ASA-NAT实验一

实验报告——实验⼀：NAT配置实验⼀：NAT配置实验⽬的1、掌握NAT相关概念、分类和⼯作原理2、学习配置NAT的命令和步骤3、查看NAT转换配置情况4、练习配置动态NAT和PAT实验要求1、NAT拓扑与地址规划；2、NAT基本配置和PAT配置3、验证NAT和PAT配置并给出配置清单实验拓扑实验设备（环境、软件）路由器2台，交叉线3条，serial DCE线⼀条。

Pc机2台，www服务器⼀台。

实验设计到的基本概念和理论NAT技术使得⼀个私有⽹络可以通过internet注册IP连接到外部世界，位于inside⽹络和outside ⽹络中的NAT路由器在发送数据包之前，负责把内部IP翻译成外部合法地址。

内部⽹络的主机不可能同时于外部⽹络通信，所以只有⼀部分内部地址需要翻译。

NAT的主要⽤途是让⽹络能使⽤私有IP地址⼀节省IP地址。

NAT将不可路由的私有内部地址转换成可路由的NAT的翻译可以采取静态翻译（static translation）和动态翻译（dynamic translation）两种。

静态翻译将内部地址和外部地址⼀对⼀对应。

当NAT需要确认哪个地址需要翻译，翻译时采⽤哪个地址pool时，就使⽤了动态翻译。

采⽤portmultiplexing技术，或改变外出数据的源port技术可以将多个内部IP地址影射到同⼀个外部地址，这就是PAT（port address translator）。

当影射⼀个外部IP到内部地址时，可以利⽤TCP的load distribution技术。

使⽤这个特征时，内部主机基于round-robin机制，将外部进来的新连接定向到不同的主机上去。

注意：load distributiong 只有在影射外部地址到内部的时候才有效。

实验过程和主要步骤步骤⼀：主机与服务器的IP地址配置1、PC0上IP的配置192.168.3.12、PC1上IP的配置192.168.2.13、服务器IP的配置222.22.22.1步骤⼆：Router0的配置1、端⼝配置Router>enableRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface f0/0Router(config-if)#ip address 192.168.3.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#exitRouter(config)#interface f1/0Router(config-if)#ip address 192.168.2.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to upRouter(config-if)#exitRouter(config)#interface s2/0Router(config-if)#ip address 202.196.32.1 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to downRouter(config-if)#end%SYS-5-CONFIG_I: Configured from console by consoleRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]Router#2、配置静态默认路由Router#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip route 0.0.0.0 0.0.0.0 s2/0Router(config)#endRouter#步骤三：Router1的配置1、端⼝配置Router>enableRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface s2/0Router(config-if)#ip address 202.196.32.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to upRouter(config-if)#exitRouter(config)#interface f0%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up /0Router(config-if)#exitRouter(config)#interface f0/0Router(config-if)#ip address 222.22.22.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed stateto upRouter(config-if)#end%SYS-5-CONFIG_I: Configured from console by consoleRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]步骤四：NAT配置把路由器Router0作为局域⽹的边界路由，在其上配置静态NAT转换，⽬的是形成如下对⽐，使得PC1可以通信，⽽PC0不能通信。

ASA的NA T配置配置1.nat-control命令解释命令解释pix7.0版本前默认为nat-control,并且不可以更改并且不可以更改nat-control。

可以类似路由器一样，直接走路由；如果启用no nat-controlpix7.0版本后默认为no nat-control，那就与pix7.0版本前同。

版本前同。

2.配置动态nat 把内部网段：172.16.25.0/24 转换成为一个外部的地址池转换成为一个外部的地址池200.1.1.1-200.1.1.99 NA T配置命令配置命令ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）（定义地址池）注意：id必须匹配，并且大于1，这里先使用1 检测命令：检测命令：ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置P A T 把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 NA T配置命令配置命令ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 （定义地址）（定义地址）ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用2 4.配置sta c NAT 把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100 NA T配置命令配置命令ASA(config)# sta c (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的，红色的接口和红色的地址对应。

ASA配置指南,~、文档属性 文档历史； 序号 版本号修订日期 修订人 修订内容 1.郑鑫 文档初定 2. ·3.4.<）（, 属性 内容标题 思科ASA 防火墙配置指南文档传播范围发布日期目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)《(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)"(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT（策略NAT） (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)%(二)配置A/A (76)一、文档说明<本文档主要介绍思科ASA防火墙在版本之前与版本之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在以后，但有很多老的设备都在以前，所以本文档通过使用ASA 与这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

）二、基础配置(一)查看系统信息hostnat (inside,outside) staticobject networkhostnat (outside,inside) staticaccess-list inbound extended permit ip host host access-group inbound in interface outside@新命令的outbound和inbound流量动作是一样的：（inside,outside）针对outbound流量是源的转换，针对inbound流量是目的的转换（outside,inside）针对outbound流量是转换目的，针对inbound的是转换源。

NAT实验的实施步骤简介在计算机网络中，网络地址转换（NAT）是一种将私有IP地址转换为公有IP地址的技术。

NAT技术在实际网络环境中广泛应用，它允许多台设备共享一个公网IP地址，提高了IP地址的利用率。

本文档将介绍NAT实验的实施步骤，帮助读者理解和掌握NAT技术的原理和实际应用。

实验环境准备在进行NAT实验之前，需要准备以下实验环境： - 一台路由器设备（如：Cisco路由器、Juniper路由器等） - 两台主机设备（如：PC、服务器等） - 连接路由器和主机的网络线缆实验步骤下面是进行NAT实验的具体步骤：1.连接实验设备–将路由器和主机设备通过网络线缆进行连接，确保物理连接正常。

2.配置路由器接口–在路由器上配置连接主机的接口，分配IP地址和子网掩码。

–配置默认路由，将数据包转发到公网接口。

3.配置NAT规则–在路由器上配置NAT规则，将私有IP地址映射为公有IP地址。

–配置端口转发规则，将特定端口的数据包转发到内部主机。

4.配置访问控制策略–配置访问控制列表（ACL），实现对数据包的过滤和安全控制。

–限制特定主机或IP地址的访问权限。

5.测试NAT功能–在主机上使用ping命令测试与公网的连通性。

–在主机上使用telnet或SSH等工具测试端口转发功能。

6.监控和故障排除–使用网络监控工具（如：Wireshark）监控数据包的流动。

–根据监控结果，进行故障排除和网络优化。

7.实验总结和分析–总结本次实验的结果和经验，分析NAT技术的优缺点。

–探讨NAT技术在实际网络中的应用场景和未来发展方向。

注意事项进行NAT实验时，需要注意以下事项： - 确保实验设备的硬件和软件配置符合NAT实验的需求。

- 依据实验目的和具体环境，合理安排IP地址的分配和子网划分。

- 遵守实验守则，不干扰他人网络和数据通信。

- 在实验过程中记录实验结果和问题，及时解决故障和疑问。

结论NAT技术是计算机网络中常用的一种技术，通过将私有IP地址转换为公有IP 地址，提高了IP地址的利用率。

思科ASA系列防火墙NAT解析网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP 地址，增加安全性；允许外网主机访问DMZ。

动态NAT和PAT在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下：FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要转换的源地址。

其NAT ID为1。

用于匹配global命令中的NAT ID。

FW(config)# global (outside) 1 61.136.150.10-61.136.150.20指定用于替代源地址的地址池。

其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。

该方式即为动态NAT。

FW(config)# global (dmz) 1 10.0.2.20指定用于替代源地址的唯一地址。

其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址(10.0.2.20)。

该方式即为动态PAT。

收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。

静态NAT在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的IP地址(10.0.2.1)映射(静态转换)为公网地址(如61.136.151.1)，静态转换命令如下：FW (config)# static (dmz,outside) 61.136.151.1 10.0.2.1 netmask255.255.255.255本例中子网掩码为255.255.255.255，表示只转换一个IP地址。

若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，则表示要完成一个子网到另一个子网的静态转换。

基本思路如图所示1、配置DNS外网那个服务器注意网关是为了实验方便，实际不会设置防火墙outside口的IP地址的2、DMZ区的web服务器IP地址192.168.202.2 网关为192.168.202.13、inside 区则放了一台PC机，pc机的IP：192.168.201.2网关为192.168.201.1DNS就用拓扑图中的DNS地址4、首先要将防火墙的主机名域名路由配置好这样才可以PC机ping通192.168.201.1通过三个配置你会发现DNS PC DMZ去ping自己所在的网关都是通的但是如果想pc 想pingDmz会发现无法ping通的这个是时候要做一个ACL 让他们两两ping通其中111是一个扩展访问ACL 但因为后面接了一个permit 所以不写extend也可以这个时候你用netstat -an 你会发现在outside的DNS 可以看到内网的IP 这个就不符合要求了。

也就是防火墙现在单单是一个路由器的功能所以这个时候要做的是1、将DNS服务器的网关去掉因为实际就这样不可能配置好网关的。

2、为内网的出站做一个网络地址转换----NAT 做一个PAT 其中命令中的1表示一个标记这个时候你会发现PC机又可以重新ping通外网了。

用netstat –an 可以看到地址已转换3、新问题：这时你会发现内网访问DMZ区不行也就是说如果要访问DMZ区要做一个针对DMZ区的地址转换这个时候你去DMZ区用netstat –an 可以看到地址已转换。

3、以上就是NAT的DMZ与outside的做好了要求：外网的DNS 可以访问到内网的DMZ区:这个时候做一个静态NAT 将DMZ区的服务器发布出去这个时候要考虑与前面的111extended想对应这个时候最好show run 看看。

做一个远程管理接入：开启telnet ssh 等SSH这里弄了一个钥匙对。

实验报告17静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PA T，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

【注意事项】1.在配置的时候不要把inside和outside应用接口弄错2.要加上能能使数据包外发的路由协议。

该实验所需要的简单实验拓扑。

请用模拟器拓扑替换此图。

实验拓扑图实验步骤及命令清单本次实验步骤对锐捷机架真实设备和思科模拟器均可。

本节实验报告由三个实验组成。

注意：PC机和路由器之间用交叉线相连。

实验步骤:参看电子书——CCNA实验指导实验。

实验二十：静态地址转换实验二十一：动态地址转换实验二十二：PAT一、静态地址转换：通过实验掌握静态NAT的配置方法及实际应用。

根据需要将内部主机PC1:192.168.1.1和PC2:192.168.1.2私有地址转为能上外网的公有地址。

通过NAT解决网段冲突!(该实例加深你对NAT运行机制的理解)TOP图如下：ASA的Inside区域和DMZ区域都有一个冲突网段192.168.100.0/24，现在要实现两个冲突网段都能互通，配置如下：ASA配置：interface ethernet0/0nameif insidesecurity-level 100ip address 192.168.100.1 255.255.255.0!interface ethernet0/1nameif dmzsecurity-level 50ip address 10.1.1.1 255.255.255.0!static (inside,dmz) 10.1.2.0 192.168.100.0 netmask255.255.255.0 //把inside端的192.168.100.0/24网段映射到dmz 区域的10.1.2.0/24网段。

static (dmz,inside) 10.1.3.0 192.168.100.0 netmask255.255.255.0 //把dmz端的192.168.100.0/24网段映射到inside 区域的10.1.3.0/24网段。

route dmz 192.168.100.128 255.255.255.128 10.1.1.2 1//192.168.100.0/24网段拆分成两个更明细网段，把流量抛向路由器，因自己有个192.168.100.0/24直连网段。

route dmz 192.168.100.0 255.255.255.128 10.1.1.2 1 //把192.168.100.0/24网段拆分成两个更明细网段，把流量抛向路由器，因自己有个192.168.100.0/24直连网段。

路由器配置：interface f0/0ip address 10.1.1.2 255.255.255.0!interface f0/1ip address 192.168.100.1 255.255.255.0!ip route 10.0.2.0 255.255.255.0 10.1.1.1 //把10.0.2.0/24流量抛向ASA测试：ASA的inside端口连接PC1，IP是192.168.100.2/24。

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区,Security-Level:0,接RouterF0/0；ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口；ASA防火墙Eth2接口定义为DMZ 区,Security-Level:60,接MailServer;三、实验目的Server能够ping通Router的F0/0；outside能够访问insdie区的WebServer的http端口80和dmz区的MailServer的pop3端口110、smtp端口25.四、详细配置步骤1、端口配置CiscoASAconfiginterfaceethernet0CiscoASAconfignameifousideCiscoASAconfig-ifsecurity-level0CiscoASAconfig-ifipaddressCiscoASAconfig-ifnoshutCiscoASAconfiginterfaceethernet1CiscoASAconfignameifinsideCiscoASAconfig-ifsecurity-level100CiscoASAconfig-ifipaddressCiscoASAconfig-ifnoshutCiscoASAconfiginterfaceethernet2CiscoASAconfignameifdmzCiscoASAconfig-ifsecurity-level50CiscoASAconfig-ifCiscoASAconfig-ifnoshut2、路由配置CiscoASAconfigrouteoutside1默认路由CiscoASAconfigrouteinside1外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASAconfignatinside100CiscoASAconfignatdmz1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASAconfigglobaloutside1interfaceCiscoASAconfigglobaldmz1interface5、定义静态IP映射也称一对一映射CiscoASAconfigstaticinside,outsidetcpnetmaskCiscoASAconfigstaticdmz,outsidetcppop3pop3netmask2:110CiscoASAconfigstaticdmz,outsidetcpsmtpsmtpnetmask6、定义access-listCiscoASAconfigaccess-list101extendedpermitipanyanyCiscoASAconfigaccess-list101extendedpermiticmpanyanyCiscoASAconfigaccess-list102extendedpermittcpanyhosteqCiscoASAconfigaccess-list102extendedpermiticmpanyanyCiscoASAconfigaccess-list103extendedpermittcpanyhosteqpop3CiscoASAconfigaccess-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASAconfigaccess-group101ininterfaceoutsideCiscoASAconfigaccess-group102ininterfaceinsideCiscoASAconfigaccess-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了,无须配置nat/global,也无须配置access-list,就可以直接telnet低权限区域主机;2、只要路由配通了,同时配置了access-list,无须配置nat/global,就可以直接ping通低权限区域主机；3、只要路由配通了,同时配置了nat/global/access-list,此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了,也不能成功访问；2、路由已经配通了,同时必须正确配置了staticIP地址映射及access-list,才能成功访问；3、调通路由是基础,同时只跟static/access-list有关,而跟nat/global毫无关系;。

R1interface Loopback0ip address 1.1.1.1 255.255.255.0!interface Loopback1ip address 1.1.2.1 255.255.255.0!interface FastEthernet0/0ip address 192.168.12.1 255.255.255.0 speed autofull-duplex!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.12.2!interface FastEthernet0/0ip address 192.168.26.2 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.27.2 255.255.255.0 duplex autospeed auto!interface FastEthernet1/0ip address 192.168.12.2 255.255.255.0ip policy route-map ciscoduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.26.6ip route 1.1.0.0 255.255.0.0 192.168.12.1!!no ip http serverno ip http secure-server!ip access-list extended cisco1permit ip 1.1.1.0 0.0.0.255 anyip access-list extended cisco2permit ip 1.1.1.0 0.0.0.255 55.55.55.0 0.0.0.255 !!!route-map cisco permit 10match ip address cisco2set ip next-hop 192.168.26.6!route-map cisco permit 20match ip address cisco1set ip next-hop 192.168.27.7interface FastEthernet0/0ip address 192.168.36.3 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.35.3 255.255.255.0 duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.35.5!R4!interface FastEthernet0/0ip address 192.168.46.4 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.45.4 255.255.255.0 duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.45.5!R5interface Loopback0ip address 5.5.5.5 255.255.255.0!interface Loopback1ip address 55.55.55.55 255.255.255.0 !interface FastEthernet0/0ip address 192.168.45.5 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.35.5 255.255.255.0duplex autospeed auto!ip route 192.168.36.0 255.255.255.0 192.168.35.3 ip route 192.168.46.0 255.255.255.0 192.168.45.4 !ASA-SYSciscoasa# show run: Saved:ASA Version 8.0(2) <system>!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto!interface Ethernet0/0!interface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!class defaultlimit-resource All 0limit-resource ASDM 5limit-resource SSH 5limit-resource Telnet 5!ftp mode passivepager lines 24no failoverno asdm history enablearp timeout 14400console timeout 0admin-context admincontext adminconfig-url disk0:/admin.cfg!context isp1allocate-interface Ethernet0/1allocate-interface Ethernet0/2config-url disk0:/isp1.cfg!context isp2allocate-interface Ethernet0/0allocate-interface Ethernet0/3config-url disk0:/isp2.cfg!prompt hostname contextCryptochecksum:a0edbaf94170a837f4ddfd14b67fdbb9 : endciscoasa#ASA-ISP1ciscoasa/isp1# show run: Saved:ASA Version 8.0(2) <context>!hostname isp1enable password 8Ry2YjIyt7RRXU24 encrypted names!interface Ethernet0/2nameif outsidesecurity-level 0ip address 192.168.36.6 255.255.255.0!interface Ethernet0/1nameif insidesecurity-level 100ip address 192.168.27.7 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list cisco extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0access-group cisco in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.36.3 1route inside 1.1.0.0 255.255.0.0 192.168.27.2 1route inside 192.168.12.0 255.255.255.0 192.168.27.2 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_2parametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_2inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy global Cryptochecksum:a04eca19e9425a2d7e623155ae00e06f : endciscoasa/isp1#ASA-ISP2ciscoasa/isp2# show run: Saved:ASA Version 8.0(2) <context>!hostname isp2enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/3nameif outsidesecurity-level 0ip address 192.168.46.6 255.255.255.0!interface Ethernet0/0nameif insidesecurity-level 100ip address 192.168.26.6 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list cisco extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0access-group cisco in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.46.4 1route inside 1.1.0.0 255.255.0.0 192.168.26.2 1route outside 5.5.5.0 255.255.255.0 192.168.46.4 1route inside 192.168.0.0 255.255.0.0 192.168.26.2 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_3parametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_3inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy globalCryptochecksum:6c6dcb6f6651522440e01c85e4a4a613: end ciscoasa/isp2#。

ASA配置指南；`@《~|(文档属性文档历史~序号版本号修订日期修订人 修订内容 1. . 2. 郑鑫 文档初定3. ~4.5. ~6.7. *8.{!：属性 ；内容标题 思科ASA 防火墙配置指南`文档传播范围发布日期%《；目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)'(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)~(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)(四、NAT配置举例 (16)(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)·(五)Twice NAT（策略NAT） (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)—六、failover (65)(一)配置failover (65)(二)配置A/A (76)|/一、文档说明本文档主要介绍思科ASA防火墙在版本之前与版本之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在以后，但有很多老的设备都在以前，所以本文档通过使用ASA 与这两个版本来介绍。

|请读者打开文档中的显示批注功能，文档中有部分批注内容。

），二、基础配置(一)查看系统信息hostnat (inside,outside) static—object networkhostnat (outside,inside) staticaccess-list inbound extended permit ip host host …access-group inbound in interface outside新命令的outbound和inbound流量动作是一样的：（inside,outside）针对outbound流量是源的转换，针对inbound流量是目的的转换》（outside,inside）针对outbound流量是转换目的，针对inbound的是转换源。

ASA配置指南●文档属性●文档历史目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT（策略NAT） (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)(二)配置A/A (76)一、文档说明本文档主要介绍思科ASA防火墙在版本8.2之前与版本8.3之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在8.3以后，但有很多老的设备都在8.2以前，所以本文档通过使用ASA 8.0与8.4这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

二、基础配置(一)查看系统信息//ASA Software 8.4//ASA Software 8.0(二)版本区别简介两个版本除了在技术NAT和ACL配置方式有所不同外，其他技术配置方式都相同。

NAT：两个版本的NAT配置的动作和效果都是相同的，但配置方式都不通，详细见NAT 配置举例。

ACL：8.2之前的版本在放行inbound流量时放行的是映射的虚IP，而8.3以后的新版本放行inbound流量时是内网的真实IP，详细见配置举例。

NAT(Network Address Translation)NAT有三种类型：静态NAT, 动态NAT,和端口地址转换(PAT)1.静态NAT.实验拓扑其中PC1的配置如下：其中PC1的配置如下：最关键的：配置路由器R1：R1(config)#ip nat inside source static 192.168.1.3 202.96.1.3 R1(config)#ip nat inside source static 192.168.1.4 202.96.1.4 //配置静态NAT映射R1(config)#inR1(config)#interface fR1(config)#interface fastEthernet 0/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#ip natR1(config-if)#ip nat inR1(config-if)#ip nat inside//配置NAT内部接口，进口R1(config-if)#inR1(config-if)#inter s0/0/0R1(config-if)ip address 202.96.1.1 255.255.255.0 R1(config-if)clock rate 64000R1(config-if)no shR1(config-if)#ip naR1(config-if)#ip nat ouR1(config-if)#ip nat outside//配置NAT外部接口，出口R1(config-if)#routR1(config-if)#routeR1(config-if)#exit//配置路由ripR1(config)#rouR1(config)#router riR1(config)#router ripR1(config-router)#version 2R1(config-router)#no autoR1(config-router)#no auto-summaryR1(config-router)#netwR1(config-router)#network 202.96.1.0R1(config-router)#配置路由器R2:R2(config)#inter s0/0/0R2(config-if)#ip address 202.96.1.2 255.255.255.0 R2(config-if)#no shR2(config-if)#inter lp 0R2(config-if)#ip address 2.2.2.2 255.255.255.0 R2(config-if)#exitR2(config)#router ripR2(config)#version 2R2(config)#no auto-summaryR2(config)#network 202.96.1.0R2(config)#network 2.0.0.0NAT调试：在路由器R1上开启debug ip nat然后在PC1上ping 2.2.2.2可以看到调试信息：R1#debug ip naR1#debug ip natIP NAT debugging is onR1#NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]R1#可以很清楚看到NAT转换的过程，私有地址192.168.1.4转换成公网地址202.96.1.4 然后再访问2.2.2.2Show ip nat translationR1#sh ip nat traR1#sh ip nat translationsPro Inside global Inside local Outside local Outside global--- 202.96.1.3 192.168.1.3 --- ------ 202.96.1.4 192.168.1.4 --- ---R1#2.动态NAT只需要改变R1的配置即可：R1(config)#R1(config)#ip natR1(config)#ip nat poR1(config)#ip nat pool natR1(config)#ip nat pool NR1(config)#ip nat pool NAR1(config)#ip nat pool natR1(config)#ip nat pool nat 202.96.1.3 202.96.1.100 netR1(config)#ip nat pool nat 202.96.1.3 202.96.1.100 netmask 255.255.255.0R1(config)#ip nat insR1(config)#ip nat inside souR1(config)#ip nat inside source list 1 poR1(config)#ip nat inside source list 1 pool natipnat_add_dynamic_cfg: id 1, flag 5, range 0poolstart 202.96.1.3 poolend 202.96.1.100id 1, flags 0, domain 0, lookup 0, aclnum 1 ,aclname 1 , mapname idb 0R1(config)#accR1(config)#access-list 1 perR1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#intR1(config)#interface faR1(config)#interface fastEthernet 0/0R1(config-if)#ip nat insR1(config-if)#ip nat insideR1(config-if)#interface s0/0/0R1(config-if)#ip nat ouR1(config-if)#ip nat outsideR1(config-if)#简单调试：R1#debug ip natIP NAT debugging is onR1#NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2[0]NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4[0]R1#sh ip nat traR1#sh ip nat translationsPro Inside global Inside local Outside local Outside global--- 202.96.1.3 192.168.1.3 --- --- --- 202.96.1.4 192.168.1.4 --- ---R1#sh ip nat staR1#sh ip nat statisticsTotal translations: 2 (2 static, 0 dynamic, 0 extended)Outside Interfaces: Serial0/0/0Inside Interfaces: FastEthernet0/0Hits: 32 Misses: 22Expired translations: 0Dynamic mappings:-- Inside Sourceaccess-list 1 pool nat refCount 0pool nat: netmask 255.255.255.0start 202.96.1.3 end 202.96.1.100。

一般情况下，在转换过程中目的地址是不会被考虑的，而策略NAT可以基于ACL 里定义的源和目的地址，将本址转成不同的全局地址。

有动态策略NAT和静态策略NAT两种。

需要使用access-list命令定义被转换流中的源地址和目的地址，再使用static或nat/global创建NATR1#show run!interface Loopback1ip address 1.1.3.1 255.255.255.0!interface FastEthernet0/0ip address 1.1.1.1 255.255.255.0!interface FastEthernet0/1ip address 1.1.2.1 255.255.255.0no keepalive!router ospf 1log-adjacency-changesnetwork 1.1.1.0 0.0.0.255 area 0network 1.1.2.0 0.0.0.255 area 1network 1.1.3.0 0.0.0.255 area 2!R3#show run!interface FastEthernet0/0ip address 192.168.1.3 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 192.168.2.3 255.255.255.0duplex autospeed autono keepalive!ip route 0.0.0.0 0.0.0.0 192.168.1.2!ciscoasa(config)# show run!interface Ethernet0/0nameif insidesecurity-level 100ip address 1.1.1.2 255.255.255.0!interface Ethernet0/1nameif outsidesecurity-level 0ip address 192.168.1.2 255.255.255.0access-list aclin extended permit icmp any anyaccess-group aclin in interface outside！（下面使用策略NAT，包括静态和动态）access-list policy-dynamic extended permit ip 1.1.2.0 255.255.255.0 192.168.1.0 255.255.255.0access-list policy-dynamic extended permit ip 1.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0access-list policy-static extended permit ip host 1.1.3.1 192.168.2.0 255.255.255.0nat (inside) 1 access-list policy-dynamicglobal (outside) 1 192.168.0.1-192.168.0.14 netmask 255.255.255.240 static (inside,outside) 192.168.0.18 access-list policy-static!router ospf 1network 1.1.1.0 255.255.255.0 area 0log-adj-changesdefault-information originate!route outside 0.0.0.0 0.0.0.0 192.168.1.3 1使用下面工具进行测试：show xlate 可以查看转换槽的内容clear xlate 可以消除转换槽的内容show conn 可以查看所有处于活跃的边接动态策略NAT测试：ciscoasa(config)# show xlate1 in use, 3 most usedGlobal 192.168.0.18 Local 1.1.3.1（可以看到已经为源1.1.3.1创建了转换）在R1上使用扩展ping，源为1.1.2.1 目的为192.168.1.3使用debug icmp trace可以看到：ICMP echo request from inside:1.1.2.1 to outside:192.168.1.3 ID=17 seq=3 len=72ICMP echo request translating inside:1.1.2.1 to outside:192.168.0.1 ICMP echo reply from outside:192.168.1.3 to inside:192.168.0.1 ID=17 seq=3 len=72ICMP echo reply untranslating outside:192.168.0.1 to inside:1.1.2.1 在R1上使用扩展ping，源为1.1.1.1 目的为192.168.1.3使用debug icmp trace可以看到：ICMP echo request from inside:1.1.1.1 to outside:192.168.1.3 ID=18 seq=3 len=72ICMP echo request translating inside:1.1.1.1 to outside:192.168.0.2 ICMP echo reply from outside:192.168.1.3 to inside:192.168.0.2 ID=18 seq=3 len=72ICMP echo reply untranslating outside:192.168.0.2 to inside:1.1.1.1 配置成功静态策略NAT测试：在R1上使用扩展ping，源为1.1.2.1 目的为192.168.2.3使用debug icmp trace可以看到：ICMP echo request from inside:1.1.3.1 to outside:192.168.2.3 ID=19 seq=3 len=72ICMP echo request translating inside:1.1.3.1 to outside:192.168.0.18 ICMP echo reply from outside:192.168.2.3 to inside:192.168.0.18 ID=19 seq=3 len=72ICMP echo reply untranslating outside:192.168.0.18 to inside:1.1.3.1 OK！。

一.概述：默认情况下，不管是Inside还是DMZ区映射到Outside区的地址或服务，Inside和DMZ区都无法通过映射后地址来访问内部服务器。

ASA8.3版本之后有一种新的NAT叫Twice-NAT,它可以在一个NAT语句中既匹配源地址，又匹配目标地址，并且可以对源地址、目标地址，端口号，三个参数中一~三个参数的转换。

二.基本思路：A.Inside区映射到Outside区①Outside区访问Inside区映射后的地址没有问题②Inside区访问Inside区映射后的地址，通过Twice NAT做源地址和目标地址转换---将源地址转换为Inside接口地址，目标地址转换为Inside设备实际地址---如果不做源地址，因为访问的数据流来回路径不同，无法建立会话③DMZ区访问Inside区映射后的地址，通过Twice NAT做目标地址转换---将目标地址转换为Inside设备的实际地址---因为两边都是实际地址，因此需要Inside和DMZ互相有对方的路由---也可以同时做源地址转换，将源地址转换为Iniside接口地址，为了便于审计，不建议这样做B.DMZ区映射到Outside区①Outside区访问DMZ区映射后的地址没有问题②Inside区访问DMZ区映射后的地址，通过Twice NAT做目标地址转换---将目标地址转换为DMZ区设备的实际地址---因为两边都是实际地址，因此需要Inside和DMZ互相有对方的路由---也可以同时做源地址转换，将源地址转换为DMZ接口地址，为了便于审计，不建议这样做---实际用模拟器测试，却发现不做源地址转换，经常报 -- bad sequence number的错误---想不来为什么会报序列号错误，即使用MPF设置set connection random-sequence-number disable，也只是缓解，还是会偶尔出现，觉得可能是模拟器的缘故③DMZ区访问DMZ区映射后的地址，通过Twice NAT做源地址和目标地址转换---将源地址转换为DMZ接口地址，目标地址转换为DMZ区设备实际地址---如果不做源地址，因为访问的数据流来回路径不同，无法建立会话三.测试拓扑：R1-----SW--(Inside)----ASA---（Outside）----R4| || |R2 R3（DMZ)四.测试需求：A.将R2的TCP23端口映射到ASA的Outside接口的23端口上----要求R1~R4都能通访问ASA的Outside接口的23端口访问到R2的23端口B.将R3的TCP23端口映射到ASA的Outside接口的2323端口上----要求R1~R4都能通访问ASA的Outside接口的2323端口访问到R3的23端口五.基本配置：A.R1：interface FastEthernet0/0ip address 10.1.1.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 10.1.1.10B.R2interface FastEthernet0/0ip address 10.1.1.2 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 10.1.1.10linevty 0 4password ciscologinC.ASA:interface GigabitEthernet0nameif Insidesecurity-level 100ip address 10.1.1.10 255.255.255.0no shutinterface GigabitEthernet1nameif DMZsecurity-level 50ip address 192.168.1.10 255.255.255.0no shutinterface GigabitEthernet2nameif Outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shutD.R3:interface FastEthernet0/0ip address 192.168.1.3 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.1.10linevty 0 4password ciscologinE.R4:interface FastEthernet0/0ip address 202.100.1.4 255.255.255.0no shut五.ASA的NAT及策略配置：A.动态PAT允许Inside和DMZ区能访问公网object network Inside-NETsubnet 10.1.1.0 255.255.255.0nat (Inside,Outside) dynamic interfaceobject network DMZ-NETsubnet 192.168.1.0 255.255.255.0nat (DMZ,Outside) dynamic interfaceB.静态PAT将R2和R3映射出去：object network Inside-R2host 10.1.1.2nat (Inside,Outside) static interface service tcp 23 23object network DMZ-R3host 192.168.1.3nat (DMZ,Outside) static interface service tcp 23 2323C.防火墙策略：①开启icmp审查：policy-mapglobal_policyclass inspection_defaultinspect icmp②Outside口放行策略：access-list OUTSIDE extended permit tcp any object Inside-R2 eq telnet access-list OUTSIDE extended permit tcp any object DMZ-R3 eq telnetaccess-group OUTSIDE in interface Outside③DMZ口放行策略：access-list DMZ extended permit tcp any object Inside-R2 eq telnetaccess-list DMZ extended permit icmp any anyaccess-list DMZ extended deny ip any object Inside-NETaccess-list DMZ extended permit ip any anyaccess-group DMZ in interface DMZ---备注：这里只是测试，实际除非必要，尽量不要放行DMZ到Inside的访问，要放行也需要针对主机放行D.测试：①Inside区和DMZ区能访问公网：R1#PING 202.100.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/80/168 msR2#ping 202.100.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 24/67/156 msR3#ping 202.100.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/120/204 ms②被映射后的端口只能被Outside区访问：R4#TELNET 202.100.1.10 23Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 idle 00:55:06* 66 vty 0 idle 00:00:00 202.100.1.4 Interface User Mode Idle Peer Address R2>R4#TELNET 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 idle 00:51:12* 66 vty 0 idle 00:00:00 202.100.1.4 Interface User Mode Idle Peer AddressR3>R1#telnet 202.100.1.10Trying 202.100.1.10 ...% Connection timed out; remote host not responding六.ASA的Twice NAT配置：A.使得Inside区访问Inside区映射后的地址时，既做源地址转换，又做目标地址转换①配置对象：object network Public-R2host 202.100.1.10object service tcp23service tcp destination eq telnet②配置twice-NAT:nat (Inside,Inside) source static any interface destination static Public-R2 Inside-R2 service tcp23 tcp23③允许相同接口的访问：same-security-traffic permit intra-interface---因为访问时，既从Inside口进，又从Inside出，所以需要这条④测试：R1#telnet 202.100.1.10Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 idle 01:07:35* 66 vty 0 idle 00:00:0010.1.1.10 Interface User Mode Idle Peer Address R2>R2#telnet 202.100.1.10Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 202.100.1.10 00:00:00* 66 vty 0 idle 00:00:0010.1.1.10 Interface User Mode Idle Peer AddressB.使得Inside区访问DMZ区映射后的地址时，只做目标地址转换①配置对象：object network Public-R3host 202.100.1.10object network DMZ-R3host 192.168.1.3object service tcp2323service tcp destination eq 2323②配置twice-NAT:nat (Inside,DMZ) source static any any destination static Public-R3 DMZ-R3 service tcp2323 tcp23③测试：R1#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ...% Connection timed out; remote host not respondingR3#debug iptcp packet port 23TCP Packet debugging is on for port number 23R3#*Mar 1 13:18:25.648: tcp0: I LISTEN 10.1.1.1:17155 192.168.1.3:23 seq 1568429504OPTS 4 SYN WIN 4128*Mar 1 13:18:25.652: tcp0: O SYNRCVD 10.1.1.1:17155 192.168.1.3:23 seq 1603796811OPTS 4 ACK 1568429505 SYN WIN 4128*Mar 1 13:18:25.656: tcp0: I SYNRCVD 10.1.1.1:17155 192.168.1.3:23 seq 4193850862OPTS 4 SYN WIN 4128*Mar 1 13:18:25.660: tcp0: O SYNRCVD 10.1.1.1:17155 192.168.1.3:23 seq 1603796811ACK 1568429505 WIN 4128*Mar 1 13:18:25.660: TCP0: bad seg from 10.1.1.1 -- bad sequence number: port 23 seq 4193850862 ack 0 rcvnxt 1568429505 rcvwnd 4128 len 0④解决方法：---修改NAT，做源地址转换nat (Inside,DMZ) source static any interface destination static Public-R3 DMZ-R3 service tcp2323 tcp23⑤再次测试：R1#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 idle 00:02:15* 66 vty 0 idle 00:00:00 192.168.1.10Interface User Mode Idle Peer AddressR3>R2#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 idle 00:03:1366 vty 0 idle 00:00:58 192.168.1.10* 67 vty 1 idle 00:00:00 192.168.1.10 Interface User Mode Idle Peer AddressR3>C.使得DMZ区访问Inside区映射后的地址时，只做目标地址转换①配置对象：---前面已经定义②配置twice-NAT:nat (DMZ,Inside) source static any any destination static Public-R2 Inside-R2 service tcp23 tcp23③测试：R3#telnet 202.100.1.10Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 202.100.1.10 00:02:49* 66 vty 0 idle 00:00:00192.168.1.3 Interface User Mode Idle Peer AddressR2>D.使得DMZ区访问DMZ区映射后的地址时，既做源地址转换，又做目标地址转换①配置对象：---前面已经定义②配置twice-NAT:nat (DMZ,DMZ) source static any interface destination static Public-R3 DMZ-R3 service tcp2323 tcp23③允许相同接口的访问：---前面已经配置:same-security-traffic permit intra-interface④测试：R3#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 202.100.1.10 00:00:0066 vty 0 idle 00:07:01 192.168.1.1067 vty 1 idle 00:06:02 192.168.1.10 * 68 vty 2 idle 00:00:00 192.168.1.10Interface User Mode Idle Peer AddressR3>。