18-思科防火墙：ASA动态NAT：实验二（asa防火墙nat映射）

18-思科防火墙：ASA动态NAT：实验二（asa防火墙nat映射）

三、命令部署：1、清除上个实验的Object，查看Object、nat、R1查看用户登录地址：ASA(config)# clear configure object //清除上个实验ObjectASA(config)# show run object //查看是否还有ObjectASA(config)# show run nat //查看是否还有NAT

R2#telnet 202.100.1.1Trying 202.100.1.1 ... OpenUser Access VerificationUsername: aaPassword: R1>

R1#show user Line User Host(s) Idle Location

0 con 0 idle 00:00:00 67 vty 1 aa idle 00:00:22 10.1.1.2Interface User Mode Idle Peer Address2、配置动态PAT，转换Inside网段到DMZ地址10.1.2.100，并在R3上查看用户登录地址：ASA(config)# object network abcASA(config-network-object)# subnet 10.1.1.0 255.255.255.0ASA(config-network-object)# nat (inside,dmz) dynamic 10.1.2.100

验证：R2#telnet 10.1.2.3Trying 10.1.2.3 ... OpenUser Access VerificationUsername: ccPassword: R3>

R3#show users Line User Host(s) Idle Location

0 con 0 idle 00:00:00 130 vty 0 cc idle 00:00:28 10.1.2.100 Interface User Mode Idle Peer Address

ASA# show xlate TCP PAT from inside:10.1.1.2/36583 to dmz:10.1.2.100/46920 flags ri idle 0:00:05 timeout 0:00:30//PAT转换的话，超时时间是30s；动态NAT和PAT转换槽位都不会永久存在的。

3、配置动态NAT，转换Inside网络到Outside地址池202.100.1.100-199；当地址池耗尽PAT转换到Outside接口地址：ASA(config)# object network outpoolASA(config-network-object)# range 202.100.1.100 202.100.1.199

ASA(config)# object network neibuASA(config-network-object)# subnet 10.1.1.0 255.255.255.0ASA(config-network-object)# nat (inside,outside) dynamic outpool interface结论：因为没有那么多主机，所以地址池耗尽，转换到接口地址不好验证，其实把地址池设为2个地址，多加几台电脑也能做，暂时先不做。

4、配置动态PAT，转换DMZ网络到Outside网络的PAT地址池202.100.1.50-60(循环使用地址)ASA(config)# object network dizhichiASA(config-network-object)# range 202.100.1.50 202.100.1.60

ASA(config)# object network dmzquyuASA(config-network-object)# subnet 10.1.2.0 255.255.255.0ASA(config-network-object)# nat (dmz,outside) dynamic pat-pool dizhichi round-robin结论：动态PAT：一共可以转换65535-1024（知名端口号）×11，每个地址可以被11个主机使用。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。