시스코 아사 정적 냇 구성

이전 수업에서는 동적 냇 또는 팻을 사용하여 네트워크 내부의 호스트 또는 서버가 외부 세계에 액세스 할 수있는 방법을 설명했습니다. 트래픽이 낮은 보안 수준으로가는 높은 보안 수준에서.

인터넷상의 외부 호스트가 내부 또는 디엠지 서버에 접속하기를 원한다면? 이것은 단지 동적 냇 또는 팻 불가능하다. 우리가 이것을 달성하기를 원할 때 우리는 두 가지 일을해야합니다:

• 외부 공용 주소를 통해 내부 서버에 연결할 수 있도록 정적 냇을 구성합니다.
• 트래픽이 허용되도록 액세스 목록을 구성합니다.

정적 냇을 시연하려면 다음 토폴로지를 사용합니다:

우리는 두 개의 인터페이스가있는 우리의 아사 방화벽을 가지고 있습니다. 웹서버에 접속하려는 인터넷상의 호스트입니다. 방화벽이 가능하도록 구성해 보겠습니다…

정적 냇 설정

이 구성은 다음과 같습니다.:

ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200

위의 구성은 외부 장치가 192.168.2.200 에 연결할 때마다 192.168.1.1 로 변환되어야한다는 것을 알려줍니다. 이 냇을 담당하지만 우리는 여전히 액세스 목록을 작성해야하거나 트래픽이 삭제됩니다:

ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1

위의 액세스 목록을 통해 모든 소스 주소를 연결할 수 있습니다. 이 경우”번역된”주소가 아닌”실제”아이피 주소를 지정해야 합니다. 이 액세스 목록을 활성화합시다:

ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE

이 외부 인터페이스에 액세스 목록을 할 수 있습니다. 2015 년 11 월 1 일-2015 년 12 월 1 일-2015 년 12 월 1 일-2015 년 12 월 1 일:

R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open

이 응용 프로그램은 당신에게 아름다운 욕실 꾸미기의 갤러리를 보여줍니다.:

ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00

ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e

당신은 정적 냇 항목도 액세스 목록에 히트를 볼 수 있습니다 위. 모든 것은 그것이 있어야 할대로 작동하고 있습니다.

전체 서브넷에 대한 정적 냇

이전 예제에서는 정적 냇 번역을 몇 개 만들 수 있고 그것으로 할 수 있기 때문에 서버가 몇 개만 있으면 괜찮았습니다. 그러나 또 다른 옵션은 전체 서브넷을 전체 풀로 변환 할 수도 있습니다. 내가 무슨 말을하는지의 예를 들어 보자:위의 토폴로지는 이전 예제와 정확히 동일하지만 이 토폴로지는 이전 예제와 동일합니다. 이제 우리 아이피 주소의 풀을 준 상상,의 가정 해 봅시다 10.10.10.0/24. 이 풀을 사용하여 디엠지 내의 모든 서버를 번역할 수 있습니다.