实验四 cisco思科asa 模拟器 从内网访问DMZ服务器

2024年5月29日发(作者：)

实验四 ASA模拟器从内网访问DMZ区服务器配置

(ASA模拟器)

注意：本实验配置为用模拟器来实现，用来练习防火墙命令的使用，实现的功能和“实验四 asa

5505 从内网访问DMZ服务器（真实防火墙）”相同，为了降低操作难度，我们只对ASA防

火墙模拟器进行配置，完整的实验请参照“实验四 asa 5505 从内网访问DMZ服务器（真实

防火墙）”。

一、实验目标

在这个实验中朋友你将要完成下列任务：

1．用nameif命令给接口命名

2．用ip address命令给接口分配IP

3．用duplex配置接口的工作模式----双工（半双工）

4．配置内部转化地址池（nat）外部转换地址globla

二、实验拓扑

三、实验过程

1. ASA 模拟器基本配置：

ciscoasa>

ciscoasa> enable

Password:

ciscoasa#

ciscoasa# configure terminal

1

ciscoasa(config)# interface e0/2 *进入e0/2接口的配置模式

ciscoasa(config-if)# nameif dmz *把e0/2接口的名称配置为dmz

INFO: Security level for "dmz" set to 0 by default.

ciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50

ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给e0/2接口配置IP地址

ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商

ciscoasa(config-if)# no shutdown *打开e0/2接口

ciscoasa(config-if)# exit *退出e0/2接口的配置模式

ciscoasa(config)#

ciscoasa(config)# interface e0/0 *进入e0/0接口的配置模式

ciscoasa(config-if)# nameif inside *把e0/0接口的名称配置为inside

INFO: Security level for "inside" set to 100 by default.

*安全级别取值范围为1～100，数字越大安全级别越高，在默认情况下，inside安全级别为100。

ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给e0/0接口配置IP地址

ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商

ciscoasa(config-if)# no shutdown *打开e0/0接口

ciscoasa(config-if)# exit *退出e0/0接口的配置模式

ciscoasa(config)#

2. ASA 模拟器本身接口的连通性测试

①测试防火墙本身e0/2接口连通性

ciscoasa(config)# ping 11.0.0.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

②测试防火墙本身e0/0接口连通性

ciscoasa(config)# ping 192.168.0.211

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

3. 配置ASA模拟器实现从内部网络inside到外部网络outside的访问：

ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0 *nat是地址转换命令，将内网的私有ip转换为

外网公网ip；用来定义那些主机需要进行出站地址转换。“nat (inside) 1 0.0.0.0 0.0.0.0”

表示

内网的所有主机(0 0)都可以访问由global指定的外网。

ciscoasa(config)# show running-config nat *查看防火墙的nat配置

nat (inside) 1 0.0.0.0 0.0.0.0 *nat配置信息

ciscoasa(config)# global (dmz) 1 interface *使用nat命令后，必须使用global命令定义用于转

换的IP地址范围。“global (dmz) 1 interface”使用端口地址转换（PAT）,指定PAT使用dmz

接口上的IP地址进行出站转换连接。

INFO: dmz interface address added to PAT pool

ciscoasa(config)# show running-config global *查看防火墙的global配置

2

global (dmz) 1 interface *global配置信息

ciscoasa(config)# write memory *保存配置信息

Cryptochecksum: 8def4d19 431e9e78 2fd65d14 1089138c

%Error opening disk0:/.private/startup-config ()

Error executing command

[FAILED]

* 很遗憾，由于模拟器的局限性，无法保存配置！

ciscoasa(config)# write erase *删除配置文件信息

Erase configuration in flash memory? [confirm]

[FAILED]

ciscoasa(config)#

* 很遗憾，由于模拟器的局限性，无法删除配置文件信息！

4．本实验重点难点知识：

内部网络通常使用私有IP地址以节省公共IP地址资源，但这些私有IP地址不能在Internet

上路由，所以在转发内部网络的数据包到外部网络时需通过NAT(网络地址转)将私有IP转换

为全球公认IP地址，这也使得内部IP地址对外隐藏起来，提高安全性。

ASA防火墙默认允许流量从较高安全级别的接口流向较低安全级别的接口，为这些出站

流量进行网络地址转换，可以防止将较高安全级别的主机地址暴露给较低安全级别的接口。

对于防火墙，从内部接口到外部接口流量的地址转换则需将内部地址转换为某个外部地址（如

果是接入Internet，必须转换为NIC注册的地址，即公网IP）。

考虑NAT时，必须考虑是否有与内部地址等量的转换地址，如果没有，在建立连接时，

某些内部主机就无法获得网络访问。出现此问题时可以使用端口地址转换（PAT）来解决，PAT

允许多达6400台内部主机同时使用一个转换地址，从而在隐藏内部网络地址的同时，减少所

需的有效转换地址的总量。

定义出站连接时，首先用nat命令来定义哪些主机需要出站的地址转换，然后使用global

命令来定义地址池，两个命令通过nat_id参数关联起来！

(1) global 命令

指定公网地址范围：定义地址池。

Global命令的配置语法：

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

3

[netmark global_mask]：表示全局ip地址的网络掩码。

例如：

ciscoasa(config)#global (outside) 1 133.0.0.1-133.0.0.15

地址池1对应的IP是：133.0.0.1-133.0.0.15

ciscoasa(config)#global (outside) 1 133.0.0.1

地址池1只有一个IP地址 133.0.0.1。

ciscoasa(config)#no global (outside) 1 133.0.0.1

表示删除这个全局表项。

(2) nat命令

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

在实际配置中nat命令总是与global命令配合使用。一个指定外部网络，一个指定内部

网络，通过net_id联系在一起。

例如：

ciscoasa(config)#nat (inside) 1 0 0

表示内网的所有主机(0 0)都可以访问由global指定的外网。

ciscoasa(config)#nat (inside) 1 172.16.5.0 255.255.0.0

表示只有172.16.5.0/16网段的主机可以访问global指定的外网。

亲爱的朋友，当你完成这个模拟实验，请你思考一下，这个实验和实验“实验四 asa 5505

从内网访问DMZ服务器（真实防火墙）”有何相同和不同之处！下个实验我们将学习从外网

访问DMZ服务器。

4