基於ASA防火牆的NAT地址轉換和SSH遠程登陸實驗

實驗環境：使用兩臺linux虛擬機，linux-3是做爲外網的apache網站服務器，另一臺linux-1屬於內網DMZ（非軍事化區域）的apache服務器，再搭建一個DNS服務來解析IP地址。而後客戶端使用本地的一個迴環網卡進行鏈接。

實驗要求：經過實驗在ASA防火牆上進行配置，來證實NAT地址轉換和作ACL入站鏈接。

首先是配置交換機和路由器上面的部分，在兩臺交換機上面只要關閉路由功能就好了。

在R3路由器上須要作IP地址的配置，以及一條默認路由就OK了。

下面是設置啓用防火牆的配置文件。

下面是對於ASA防火牆不可以保存配置文件的操做過程，只要建立一個startup-config配置文件，並運行就好了。

而後是配置各個接口的IP地址，還有DMZ區域的優先級，以及配置一條默認路由。

下面就配置兩臺linux服務器，首先檢查是否跟拓撲規劃同樣鏈接VMnet1或者說是僅主機模式。

而後是查看linux-3的IP地址配置。

而後開啓httpd的服務，並編輯配置網站的默認網頁。

下面是自測的結果，並指定DNS地址。

下面配置另一臺linux-1，下面是鏈接模式VMnet8。

下面是linux-1的IP地址配置，也要注意網關地址。

下面一樣是啓用httpd服務，並編輯默認網站的網頁內容。

此時也能夠輸入IP地址進行一下自測apache服務的。

而後安裝DNS域名解析服務（具體配置略）結果驗證以下，特別須要注意的是配置兩個區域的配置文件以及主機A記錄文件。

下面是DNS的配置結果，可以使用host解析就說明OK了。注意主機A記錄中的配置文件。

如今檢查VMnet1虛擬網卡配置、VMnet8虛擬網卡配置，都設置爲自動獲取就行。下面是本地鏈接2網卡的IP地址配置，並指定DNS地址。

在客戶機上測試是否能夠正常訪問網站，ping是不通的，由於ICMP是非動態化協議。

或者使用域名的形式進行訪問。

設置NAT地址轉換以及在outside區域和DMZ區域應用，並設置ICMP入站鏈接。

下面是ping兩臺服務器的結果（以前沒有應用在DMZ區域）。

下面爲了具體驗證NAT結果，能夠使用wireshark抓包軟件進行抓包驗證，選擇抓R3上面的f0/1端口。

打開以後輸入ICMP，而後再使用命令ping其餘主機，若是沒有轉換源地址是192.168.10.2，可是轉換以後的IP地址是12.0.0.2（由於抓的是R3的f0/1端口）。

下面經過ACL語句來設置容許、拒絕內網IP地址的訪問。

下面這條命令是刷新緩存的做用。

在web網站上清除緩存的過程，點擊設置，而後點擊刪除歷史記錄就好了。

下面再次進行訪問不管是IP地址或者域名都不可以訪問web網站。

下面是設置靜態NAT的轉換方式，並設置ACL語句容許入站鏈接，也就是回來時的轉換過程，應用在outside接口。

下面是設置telnet遠程登陸的方式，或者SSH加密登錄方式。

下面是telnet登錄的過程。

下面是SSH登錄的方式，pix是ASA防火牆的默認用戶名。

OK！實驗完成！實驗總結：特別須要注意的是DNS中的配置。若是訪問結果不對，須要多清空幾下緩存再進行訪問。抓包的時候須要注意要抓R3路由器上面的端口。寫的不易，請你們支持！