实验配置ASA应用(NAT和PAT)
inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1
C3是server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1
C2是linux服务器并且提供APACHE服务,ip地址192.168.10.10,网关192.168.10.1,虚拟机网卡绑定VMnet2
C1是内部的主机ip地址是192.168.1.2,网关192.168.1.1,宿主机网卡是Loopback(回环网卡),并且DNS指向13.0.0.2
实验步骤:
1.首先我搭建server2008服务器的web(网站为accp.com)
设置网卡,以及ip地址
这里DNS指向自己目的是为了解析,在server2008服务器上搭建DNS并且创建区域,地址指向Linux服务器
添加角色
先搭建DNS(域名解析)
然后在搭建WEB
测一下WEB
创建两个正向查询区域(下面都是一样)
第一个区域名称benet.com(第二个区域是accp.com,然后下一步,下一步)
a记录(benet.com ip 192.168.10.10)(accp.com ip13.0.0.2)
2.搭建linux服务器APACHE服务(网站为benet.com)
首先查看网卡绑定vmnet1,在进入linux图形化界面,点击终端,用ifconfig查看ip地址
查看网关
在用vi编辑器配置httpd.conf文件
监听端口
名字改下
主机名修改成sr1
启用httpd服务,并且关闭防火墙
输入ip地址检测下apache
3.配置R1和ASA(交换机是二层所以什么都不用配置,在这里pc机是不能直接连asa防火墙,所以加了个二层交换机)
首先配置R1 ip地址和默认路由
配置ASA
首先还是先初始化
然后配置接口名称和ip地址,在配置下接口的安全级别(inside默认100,dmz配下50 ,outside默认为0)
在ASA上配置默认路由
然后在宿主机上查看下ip地址并且访问www.benet.com和www.accp.com
4.开启NAT转换(动态)
把内部所有地址转换成outside接口地址,并且查看nat转换表
ping不通13.0.0.2
如果想ping通,配置ACL并且允许ICMP进行穿越
应用入口方向的outside接口上
这样就能ping通了
抓个包,查看下nat转换
5.默认C1或者是内部所有地址可以访问任何网段,假如我不想192.168.1.5 通过,那么我就要在inside上配置ACL(在这里我把C1ip改成192.168.1.5)
配置ACL,拒绝ip 192.168.1.5 所有
应用接口inside
在回到宿主上把IP地址改成192.168.1.5,并且访问www.accp.com或者www.benet.com(注意:如果还能访问,清除下DNS缓存,命令为ipconfig /flushdns)
6.C2做个静态NAT(双向通信),映射一个地址为12.0.0.1这个网段,要让C3能够访问C2 DMZ区域,但是C3访问C2不能是C2的原来地址,而是C2映射过后的地址也就是12.0.0.1
配置静态NAT(注意:先配置outside地址12.0.0.3,在配置DMZ地址192.168.10.10)
我想外面可以访问进来,做个策略配置ACL只允许访问我的网站(允许13.0.0.2访问C2映射过后的地址12.0.0.3)并且应用outside接口
在这里注意个问题,一个接口只能应用一个outside,现在外面已经应用了两条,所以现在这条覆盖了access-list 111 ,想要解决,就把ICMP允许所有,这样就能应用这两条ACL访问控制列表
在到Server2008服务器上输入C2的映射过后的地址12.0.0.3
实 验 完 成
原文地址:http://humajun.blog.51cto.com/9520388/1631430
