网络工程设计与项目实训 09 防火墙配置.pptVIP

* 第*页 （2）将全局地址映射给本地地址（NAT） 地址转换命令，将内网的私有ip转换为外网公网ip。 命令格式： nat (内网接口) NAT_ID 本地IP地址 子网掩码 参数说明： 内网接口：表示内网接口名称，一般为inside。 NAT_ID：其值为大于等于1的数字。0有特殊用途。此nat命令将与有相同NAT_ID的gobal命令的配对进行地址转换。 本地IP地址：将会被转换的本地IP地址。 子网掩码：表示与本地IP地址对应的子网掩码。 * 第*页 （3）配置案例 例1．企业内网的网络地址为/24，现在通过端口地址转换（PAT）访问Internet，已知分配给动态NAT的IP地址池为。现在ASA防火墙上实现端口地址转换（PAT），并验证。 * 第*页 I．ASA防火墙、路由器等设备的基本配置 按图9.3.1建立拓扑，并按图9.3.1所示对各设备进行配置，并测试验证。 //在ASA上配置接口名称、安全级别、IP地址 CiscoAsa(config)# interface e0/1 CiscoAsa(config-if)# nameif inside CiscoAsa(config-if)# security-level 100 CiscoAsa(config-if)# ip address CiscoAsa(config-if)# no shutdown * 第*页 CiscoAsa(config)# interface e0/0 CiscoAsa(config-if)# nameif outside CiscoAsa(config-if)# security-level 0 CiscoAsa(config-if)# ip address CiscoAsa(config-if)# no shutdown * 第*页 //在路由器R1配置IP地址、默认路由 R1(config)# ip route //默认路由 R1(config)# interface f0/0 R1(config-if)# ip address R1(config-if)# no shutdown * 第*页 //在路由器R2配置IP地址、默认路由、设置远程登录口令 R2(config)# ip route R2(config)# interface f0/0 R2(config-if)# ip address R2(config-if)# no shutdown R2(config)# line vty 0 4 R2(config-line)# password abcd R2(config-line)# login * 第*页 2.1 ASA防火墙的地址转换 1）ASA防火墙的地址转换 地址转换是防火墙的一项重要功能，也可以说是一项必备的功能。当前，几乎所有的企业网络在连入Internet时，都要做NAT。ASA IOS 7.0以前，通过防火墙的流量默认必须是要做NAT的，否则，不能通过。 地址转换可以在一定程度上解决IPv4的地址紧张问题；可以隐藏内部网络，起到保护内部网络的作用。 * 第*页 2）ASA防火墙支持的NAT类型 Cisco ASA防火墙一共支持以下5种类型的地址转换，它们的配置方法互不相同。 动态NAT 动态PAT 静态NAT 静态PAT 策略NAT或PAT * 第*页 2.2 动态网络地址转换（动态NAT）配置及案例 ASA防火墙的动态NAT配置比路由器的NAT配置需要的命令数目少，ASA防火墙的动态NAT配置主要由以下二步组成： 定义全局地址池； 将全局地址池映射给本地地址。 * 第*页 1）定义全局地址池（Global） 命令格式： global (外网接口) NAT_ID 起始IP地址-结束IP地址 netmark 子网掩码 参数说明： 外网接口：表示外网接口名称，一般为outside。 NAT_ID标识：其值为大于等于1的数字。0有特殊用途。此global命令将与有相同NAT_ID的nat命令的配对进行地址转换。 起始IP地址-结束IP地址：NAT的地址池，也即将被转成的ip地址范围。 子网掩码：表示与地址池的全局IP地址的相对应的子网掩码。 * 第*页 2）将全局地址池映射给本地地址（NAT） 地址转换命令，将内网的私有ip转换为外网公网ip。 命令格式： nat (内网接口) NAT_ID 本地IP地址 子网掩码 参数说明： 内网接口：表示内网接口名称，一般为inside。 NAT_ID：其值为大于等于1的数字。0有特殊用途。此nat命令将于有相同NAT_