一、实验拓扑：

二、实验要求：本质：将一个连续的网络转换到另一个连续的网络。1、配置Network static NAT，转换Inside网络10.1.1.0/28到DMZ区域的网络地址10.1.2.0/28；这是网段转换为另一个网段；2、配置Network static NAT，转换DMZ网络10.1.2.200-10.1.2.210到Outside区域的网络地址202.100.1.200-202.100.1.210；这是一个范围转换为另一个范围，转换前和转换后不一定能对应上：比如转换前可能为：10.1.2.200，转换后可能为202.100.1.203，但是不影响正常通信；

三、命令部署：

实验一：网段转换1、清除上个实验的Object配置，并查看验证：ASA(config)# clear configure objectASA(config)# show run objectASA(config)# show run nat

2、将原来的10.1.1.0/24改为10.1.1.0/28

R2(config)#int f0/0R2(config-if)#ip add 10.1.1.2 255.255.255.240

3、配置Network static NAT，转换Inside网络10.1.1.0/28到DMZ区域的网络地址10.1.2.0/28

ASA(config)# object network in-dmzASA(config-network-object)# subnet 10.1.2.0 255.255.255.240

ASA(config)# object network in-yuan

ASA(config-network-object)# subnet 10.1.1.0 255.255.255.240ASA(config-network-object)# nat (inside,dmz) static in-dmz验证：R2#telnet 10.1.2.3Trying 10.1.2.3 ... OpenUser Access VerificationUsername: ccPassword: R3>

ASA# show xlate

1 in use, 3 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceNAT from inside:10.1.1.0/28 to dmz:10.1.2.0/28flags s idle 0:01:05 timeout 0:00:00

R3#show users

Line User Host(s) Idle Location

• 0 con 0 idle 00:00:00
  130 vty 0 cc idle 00:00:31 10.1.2.2

清除掉刚刚的连接：包括xlate和arp

ASA# clear xlateINFO: 0 xlate deletedASA# clear arp inside

4、R2更改IP地址为10.1.1.3/28

R2(config)#int f0/0R2(config-if)#ip add 10.1.1.3 255.255.255.240验证：R2#telnet 10.1.2.3Trying 10.1.2.3 ... % Connection timed out; remote host not responding结论：老师的不行，我的也不行，各种清xlate、arp都不行，怪事。

实验二：范围转换

1、清除上个实验的Object配置，并查看验证：ASA(config)# clear configure objectASA(config)# show run objectASA(config)# show run nat

2、配置Network static NAT，转换DMZ网络10.1.2.200-10.1.2.210到Outside区域的网络地址202.100.1.200-202.100.1.210

ASA(config)# object network out-poolASA(config-network-object)# range 202.100.1.200 202.100.1.210

ASA(config)# object network dmz-yuan

ASA(config-network-object)# range 10.1.2.200 10.1.2.210ASA(config-network-object)# nat (dmz,outside) static out-pool

3、修改R3地址为10.1.2.200

R3(config)#int f0/0R3(config-if)#ip add 10.1.2.200 255.255.255.0

验证：

有时候地址可以对的上有时候对不上，多更改R3地址看是否能对的上：第一次：对上了R3#telnet 202.100.1.1Trying 202.100.1.1 ... OpenUser Access VerificationUsername: aaPassword: R1>

R1#show users

Line User Host(s) Idle Location 66 vty 0 aa idle 00:00:21 202.100.1.200第二次：也对上了R3(config)#int f0/0R3(config-if)#ip add 10.1.2.205 255.255.255.0

R3#telnet 202.100.1.1

Trying 202.100.1.1 ... OpenUser Access VerificationUsername: aaPassword: R1>

R1#show users

Line User Host(s) Idle Location66 vty 0 aa idle 00:00:29 202.100.1.205

第三次：又对上了

R3(config)#int f0/0R3(config-if)#ip add 10.1.2.209 255.255.255.0

R1#show users

Line User Host(s) Idle Location66 vty 0 aa idle 00:00:02 202.100.1.209ASA模拟器有点小问题，效果不能全部出来！！