23-思科防火墻:ASA Twice NAT
Twice NAT好處:可以節省主機或者路由器的配置,R1可以不需要有默認路由,R2(PC)可以不寫網關;
二、實驗要求:
1、當Inside網絡10.1.1.0/24,去往Outside地址1.1.1.1時,轉換內部網絡10.1.1.0/24到Outside區域地址202.100.1.101;
2、當Inside網絡10.1.1.0/24,訪問內部網絡地址10.1.1.101時,就會被轉送到木的地1.1.1.1,並且轉換內部網絡10.1.1.0/24到Outside區域地址202.100.1.102。
三、命令部署:
1、ASA上增加到R1環回口1.1.1.1的默認路由:
ASA(config)# route outside 1.1.1.0 255.255.255.0 202.100.1.1
ASA(config)# ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:!!!!!
2、ASA放行ICMP的流量:
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# inspect icmp
驗證:
R2#ping 1.1.1.1
Type escape sequence to abort.
3、當Inside網絡10.1.1.0/24,去往Outside地址1.1.1.1時,轉換內部網絡10.1.1.0/24到Outside區域地址202.100.1.101
ASA(config)# object network inside-weizhuanhuan //轉換前內部源地址
ASA(config-network-object)# subnet 10.1.1.0 255.255.255.0
ASA(config)# object network mude-loopback //內部要訪問的目的地址
ASA(config)# object network out-zhuanhuanhou //轉換後外部地址
ASA(config-network-object)# host 202.100.1.101
ASA(config)# nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static mude-loopback mude-loopback //全局下部署的,意思是:源地址動態轉換,訪問的目的地址不轉換,依然是目的地址
驗證:
ASA(config)# show run nat
nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static mude-loopback mude-loopback
R2#telnet 1.1.1.1
Trying 1.1.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:20:19
- 66 vty 0 aa idle 00:00:00 202.100.1.101
R1是不可以主動Telnet R2的,因為這是動態轉換:
R1#telnet 202.100.1.101
Trying 202.100.1.101 ...
% Connection timed out; remote host not responding
R2去的目的不一樣是不會做轉換的:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:01:41
- 66 vty 0 aa idle 00:00:00 10.1.1.2
結論:只有源去往這個目的才會轉換,否則不會轉換的。
4、當Inside網絡10.1.1.0/24,訪問內部網絡地址10.1.1.101時,就會被轉送到目的地1.1.1.1,並且轉換內部網絡10.1.1.0/24到Outside區域地址202.100.1.102(也就是把10.1.1.2轉換為202.100.1.102)
步驟:
(1)先刪除剛剛最後一條:
ASA(config)#no nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static mude-loopback mude-loopback
(2)增加內部目的地址:
ASA(config)# object network in-mude
ASA(config-network-object)# host 10.1.1.101
(3)查看Object
ASA# show run object
object network inside-weizhuanhuan
subnet 10.1.1.0 255.255.255.0
object network mude-loopback
host 1.1.1.1
object network out-zhuanhuanhou
host 202.100.1.101
object network in-mude
host 10.1.1.101
(4)部署NAT:
ASA(config)# ASA(config)# nat (inside,outside) source dynamic inside-weizhuanhuan out-zhuanhuanhou destination static in-mude mude-loopback
驗證:
(1)先把R1、R2的默認路由刪除掉,此處不需要默認路由:
R1(config)#no ip route 0.0.0.0 0.0.0.0 202.100.1.10
R2(config)#no ip route 0.0.0.0 0.0.0.0 10.1.1.10
(2)R2遠程Telnet 10.1.1.101,它會跳轉到R1的1.1.1.1
R2#telnet 10.1.1.101
Trying 10.1.1.101 ... Open
User Access Verification
Username: aa
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:46
- 66 vty 0 aa idle 00:00:00 202.100.1.101
結論:看到的源地址是202.100.1.101
(3)ASA上查看轉換槽位:
ASA# show xlate
2 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from outside:1.1.1.1 to inside:10.1.1.101
flags sT idle 0:02:01 timeout 0:00:00
TCP PAT from inside:10.1.1.2/13010 to outside:202.100.1.101/35121 flags ri idle 0:02:01 timeout 0:00:30
(4)R1反過來Telnet 202.100.1.101是不通的:
R1#telnet 202.100.1.101 //反過來是不可以的
Trying 202.100.1.101 ...
% Connection timed out; remote host not responding
(5)R2直接Telnet 202.100.1.1是不通的,因為沒有路由條目:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ...
% Destination unreachable; gateway or host down
//而且秒快就會彈出錯誤提示信息,原因:沒有路由,連包都封裝不了。
總結:服務器做NAT映射,一般情況下都是做的這種映射/轉換,但是一般做的是靜態轉換,而且同時會加入端口號的轉換。
比如:ASA(config)# nat (inside,outside) source static 10.1.1.2 object destination
攜帶靜態、Object等,還可以加端口
23-思科防火墻:ASA Twice NAT