基于ASA防火墙的NAT地址转换和SSH远程登陆实验

实验环境：使用两台linux虚拟机，linux-3是做为外网的apache网站服务器，另一台linux-1属于内网DMZ（非军事化区域）的apache服务器，再搭建一个DNS服务来解析IP地址。而后客户端使用本地的一个回环网卡进行链接。

实验要求：经过实验在ASA防火墙上进行配置，来证实NAT地址转换和作ACL入站链接。

首先是配置交换机和路由器上面的部分，在两台交换机上面只要关闭路由功能就好了。

在R3路由器上须要作IP地址的配置，以及一条默认路由就OK了。

下面是设置启用防火墙的配置文件。

下面是对于ASA防火墙不可以保存配置文件的操做过程，只要建立一个startup-config配置文件，并运行就好了。

而后是配置各个接口的IP地址，还有DMZ区域的优先级，以及配置一条默认路由。

下面就配置两台linux服务器，首先检查是否跟拓扑规划同样链接VMnet1或者说是仅主机模式。

而后是查看linux-3的IP地址配置。

而后开启httpd的服务，并编辑配置网站的默认网页。

下面是自测的结果，并指定DNS地址。

下面配置另一台linux-1，下面是链接模式VMnet8。

下面是linux-1的IP地址配置，也要注意网关地址。

下面一样是启用httpd服务，并编辑默认网站的网页内容。

此时也能够输入IP地址进行一下自测apache服务的。

而后安装DNS域名解析服务（具体配置略）结果验证以下，特别须要注意的是配置两个区域的配置文件以及主机A记录文件。

下面是DNS的配置结果，可以使用host解析就说明OK了。注意主机A记录中的配置文件。

如今检查VMnet1虚拟网卡配置、VMnet8虚拟网卡配置，都设置为自动获取就行。下面是本地链接2网卡的IP地址配置，并指定DNS地址。

在客户机上测试是否能够正常访问网站，ping是不通的，由于ICMP是非动态化协议。

或者使用域名的形式进行访问。

设置NAT地址转换以及在outside区域和DMZ区域应用，并设置ICMP入站链接。

下面是ping两台服务器的结果（以前没有应用在DMZ区域）。

下面为了具体验证NAT结果，能够使用wireshark抓包软件进行抓包验证，选择抓R3上面的f0/1端口。

打开以后输入ICMP，而后再使用命令ping其余主机，若是没有转换源地址是192.168.10.2，可是转换以后的IP地址是12.0.0.2（由于抓的是R3的f0/1端口）。

下面经过ACL语句来设置容许、拒绝内网IP地址的访问。

下面这条命令是刷新缓存的做用。

在web网站上清除缓存的过程，点击设置，而后点击删除历史记录就好了。

下面再次进行访问不管是IP地址或者域名都不可以访问web网站。

下面是设置静态NAT的转换方式，并设置ACL语句容许入站链接，也就是回来时的转换过程，应用在outside接口。

下面是设置telnet远程登陆的方式，或者SSH加密登录方式。

下面是telnet登录的过程。

下面是SSH登录的方式，pix是ASA防火墙的默认用户名。

OK！实验完成！实验总结：特别须要注意的是DNS中的配置。若是访问结果不对，须要多清空几下缓存再进行访问。抓包的时候须要注意要抓R3路由器上面的端口。写的不易，请你们支持！