实验10思科ASA防火墙的NAT配置 一、实验目标 1、掌握思科ASA防火墙的NAT规则的基本原理； 2、掌握常见的思科ASA防火墙的NAT规则的配置方法。 二、实验拓扑 根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。 三、实验配置 1、路由器基本网络配置，配置IP地址和默认网关 R1#conft R1(config)#intf0/0 R1(config-if)#noshutdown R1(config-if)#exit //配置默认网关 //添加默认路由 R1(config)#exit R1#write R2#conft R2(config)#intf0/0 R2(config-if)#noshutdown R2(config-if)#exit R2(config)#exit R2#write Server#conft Server(config)#noiprouting//用路由器模拟服务器，关闭路由功能 Server(config)#intf0/0 Server(config-if)#noshutdown Server(config-if)#exit Server(config)#exit Server#write *说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。 2、防火墙基本配置，配置端口IP地址和定义区域 ciscoasa#conft ciscoasa(config)#intg0 ciscoasa(config-if)#nameifinside ciscoasa(config-if)#noshutdown ciscoasa(config-if)#exit ciscoasa(config)#intg1 ciscoasa(config-if)#nameifdmz ciscoasa(config-if)#security-level50 ciscoasa(config-if)#noshutdown ciscoasa(config-if)#exit ciscoasa(config)#intg2 ciscoasa(config-if)#nameifoutside ciscoasa(config-if)#noshutdown ciscoasa(config-if)#exit 3、防火墙NAT规则配置 *说明：思科ASA8.3版本以后，NAT配置的方法发生了很大的改变。本文档会对改版前后的命令作比较，便于读者的理解和运用。 *可以通过showversion命令来查看防火墙当前的版本。 （1）配置协议类型放行 //状态化icmp流量，让icmp包能回包。fixup命令作用是启用、禁止、改变一个服务或协议通过防火墙。 ciscoasa(config)#fixupprotocolicmp （2）配置动态NAT规则 8.3版本后推出了两个概念：一个是networkobject，代表一个主机或者子网的访问；另外一个是serviceobject，代表服务。先定义两个object，一个用于代表转换前的地址范围，一个是转化后的地址范围，最后在转换前的object进行调用转化后的object。 ●旧版本配置： ●新版本配置： ciscoasa(config)#objectnetworkinside ciscoasa(config-network-object)#exit ciscoasa(config)#objectnetworkoutside-pool ciscoasa(config-network-object)#exit ciscoasa(config)#objectnetworkinside ciscoasa(config-network-object)#nat(inside,outside)dynamic outside-pool ciscoasa(config-network-object)#exit （3）定义DMZ区的object ciscoasa(config)#objectnetworkobj ciscoasa(config-network-object)#exit （4）配置NAT豁免 NAT豁免即决定哪些流量不进行NAT转换，no-proxy-arp表示关闭ARP代理功能。 ●旧版本配置： ●新版本配置： ciscoasa(config)#nat(inside,dmz)sourcestaticinsideinside destinationstaticobjobjno-proxy-arp （5）配置静态NAT ●旧版本