实验三 asa 5505 从内网访问外网服务
(真实防火墙)
一、实验目标
在这个实验中朋友你将要完成下列任务: 1.创建vlan 2.给vlan命名 3.给vlan分配IP
4.把接口加入到相应的VLAN,并配置接口的速率、双工(半工) 5.配置内部转化地址池(nat)外部转换地址globla 6.配置WWW和FTP服务器
二、实验拓扑
------------------------------------------------------------------------------------------------------------------------
1
三、实验过程
1. ASA 5505基本配置: ciscoasa>
ciscoasa> enable Password: ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# interface vlan22 *建立ID为22的虚拟局域网(vlan)
ciscoasa(config-if)# nameif outside *把vlan22的接口名称配置为outside,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。在默认情况下,outside安全级别为0。
INFO: Security level for \
ciscoasa(config-if)# ip address 10.0.1.1 255.0.0.0 *给vlan22配置IP地址
ciscoasa(config-if)# interface vlan33 *建立ID为33的虚拟局域网(vlan)
ciscoasa(config-if)# nameif inside *把vla33的接口名称配置为inside,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。在默认情况下,inside安全级别为100。 INFO: Security level for \
ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给vlan33配置IP地址 ciscoasa(config-if)# exit
ciscoasa(config)# interface ethernet0/0 *进入e0/0接口的配置模式 ciscoasa(config-if)# switchport access vlan 22 *把e0/0接口划分到vlan22中 ciscoasa(config-if)# speed auto *设置e0/0接口的速率为自动协商 ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商 ciscoasa(config-if)# no shutdown *打开e0/0接口
ciscoasa(config-if)# interface e0/1 *进入e0/1接口的配置模式 ciscoasa(config-if)# switchport access vlan 33 *把e0/1接口划分到vlan33中 ciscoasa(config-if)# speed auto *设置e0/1接口的速率为自动协商 ciscoasa(config-if)# duplex auto *设置e0/1接口的工作模式为自动协商 ciscoasa(config-if)# no shutdown *打开e0/0接口 ciscoasa(config-if)# exit ciscoasa(config)#
2. 配置PC:
具体网络参数如拓扑图所示。
3. 配置WWW / FTP Server:
1) 具体网络参数如拓扑图所示;
2) 配置为WWW服务器和FTP服务器。
4. 测试连通性:
ciscoasa(config)#ping 10.0.1.2
2
ciscoasa(config)#ping 192.168.0.212
5. 设置内部网络inside到外部网络outside的访问:
ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0 *nat是地址转换命令,将内网的私有ip转换为外网公网ip;用来定义那些主机需要进行出站地址转换。“nat (inside) 1 0.0.0.0 0.0.0.0” 表示内网的所有主机(0 0)都可以访问由global指定的外网。
ciscoasa(config)# show running-config nat *查看防火墙的nat配置 nat (inside) 1 0.0.0.0 0.0.0.0 *nat配置信息
ciscoasa(config)# global (outside) 1 interface *使用nat命令后,必须使用global命令定义用于转换的IP地址范围。“global (outside) 1 interface”指定PAT使用outside接口上的IP地址进行出站转换连接。
INFO: outside interface address added to PAT pool
ciscoasa(config)# show running-config global *查看防火墙的global配置 global (outside) 1 interface *global配置信息 ciscoasa(config)# write memory *保存配置信息 Building configuration...
Cryptochecksum: de59f584 8409efb6 22165e2b 21be55fe 1974 bytes copied in 1.420 secs (1974 bytes/sec) [OK]
ciscoasa(config)#
6. 从PC 访问WWW / FTP 服务器:
http:\\\\10.0.1.2 ftp:\\\\10..0.1.2
亲爱的朋友,当你完成这个实验,请你思考一下,这个实验和实验二有何相同和不同之处!
3
实验三 asa 5505 从内网访问外网服务(真实防火墙)
