1. asa 动态地址的转化,以及端口的映射

  2. 实验拓扑图 

       10.png


4. 实验目的 :  1. 将内网 10.1.1.0 ,10.2.2.0 网段  通过pat转换 能够访问外网 ftp服务器

                        2. 将内网dmaz区的web,ftp分别做映射,使从外网可以访问进去

                        3.配置 ssh 远程登录 asa   

                        

5.  配置思路 :   首先规划外网的ip 地址, 分别给外网各个终端配置ip地址,其次配置 acl,端口映射,以及ssh


    #  操作步骤 : 

                         建立在昨天的试验基础之上  : 


                                     # 规划 外网ip地址, 

                                               可用ip地址为: 200.8.8.1————6  


                                           网关 :  200.8.8.3  子网掩码 : 255.255.255.248 

                                           server4-ftp : 200.8.8.2  子网掩码 :255.255.255.248 

                                           client 2 : 200.8.8.1   子网掩码 : 255.255.255.248  //因为是一个29位的掩码  255.255.255.111111000 转化为二进制为 : 255.255.255.248 

                          

                            # 内网的ip地址和昨天一样 

          #dmaz 区  

                                     web服务器地址 : 192.168.30. 100  子网掩码 : 255.255.255.0 

                                                                   gateway : 192.168.30.254 


                                      ftp 服务器地址 :192.168.30.1 子网掩码  : 255.255.255.0 

                                                                  gateway  : 192.168.30.254 

                              # 内网inside区域 :

                                                client 6 :10.1.1.1 子网掩码 :255.255.255.0

                                                        gateway : 10.1.1.254 

                                #                client1 :10.2.2.1     子网掩码 : 255.255.255.0


 #配置pat,将内网10.1.1.0 , 10.2.2.0 网段分别通过地址转换出去上网

          # object   network  inside 

                     subnet 10.2.2.0 255.255.255.0 

                       nat (inside,outside) dynamic 200.8.8.4 

            验证与测试:如下图所示 : 

 

                              11.png

                                

以上实验说明测试成功 


 # 配置端口映射,将内网dmaz区的web,ftp分别做映射,使从外网可以访问进去 


 


          # object network ob- out //定义外网

             host 200.8.8.5 

             object  network dmaz01 

                host 192.168.30. 100 

             nat (damz , outside) static ob-out service tcp  80 80    

               object  network  dmaz02 

                host 192.168.30.1  

               nat (damz,outside) static ob-out service tcp 21 21   

            access-list  out-to-dmz permit tcp any object dmz01  eq http

           access-list  out-to dmz permit tcp any object dmz202  eq ftp

            access -group out-to-dmz  in interface  outside 

      验证与测试: 

                              12.png

                          

13.png


以上测试证明成功


             3. 配置ssh远程登录外网 :

               # hostname  asa 842 

                     domain -name kf.com 

                      crypto key  generate rsa modulus 1024 

                           ssh 0 0     outside 

                         username  cisco password  cisco 

               aaa  authentication  ssh  console  LOCAL  


测试与验证 :


                         14.png


15.png


16.png

17.png


以上图示说明图面成功