实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址。然后客户端使用本地的一个回环网卡进行连接。
实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接。
首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了。
在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了。
下面是设置启用防火墙的配置文件。
下面是对于ASA防火墙不能够保存配置文件的操作过程,只要创建一个startup-config配置文件,并运行就行了。
然后是配置各个接口的IP地址,还有DMZ区域的优先级,以及配置一条默认路由。
下面就配置两台linux服务器,首先检查是否跟拓扑规划一样连接VMnet1或者说是仅主机模式。
然后是查看linux-3的IP地址配置。
然后开启httpd的服务,并编辑配置网站的默认网页。
下面是自测的结果,并指定DNS地址。
下面配置另外一台linux-1,下面是连接模式VMnet8。
下面是linux-1的IP地址配置,也要注意网关地址。
下面同样是启用httpd服务,并编辑默认网站的网页内容。
此时也可以输入IP地址进行一下自测apache服务的。
然后安装DNS域名解析服务(具体配置略)结果验证如下,特别需要注意的是配置两个区域的配置文件以及主机A记录文件。
下面是DNS的配置结果,能够使用host解析就说明OK了。注意主机A记录中的配置文件。
现在检查VMnet1虚拟网卡配置、VMnet8虚拟网卡配置,都设置为自动获取就行。下面是本地连接2网卡的IP地址配置,并指定DNS地址。
在客户机上测试是否可以正常访问网站,ping是不通的,因为ICMP是非动态化协议。
或者使用域名的形式进行访问。
设置NAT地址转换以及在outside区域和DMZ区域应用,并设置ICMP入站连接。
下面是ping两台服务器的结果(之前没有应用在DMZ区域)。
下面为了具体验证NAT结果,可以使用wireshark抓包软件进行抓包验证,选择抓R3上面的f0/1端口。
打开之后输入ICMP,然后再使用命令ping其他主机,如果没有转换源地址是192.168.10.2,但是转换之后的IP地址是12.0.0.2(因为抓的是R3的f0/1端口)。
下面通过ACL语句来设置允许、拒绝内网IP地址的访问。
下面这条命令是刷新缓存的作用。
在web网站上清除缓存的过程,点击设置,然后点击删除历史记录就行了。
下面再次进行访问无论是IP地址或者域名都不能够访问web网站。
下面是设置静态NAT的转换方式,并设置ACL语句允许入站连接,也就是回来时的转换过程,应用在outside接口。
下面是设置telnet远程登录的方式,或者SSH加密登陆方式。
下面是telnet登陆的过程。
下面是SSH登陆的方式,pix是ASA防火墙的默认用户名。
OK!实验完成!实验总结:特别需要注意的是DNS中的配置。如果访问结果不对,需要多清空几下缓存再进行访问。抓包的时候需要注意要抓R3路由器上面的端口。写的不易,请大家支持!