NAT配置步骤(2)

NAT同一性（就是自己转换自己）

ASA1(config)# nat (dmz) 0 30.1.1.0 255.255.255.0 nat 0 30.1.1.0 will be identity translated for outbound ASA1(config)# show run nat

nat (dmz) 0 30.1.1.0 255.255.255.0

在到R3上R3#telnet 1.1.1.1 在到R1上who一下 R1#who

Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 66 vty 0 idle 00:04:21 30.1.1.3

Interface User Mode Idle Peer Address 在防火墙上查看转换条目 ASA1(config)# show xlate 1 in use, 3 most used

Global 30.1.1.3 Local 30.1.1.3（自己转换自己）

NAT的豁免（和同一性作用一样）

ASA1(config)# access-list nonat permit ip 30.1.1.0 255.255.255.0 10.1.1.0 255.255.255.0（建立一个列表、名字叫做nonat、将30网段豁免到10网段上） ASA1(config)# show run access-list

access-list nonat extended permit ip 30.1.1.0 255.255.255.0 10.1.1.0 255.255.255.0 ASA1(config)# nat (dmz) 0 access-list nonat(调用到NAT上) 在到R3上telnet 10.1.1.1 R3#telnet 10.1.1.1 Trying 10.1.1.1 ... Open R1#

在到R1上查看转换条目 R1#who

Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 66 vty 0 idle 00:00:10 30.1.1.3

Interface User Mode Idle Peer Address 到防火墙上查看转换信息 ASA1(config)# show xlate

0 in use, 3 most used（没有任何转换信息、因为豁免不转换信息） 在R1上清掉信息（也就是转换条目里的缓存） R1#clear line 66 [confirm]^P [OK]

R1#clear line 67 [confirm] [OK]

映射【把R3的（dmz区域）转换到R1的（outside区域）】这样R1访问的就是R1被转换好的地址

ASA1(config)# static (dmz,outside) 10.1.1.254 30.1.1.3（把30.1.1.3的地址映射成10.1.1.254的地址）

ASA1(config)# access-list out permit tcp any host 10.1.1.254 eq telnet （建立ACL 名字叫做out 允许tcp任何用户访问10.1.1.254这台主机的telnet远程） ASA1(config)# show run access-list

access-list out extended permit tcp any host 10.1.1.254 eq telnet

access-group out in interface outside（将ACL列表调用到outside区域里） ASA1(config)# show run access-group access-group out in interface outside

在到R3上telnetR110.1.1.1 R3#telnet 10.1.1.1 Trying 10.1.1.1 ... Open R1#

在到R1上查看转换信息 R1#who

Line User Host(s) Idle Location * 0 con 0 idle 00:00:00

66 vty 0 idle 00:00:11 10.1.1.254

Interface User Mode Idle Peer Address

在R1上telnetR3需要使用10.1.1.254的ip地址才能telnet到R3上去 R1#telnet 10.1.1.254 Trying 10.1.1.254 ... Open R3#

在到防火墙上查看static表 ASA1(config)# show run static

static (dmz,outside) 10.1.1.254 30.1.1.3 netmask 255.255.255.255（看到这条命令才可以） ASA1(config)# clear configure static（删除static列表条目）

多服务器对一个公有IP的做法

将公有IP的地址映射到服务器上的各种协议的端口号上、使他们对映 ASA1(config)# static (dmz,outside) tcp 10.1.1.254 23 30.1.1.3 23（将R1上的10.1.1.254的telnet端口号23映射到R3上的30.1.1.3上的telnet端口号23上）

ASA1(config)# static (dmz,outside) tcp 10.1.1.254 80 3.3.3.3 80 （将R1上的10.1.1.254的http

端口号80映射到R3上的3.3.3.3的http端口号80上） ASA1(config)# show run static （查看列表条目）

static (dmz,outside) tcp 10.1.1.254 telnet 30.1.1.3 telnet netmask 255.255.255.255 static (dmz,outside) tcp 10.1.1.254 www 3.3.3.3 www netmask 255.255.255.255 ASA1(config)# access-list out permit tcp any host 10.1.1.254 eq telnet ASA1(config)# access-list out permit tcp any host 10.1.1.254 eq 80

ASA1(config)# show run access-list access-list out extended permit tcp any host 10.1.1.254 eq telnet access-list out extended permit tcp any host 10.1.1.254 eq www

在R3开启http80服务 R3(config)#ip http server

在R1上telnet3.3.3.3的80服务 R1#telnet 10.1.1.254 80

Trying 10.1.1.254, 80 ... Open（看到这条信息就证明是通的） R1上退出敲qoid