<强>一。测试拓扑强>
<强> 强>
<强> 强>
<强>二。测试思路强>
1。分别测试tcp和udp的连续端口拍
2。再用静态端口转换工具分别将tcp端口和udp端口转换到某个常用端口进行测试
——tcp转换到TCP23,用telnet测试
——udp转换到UDP514,用syslog发送进行测试
, 3。为了测试方便,防火墙只设两个区外面和里面
- - -将在服务器的TCP1000 ~ 2000映射到防火墙外口的TCP1000 ~ 2000上
- - -将在服务器的UDP1000 ~ 2000映射到防火墙外口的UPD2000 ~ 3000上
4。测试发现如果tcp端口范围与udp端口范围一样,第二个NAT配置不上,会报如下错误:
,错误:NAT无法储备港口。
<强>三。基本配置强>
<强> 1.外服务器强>
,知识产权:202.100.1.8/24
<强> 2。防火墙ASA842 强>
界面GigabitEthernet0
外nameif安全级别0
ip地址202.100.1.10 255.255.255.0
!
界面GigabitEthernet1
在
nameif安全级别100
ip地址10.1.1.10 255.255.255.0
<强> 3. intside服务器强>
,知识产权:10.1.1.8/24
,温伯格:10.1.1.10
<强>四。静态PAT端口范围配置强>
<强> 1。定义端口范围对象强>
对象网络,Inside_Server
,,,主机10.1.1.8
对象服务tcp_ports
,,,服务的tcp目的地范围1000 - 2000
对象服务udp_ports
,,,服务udp目的地范围2000 - 3000
<强> 2。配置twice-nat 强>
静态nat(外面,里面)来源的任何静态界面,任何目的地Inside_Server service tcp_ports tcp_ports
静态nat(外面,里面)来源的任何任何目的地static 界面,Inside_Server 服务udp_ports udp_ports
<强> 3。配置并应用防火墙策略强>
访问列表以外的扩展允许tcp Inside_Server任何对象范围1000 - 2000
访问列表以外的扩展允许udp Inside_Server任何对象范围2000 - 3000
访问组在接口Outside
<强> 4。测试验证强>
- - - - - -可以用多种方式验证,如果进行静态端口转换嫌麻烦,可以直接抓包验证
<强> 强>
<强> 强>