标签:接口 telnet config 转换 out 火墙 shadow ges object
一、实验拓扑:
三、命令部署:
1、清除上个实验的Object,查看Object、nat、R1查看用户登录地址:
ASA(config)# clear configure object //清除上个实验Object
ASA(config)# show run object //查看是否还有Object
ASA(config)# show run nat //查看是否还有NAT
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>
R1#show user
Line User Host(s) Idle Location
验证:
R2#telnet 10.1.2.3
Trying 10.1.2.3 ... Open
User Access Verification
Username: cc
Password:
R3>
R3#show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:00
130 vty 0 cc idle 00:00:28 10.1.2.100
Interface User Mode Idle Peer Address
ASA# show xlate
TCP PAT from inside:10.1.1.2/36583 to dmz:10.1.2.100/46920 flags ri idle 0:00:05 timeout 0:00:30
//PAT转换的话,超时时间是30s;动态NAT和PAT转换槽位都不会永久存在的。
3、配置动态NAT,转换Inside网络到Outside地址池202.100.1.100-199;当地址池耗尽PAT转换到Outside接口地址:
ASA(config)# object network outpool
ASA(config-network-object)# range 202.100.1.100 202.100.1.199
ASA(config)# object network neibu
ASA(config-network-object)# subnet 10.1.1.0 255.255.255.0
ASA(config-network-object)# nat (inside,outside) dynamic outpool interface
结论:因为没有那么多主机,所以地址池耗尽,转换到接口地址不好验证,其实把地址池设为2个地址,多加几台电脑也能做,暂时先不做。
4、配置动态PAT,转换DMZ网络到Outside网络的PAT地址池202.100.1.50-60(循环使用地址)
ASA(config)# object network dizhichi
ASA(config-network-object)# range 202.100.1.50 202.100.1.60
ASA(config)# object network dmzquyu
ASA(config-network-object)# subnet 10.1.2.0 255.255.255.0
ASA(config-network-object)# nat (dmz,outside) dynamic pat-pool dizhichi round-robin
结论:动态PAT:一共可以转换65535-1024(知名端口号)×11,每个地址可以被11个主机使用。
标签:接口 telnet config 转换 out 火墙 shadow ges object
原文地址:http://blog.51cto.com/13856092/2138604
