这里引用Blushin的一张图片来阐述。在介绍具体的配置之前,我们必须弄明白几个问题:
1.NAT是如何工作的?为什么需要NAT。还有什么是静态地址转换?
2.如何创建要映射的外部地址池
3.默认路由,比如如何创建一条默认外部路由
4.如何启用、禁用或者改变一个服务或者协议通过防火墙,
fixup指定的端口,就是防火墙要侦听的服务。
5.默认情况下,防火墙的以太端口不允许telnet,若需要telnet,该如何办呢?
Reply 1.NAT是将内部的私有地址转换成外部的公有地址,这样才能访问INTERNET。因为公有地址有限,所以为了解决地址短缺的问题,才有NAT的技术,采用NAT也可以起到隐藏内部主机地址,保护内部主机的作用。提到静态地址转换。不妨举例说明。如果要实现外部主机对DMZ的访问,则需要做如下的转换:
static(dmz,outside) 172.22.10.10 10.10.10.10 netmask 255.255.255.255 dns,这样当客户需要解析172.22.10.10这个地址的解析时,ASA会将DNS的解析结果修改为10.10.10.10,即可实现使用私有地址访问ITTERNET。
载入inside内地主机要访问dmz内地服务器。也可以用静态转换。
static(inside,dmz) 10.10.10.0 192.168.100.0 netmask 255.255.255.0Reply 2.通常情况下,我们可以将DMZ的地址转换为外部接口的地址,也可以将DMZ地址转换为外部共用地址池中的某个地址。那么如何操作呢?
global(outside) 10 interface 这里的10是NAT编号,可以用NAT_NUMBER表示,就表示一个全局的外部接口地址。所有内部的主机要访问外部,其地址都会被转换为这个接口的地址。
global(outside) 11 192.9.213.1 - 192.9.213.5 这就是一个全局地址池的创建。
Reply 3.默认路由,即就是在路由表中找不到出口时,默认的指定让数据包从一个固定的端口出去。这个固定的端口的地址,就是下一跳路由器的接口地址。创建一条外部默认路由如下:
route outside 0.0.0.0 0.0.0.0 172.22.10.1 ,在这里172.22.10.1就是外部的网关地址。
Reply 4.例如通过
fixup protocal ftp 21 启用ftp协议并指定ftp的端口号为21.使用
fixup protocol http 80 指定http协议的端口号为80,若要禁用只需在命令前加no,如
no fixup protocol ftp 21.
Reply 5.可以使用telnet 0.0.0.0 0.0.0.0 inside来允许。
说了这么多,下面我们来通过一个案例复习一下。拓扑如下图:
网络说明:防火墙采用ASA5540,防火墙的DMZ网卡设置为192.168.1.1,数据库web服务器IP地址设置为192.168.1.2,ASA的外网网卡设置为192.9.213.1,ASA内部网卡为10.129.1.1.办公室局域网的用户通过192.9.213.1这个IP地址访问WEB服务器提供的HTTP服务,办公室局域网的网关地址为192.9.213.1,内部网卡接生产工程网络。子网掩码为255.255.255.0.
命令列表:
//进入配置状态
ciscoasa#config t ciscoasa(config)#hostname ASA5540ASA5540(config)#enable secret xxxxxxASA5540(config)#interface e0/0ASA5540(config-if)#nameif outsideASA5540(config-if)#security-level 0ASA5540(config-if)#ip add 192.9.231.1 255.255.255.0ASA5540(config-if)#no shutdownASA5540(config-if)#interfacee0/1ASA5540(config-if)#nameif dmzASA5540(config-if)security-level 50ASA5540(config-if)#ip add 192.168.1.1 255.255.255.0ASA5540(config-if)#no shutdownASA5540(config-if)#interface e0/2ASA5540(config-if)#nameif insideASA5540(config-if)#security-level 100ASA5540(config-if)#ip add 10.129.1.1 255.255.255.0ASA5540(config-if)#no shutdownASA5540(config-if)#exitASA5540(config)#global(outside) 1 interface ASA5540(config)#nat(inside) 1 10.129.1.0 255.255.255.0ASA5540(config)#static(inside,dmz) 192.168.1.2 10.129.1.0 netmask 255.255.255.0 dnsASA5540(config)#static(dmz,outside) 192.9.231.1 192.168.1.2 netmask 255.255.255.255 dns
ASA5540(config)#route outside 0.0.0.0 0.0.0.0 192.9.231.1ASA5540(config)#fixup protocol http 80ASA5540(config)#access-list outlist extend permit tcp any host 192.168.1.2 eq wwwASA5540(config)#access-list outlist extend permit tcp any host 192.168.12 eq domainASA5540(config)#acess-group outlist in interface outsideASA5540(config-if)#endASA5540#write暂时就写这些,其中也有我不懂得地方,请大家多指点。我的邮箱entrust@live.cn 希望能得到专家们的指导。