23-思科防火墙:ASA Twice NAT

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了23-思科防火墙:ASA Twice NAT相关的知识,希望对你有一定的参考价值。

一、实验拓扑:
技术分享图片
Twice NAT好处:可以节省主机或者路由器的配置,R1可以不需要有默认路由,R2(PC)可以不写网关;
二、实验要求:
1、当Inside网络10.1.1.0/24,去往Outside地址1.1.1.1时,转换内部网络10.1.1.0/24到Outside区域地址202.100.1.101;
2、当Inside网络10.1.1.0/24,访问内部网络地址10.1.1.101时,就会被转送到木的地1.1.1.1,并且转换内部网络10.1.1.0/24到Outside区域地址202.100.1.102。
三、命令部署:
1、ASA上增加到R1环回口1.1.1.1的默认路由:
ASA(config)# route outside 1.1.1.0 255.255.255.0 202.100.1.1
验证:
ASA(config)# ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:!!!!!

2、ASA放行ICMP的流量:
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# inspect icmp
验证:
R2#ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:.!!!!

3、当Inside网络10.1.1.0/24,去往Outside地址1.1.1.1时,转换内部网络10.1.1.0/24到Outside区域地址202.100.1.101
ASA(config)# object network inside-weizhuanhuan //转换前内部源地址
ASA(config-network-object)# subnet 10.1.1.0 255.255.255.0

ASA(config)# object network mude-loopback //内部要访问的目的地址
ASA(config-network-object)# host 1.1.1.1

ASA(config)# object network out-zhuanhuanhou //转换后外部地址
ASA(config-network-object)# host 202.100.1.101

ASA(config)# nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static mude-loopback mude-loopback //全局下部署的,意思是:源地址动态转换,访问的目的地址不转换,依然是目的地址
验证:
ASA(config)# show run nat
nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static mude-loopback mude-loopback

R2#telnet 1.1.1.1
Trying 1.1.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:20:19

  • 66 vty 0 aa idle 00:00:00 202.100.1.101

R1是不可以主动Telnet R2的,因为这是动态转换:
R1#telnet 202.100.1.101
Trying 202.100.1.101 ...
% Connection timed out; remote host not responding

R2去的目的不一样是不会做转换的:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:01:41

  • 66 vty 0 aa idle 00:00:00 10.1.1.2

结论:只有源去往这个目的才会转换,否则不会转换的。

4、当Inside网络10.1.1.0/24,访问内部网络地址10.1.1.101时,就会被转送到目的地1.1.1.1,并且转换内部网络10.1.1.0/24到Outside区域地址202.100.1.102(也就是把10.1.1.2转换为202.100.1.102)
步骤:
(1)先删除刚刚最后一条:
ASA(config)#no nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static mude-loopback mude-loopback
(2)增加内部目的地址:
ASA(config)# object network in-mude
ASA(config-network-object)# host 10.1.1.101
(3)查看Object
ASA# show run object
object network inside-weizhuanhuan
subnet 10.1.1.0 255.255.255.0
object network mude-loopback
host 1.1.1.1
object network out-zhuanhuanhou
host 202.100.1.101
object network in-mude
host 10.1.1.101
(4)部署NAT:
ASA(config)# ASA(config)# nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static in-mude mude-loopback
验证:
(1)先把R1、R2的默认路由删除掉,此处不需要默认路由:
R1(config)#no ip route 0.0.0.0 0.0.0.0 202.100.1.10
R2(config)#no ip route 0.0.0.0 0.0.0.0 10.1.1.10

(2)R2远程Telnet 10.1.1.101,它会跳转到R1的1.1.1.1
R2#telnet 10.1.1.101
Trying 10.1.1.101 ... Open
User Access Verification
Username: aa
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:46

  • 66 vty 0 aa idle 00:00:00 202.100.1.101
    结论:看到的源地址是202.100.1.101

(3)ASA上查看转换槽位:
ASA# show xlate
2 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from outside:1.1.1.1 to inside:10.1.1.101
flags sT idle 0:02:01 timeout 0:00:00
TCP PAT from inside:10.1.1.2/13010 to outside:202.100.1.101/35121 flags ri idle 0:02:01 timeout 0:00:30

(4)R1反过来Telnet 202.100.1.101是不通的:
R1#telnet 202.100.1.101 //反过来是不可以的
Trying 202.100.1.101 ...
% Connection timed out; remote host not responding

(5)R2直接Telnet 202.100.1.1是不通的,因为没有路由条目:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ...
% Destination unreachable; gateway or host down
//而且秒快就会弹出错误提示信息,原因:没有路由,连包都封装不了。

总结:服务器做NAT映射,一般情况下都是做的这种映射/转换,但是一般做的是静态转换,而且同时会加入端口号的转换。
比如:ASA(config)# nat (inside,outside) source static 10.1.1.2 object destination
携带静态、Object等,还可以加端口

以上是关于23-思科防火墙:ASA Twice NAT的主要内容,如果未能解决你的问题,请参考以下文章

17-思科防火墙:ASA动态NAT:实验一

18-思科防火墙:ASA动态NAT:实验二

思科---防火墙asa5520配置笔记

思科防火墙asa5505路由配置

请问下CISCO asa5505防火墙,能不能作为路由器使用。进行NAT让内部两个VLAN访问互联网。怎么实施呢?

思科ASA5520防火墙如何配置能正常上网?