20-思科防火墙：Network Static NAT：网络静态NAT（思科5510防火墙）

20-思科防火墙：Network Static NAT：网络静态NAT（思科5510防火墙）

三、命令部署：实验一：网段转换1、清除上个实验的Object配置，并查看验证：ASA(config)# clear configure objectASA(config)# show run objectASA(config)# show run nat

2、将原来的10.1.1.0/24改为10.1.1.0/28R2(config)#int f0/0R2(config-if)#ip add 10.1.1.2 255.255.255.240

3、配置Network static NAT，转换Inside网络10.1.1.0/28到DMZ区域的网络地址10.1.2.0/28ASA(config)# object network in-dmzASA(config-network-object)# subnet 10.1.2.0 255.255.255.240

ASA(config)# object network in-yuanASA(config-network-object)# subnet 10.1.1.0 255.255.255.240ASA(config-network-object)# nat (inside,dmz) static in-dmz验证：R2#telnet 10.1.2.3Trying 10.1.2.3 ... OpenUser Access VerificationUsername: ccPassword: R3>

ASA# show xlate1 in use, 3 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceNAT from inside:10.1.1.0/28 to dmz:10.1.2.0/28flags s idle 0:01:05 timeout 0:00:00

R3#show users Line User Host(s) Idle Location

0 con 0 idle 00:00:00 130 vty 0 cc idle 00:00:31 10.1.2.2

清除掉刚刚的连接：包括xlate和arpASA# clear xlateINFO: 0 xlate deletedASA# clear arp inside

4、R2更改IP地址为10.1.1.3/28R2(config)#int f0/0R2(config-if)#ip add 10.1.1.3 255.255.255.240验证：R2#telnet 10.1.2.3Trying 10.1.2.3 ... % Connection timed out; remote host not responding结论：老师的不行，我的也不行，各种清xlate、arp都不行，怪事。

实验二：范围转换1、清除上个实验的Object配置，并查看验证：ASA(config)# clear configure objectASA(config)# show run objectASA(config)# show run nat

2、配置Network static NAT，转换DMZ网络10.1.2.200-10.1.2.210到Outside区域的网络地址202.100.1.200-202.100.1.210ASA(config)# object network out-poolASA(config-network-object)# range 202.100.1.200 202.100.1.210

ASA(config)# object network dmz-yuanASA(config-network-object)# range 10.1.2.200 10.1.2.210ASA(config-network-object)# nat (dmz,outside) static out-pool

3、修改R3地址为10.1.2.200R3(config)#int f0/0R3(config-if)#ip add 10.1.2.200 255.255.255.0

验证：有时候地址可以对的上有时候对不上，多更改R3地址看是否能对的上：第一次：对上了R3#telnet 202.100.1.1Trying 202.100.1.1 ... OpenUser Access VerificationUsername: aaPassword: R1>

R1#show usersLine User Host(s) Idle Location 66 vty 0 aa idle 00:00:21 202.100.1.200第二次：也对上了R3(config)#int f0/0R3(config-if)#ip add 10.1.2.205 255.255.255.0

R3#telnet 202.100.1.1Trying 202.100.1.1 ... OpenUser Access VerificationUsername: aaPassword: R1>

R1#show usersLine User Host(s) Idle Location66 vty 0 aa idle 00:00:29 202.100.1.205

第三次：又对上了R3(config)#int f0/0R3(config-if)#ip add 10.1.2.209 255.255.255.0

R1#show usersLine User Host(s) Idle Location66 vty 0 aa idle 00:00:02 202.100.1.209ASA模拟器有点小问题，效果不能全部出来！！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。