcp | udp} {global-ip |interface}

       global-port local-ip local-port [netmask mask]静态PAT

NAT控制：ASA从7.0版本开始提供了一个NAT控制的开关，即nat-control命令，默认是禁用的。

no nat-control：此时，NAT规则不是必需的。

nat-control：此时，一切都要经过NAT表（豁免除外），所以NAT规则是必需的。

nat豁免：何为nat豁免，（前提）就是当启用NAT控制时，不进行NAT转换的就叫NAT豁免。

要做NAT豁免，必需先要定义ACL列表

       语法：nat （interface_name） 0 access-list acl_name

  接下来通过具体的配置来进一步的说明上面的理论

e0/0为inside区域，e0/1为outside区域，e0/2为dmz区域

以上pc均为路由器模拟而成。

pc1配置如下

pc2配置如下

R3配置如下

telnet配置如下

web配置如下

ISP配置如下

ASA配置如下

基本配置：

配置特权密码和远程密码，启用nat-control，配置动态PAT，配置NAT豁免

配置静态PAT，发布Dmz区域的服务器，acl列表，开启ssh和telnet，至于其他的接入方式如ASDM等这里不作介绍了。

配置ssh需要四个步骤：

       配置hostname：hostname [name]

       配置域名：domain-name [xxx.com]

       生成RSA密钥对：crypto key generate rsa modulus [1024/2048]

       配置允许ssh接入：ssh [ip/net-mask] interface_name

配置telnet很简单：

       telnet [ip/net-mask] interface_name对于telnet远程的规则是不允许最低安全级别登录，即使设置了telnet允许规则也不行。ssh不受此限制。

注意下面有点错误改正一下：

no access-list out-dmz permit ip any host 192.168.3.2
no access-list out-dmz permit ip any host 192.168.3.2这连个acl是错误的
改为：access-list out-dmz permit ip any host 200.0.0.100即可

验证结果：

pc1上验证：可以访问ISP，可以访问dmz区域的server（pc2上也一样）

ASA上查看NAT转换表show xlate detail（sr静态PAT，ri代表动态PAT）

ISP上验证

远程登录操作：ssh -l pix [ip]

当然了，对于远程登陆的方式有很多种，比如在windows系统上你可以用Putty工具登录

这里不作演示。