17-思科防火墙:ASA动态NAT:实验一
一、实验拓扑:
二、实验要求:
转换槽位不是永久存在的,默认绑定3小时,超时会被清除掉;建议把时间调短一点,因为主机连接外网时间很短。
动态NAT实验:
1、配置动态NAT转换技术,使得Inside网段转换到Outside网络202.100.1.100-200;
2、做完转换以后,R2远程登录Telnet R1,R1查看登录用户,可以看到地址是转换后的地址,并不是10.1.1.2?
3、ASA上通过show xlate查看转换状态,通过clear xlate:清除转换连接;
4、ASA清除掉之后,因为是动态映射,R2断开连接重新登录R1,会看到新的地址;
5、ASA上调整默认槽位时间,并查看。
三、命令部署:
ASA(config)# object network abc-pool //定义转换的地址池
ASA(config-network-object)# range 202.100.1.100 202.100.1.200 //转换后的地址范围
ASA(config-network-object)# object network inside-yuan //定义转化前的地址(源地址)名字
ASA(config-network-object)# subnet 10.1.1.0 255.255.255.0 //转换前的(源地址)网络地址范围
ASA(config-network-object)# nat (inside,outside) dynamic abc-pool //定义转换方式:从内到外,动态,地址池
ASA(config)# timeout xlate 1:00:00
四、验证:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Username: aa
Password:
R1>
R1#show users
Line User Host(s) Idle Location
- 0 con 0 idle 00:00:00
66 vty 0 aa idle 00:00:29 202.100.1.188
Interface User Mode Idle Peer Address
ASA(config)# clear xlate
INFO: 1 xlate deleted
R1#show users
Line User Host(s) Idle Location
- 0 con 0 idle 00:00:00
66 vty 0 aa idle 00:01:56 202.100.1.188
67 vty 1 aa idle 00:00:02 202.100.1.196
Interface User Mode Idle Peer Address
ASA(config)# show xlate
1 in use, 1 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.2 to outside:202.100.1.196 flags i idle 0:01:09 timeout 1:00:00
转载于:https://blog.51cto.com/13856092/2138603