思科NAT(PAT)转换的一些关键概念解析和实例

一般人的头脑中或多或少对NAT都有所了解,但是往往只了解一些表面化的地址转换思路,但是具体到一些NAT转换的细节和具体场景,例如NAT Control、NAT 豁免、等价NAT,内部、外部转换场景,以及各种NAT的区别、特点等等,可能就会发现思路并不那么顺畅,所以,adreaman特意整理了这篇NAT关键概念的解析文档,以思科ASA防火墙的NAT配置为实例,梳理一下相关概念和应用场景。

NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址,达到修改或隐藏某些网络应用的地址的目的的一种方案。 Continue reading

思科PIX防火墙(6.3版本)的Failover双机热备功能及配置简介

一、简介

Failover是思科PIX防火墙的一种双机热备机制,用于在PIX发生软、硬件故障之后将用户业务快速倒换到备用机,并且由于备用机实时备份了系统的当前配置、TCP连接表等状态信息,所以进行倒换动作时用户不会感知到此次故障。PIX的面板上有指示灯表示当前本机处于主机状态还是备机状态。

二、应用场景描述:

两台PIX防火墙,同型号、同软件版本(PIX6.2以上)。
这两台PIX的inside口连接在一个交换机SwitchA上处于一个二层LAN,同样的,这两台PIX的outside口也连接在一个交换机SwitchB处于一个二层LAN中。SwitchA联通内网,SwitchB联通外网。两台PIX一台为主用状态一台为备用状态,主用状态的配置、TCP连接等信息将实时的备份到备用PIX上,一旦主用机发生软硬件故障,则自动切换到备用状态,原备用机升为主用状态,继续服务。 Continue reading

思科ASA防火墙8.2版本的组播(不含PIM)介绍

ASA8.2版本组播支持stub组播(即PIX上原有的类似igmp代理的组播)以及PIM组播(真正的组播选路),但是二者不能同时配置,即一台ASA要么处于stub网络的igmp组播代理模式,要么处于pim功能模式(作为一个组播网络的节点)。本文仅介绍思科ASA8.2的stub multicast功能,不介绍pim功能。
1、全局使能组播开关
multicast-routing

2、配置静态组播表项
mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
这两条命令都是配置静态组播表项的命令,区别在于第一个命令是为pim模式配置,第二条命令是为stub组播配置。本文不介绍pim模式,所以忽略第一条命令。 Continue reading

思科防火墙(PIX6.3版本)的组播功能和配置介绍

因为防火墙在网络中的位置特殊,处于内网和外网的连接点,即一个stub网络的外部接口点,所以PIX防火墙的组播功能要求比较简单,仅仅是一个类似igmp代理的功能,主要完成两个任务:一是在组播下游接口接收igmp报文并向上游接口转发,二是向这些接口转发组播报文,至于pim协议组播选路等相关功能是没有的。
下面详细介绍各个配置命令:
1、multicast interface interface-name
参数“interface-name”为接口名称。本命令配置名为interface-name的接口支持组播流量并进入该接口的组播配置视图。实际上类似于在该接口上使能了igmp功能,可以接收处理下游主机的igmp报文。 Continue reading

配置思科防火墙介绍内部NAT与外部NAT

网络拓扑如下图:防火墙左侧为inside网络,网段10.100.1.x/24,其中有一台主机IP为10.100.1.2;右侧为outside网络,网段为209.165.202.x/28,有一台主机IP为209.165.202.129。

NAT转换实例图

NAT转换实例图

?
1、下面的命令为一个动态内部NAT转换:

global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0

当inside网络中10.100.1.0/24网段的主机向outside网络的主机发送IP报文时,源IP地址由10.100.1.0/24网段的IP变为209.165.202.140-209.165.202.141范围的某个IP,并为这次转换建立转换表。 Continue reading

一个简单的思科ASA防火墙LDAP认证的实例

?思科的ASA防火墙的AAA认证支持RADIUS、TACAS以及LDAP认证,大家对于前两种认证接触的比较多,但是LDAP认证的相关资料就比较少了。最近在研究防火墙认证这方面的特性开发,所以adreaman我就特别架起了一个最简单的LDAP实验拓扑,供参考学习,也为更加深入的研究打下基础。

实验拓扑:

linux pc —————ASA——————http服务器
?????????????????????????????????????|
?????????????????????????????????????|
?????????????????????????????????????|———-LDAP认证服务器(windows 2003)
????????????????????????
ASA与linux pc连接的接口为outside口,安全级别为0;ASA与http服务器连接的接口为dmz口,安全级别为80;ASA与LDAP认证服务器连接的接口为inside口,安全级别为100.

我们的实验是:令外网那台linux pc的web浏览器发出http浏览请求,ASA在为其建立HTTP连接时,先向内网的LDAP服务器的认证,通过认证后linux pc即可浏览dmz网络的http服务器上的网页内容。 Continue reading

思科交换机DHCP功能和使用简介

一、DHCP server功能:

DHCP可以动态的为其管辖下的主机分配地址。DHCP协议报文是UDP报文,DHCP使用67(客户端)和68(服务器)端口。首先,客户端(例如我们PC的网卡)在其所在广播域广播发送discover报文;当此广播域的DHCP服务器收到discover报文后,则从自己的地址池中为该请求分配一个地址,并发送(单播或广播方式,由客户端的discover中的某字段指定)offer报文将分配的地址通知给客户端;客户端收到offer报文(因为可能存在多个DHCP服务器,所以可能收到多份offer,根据先来后到等机制选中一个合适的offer)后,将向那个选中的offer的DHCP服务器发送request报文(广播发送,各个DHCP服务器都会收到),相当于明确响应它选择了哪个服务器分配的哪个地址;服务器收到这个request报文后,如果它就是客户端选中的,那么就正式发送ACK报文分配地址,如果发现客户端选择的不是它,则处理善后事宜(回收地址等);客户端收到ACK报文后,就正式使用这个IP地址。

二、DHCP的简单配置
1、在config模式下,service DHCP命令,使能dhcp erver和dhcp relay功能。此功能是默认开启的。

2、在config模式下,ip dhcp pool [pool name],创建地址池。这个命令创建一个地址池,但是实际上只是创建了一个“pool的视图”或者说pool的名字。敲入ip dhcp pool [pool name]后会自动进入该pool的视图(提示符变为(config-dhcp))。 Continue reading