實驗?zāi)康模?br/>1.VLAN互通
2.VRRP
3.內(nèi)網(wǎng)PAT訪問外網(wǎng)【地址轉(zhuǎn)換成119.1.1.0/29網(wǎng)段】
4.發(fā)布Web服務(wù)器供外網(wǎng)訪問
實驗步驟：
配置各個交換機：
SW1：創(chuàng)建vlan1【交換機自帶】、vlan2、vlan100

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、鶴壁網(wǎng)絡(luò)推廣、微信小程序定制開發(fā)、鶴壁網(wǎng)絡(luò)營銷、鶴壁企業(yè)策劃、鶴壁品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們大的嘉獎；成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供鶴壁建站搭建服務(wù)，24小時服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

 interface GigabitEthernet0/0/1
 port link-type access
 port def vlan 1
 interface GigabitEthernet0/0/12
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 interface GigabitEthernet0/0/13
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

SW2：創(chuàng)建vlan1【交換機自帶】、vlan2、vlan100、vlan3

 interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 2
 interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 3
 interface GigabitEthernet0/0/12
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

SW3：創(chuàng)建vlan1【交換機自帶】、vlan2、vlan100、vlan4

 interface GigabitEthernet0/0/1
 port link-type access                    
 port default vlan 100
 interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 4
 interface GigabitEthernet0/0/13
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094

配置VRRP：SW3做主VRRP、SW2做備用VRRP

 SW3：interface Vlanif1                         
          ip address 192.168.1.250 255.255.255.0
          vrrp vrid 1 virtual-ip 192.168.1.254\\配置虛擬網(wǎng)關(guān)IP
          vrrp vrid 1 priority 150\\配置優(yōu)先級
          vrrp vrid 1 track interface GigabitEthernet0/0/2 reduced 100
          \\配置鏈路跟蹤使其斷掉后優(yōu)先級下降100
          interface Vlanif2
          ip address 192.168.2.250 255.255.255.0
          vrrp vrid 2 virtual-ip 192.168.2.254\\配置虛擬網(wǎng)關(guān)IP
          vrrp vrid 2 priority 150\\配置優(yōu)先級
          vrrp vrid 2 track interface GigabitEthernet0/0/2 reduced 100
           \\配置鏈路跟蹤使其斷掉后優(yōu)先級下降100
          interface Vlanif100
          ip address 192.168.100.253 255.255.255.0
          vrrp vrid 100 virtual-ip 192.168.100.254\\配置虛擬網(wǎng)關(guān)IP
          vrrp vrid 100 priority 150\\配置優(yōu)先級
          vrrp vrid 100 track interface GigabitEthernet0/0/2 reduced 100
           \\配置鏈路跟蹤使其斷掉后優(yōu)先級下降100
     SW2：interface Vlanif1                         
          ip address 192.168.1.253 255.255.255.0
          vrrp vrid 1 virtual-ip 192.168.1.254\\配置虛擬網(wǎng)關(guān)IP
          interface Vlanif2
          ip address 192.168.2.253 255.255.255.0
          vrrp vrid 2 virtual-ip 192.168.2.254\\配置虛擬網(wǎng)關(guān)IP
          interface Vlanif100
          ip address 192.168.100.250 255.255.255.0
          vrrp vrid 100 virtual-ip 192.168.100.254\\配置虛擬網(wǎng)關(guān)IP

配置OSPF：SW3：ospf 1 router-id 3.3.3.3

   area 0.0.0.0
               network 192.168.1.0 0.0.0.255
               network 192.168.2.0 0.0.0.255
               network 192.168.100.0 0.0.0.255
               network 192.168.4.0 0.0.0.255
          SW2：ospf 1 router-id 2.2.2.2
               area 0.0.0.0
               network 192.168.1.0 0.0.0.255
               network 192.168.2.0 0.0.0.255
               network 192.168.3.0 0.0.0.255
               interface Vlanif3
               ip address 192.168.3.1 255.255.255.0
               interface Vlanif4
               ip address 192.168.4.1 255.255.255.0

配置防火墻【ASA】：interface GigabitEthernet0

     nameif inside1
                 security-level 100
                 ip address 192.168.4.254 255.255.255.0
                 interface GigabitEthernet1
                 nameif inside2
                 security-level 100
                 ip address 192.168.3.254 255.255.255.0
                 interface GigabitEthernet2
                 nameif outside
                 security-level 0
                 ip address 200.8.8.1 255.255.255.252

配置防火墻下一跳:

route inside1 192.168.1.0 255.255.255.0 192.168.4.1
route inside1 192.168.2.0 255.255.255.0 192.168.4.1
route inside1 192.168.100.0 255.255.255.0 192.168.4.1

配置ISP：interface GigabitEthernet0/0/0

  ip address 200.8.8.2 255.255.255.252 \\配置IP【子網(wǎng)為30位】
         interface GigabitEthernet0/0/1
         ip address 200.9.9.254 255.255.255.0\\配置IP
         默認(rèn)路由：ip route-static 0.0.0.0 0.0.0.0 200.8.8.1

配置防火墻對ISP下一跳：

 route outside 200.9.9.0 255.255.255.0 200.8.8.2

防火墻設(shè)置ACL【使外網(wǎng)可訪問內(nèi)網(wǎng)的web服務(wù)】：

 access-list out-to-in permit tcp host 200.9.9.2 host 192.168.100.1 eq 80

調(diào)用ACL：

 access-group out-to-in in interface outside

NAT地址轉(zhuǎn)換【將私有地址轉(zhuǎn)換為公有地址119.1.1.0/29】：

object network vlan1\\配置vlan1 NAT
            subnet 192.168.1.0 255.255.255.0
            nat (inside1,outside) dynamic 119.1.1.1
            quit
           object network vlan2\\配置vlan2 NAT
           subnet 192.168.2.0 255.255.255.0
           nat (inside1,outside) dynamic 119.1.1.2
           quit
          object network vlan100 \\配置vlan100 NAT
          subnet 192.168.100.0 255.255.255.0
          nat (inside1,outside) dynamic 119.1.1.3
          quit

客戶端IP:

  Client1:192.168.1.1 255.255.255.0
         Client2:192.168.2.1 255.255.255.0
         Server-web:192.168.100.1 255.255.255.0
         Client3:200.9.9.2 255.255.255.0
         Server-ftp:200.9.9.1 255.255.255.0

結(jié)果驗證：
1vlan互通



2VRRP【此時ping的為虛擬網(wǎng)關(guān)IP】

3內(nèi)網(wǎng)PAT訪問外網(wǎng)【地址將轉(zhuǎn)換成119.1.1.0/29的網(wǎng)段】



4發(fā)布Web服務(wù)器供外網(wǎng)訪問【Client3為外網(wǎng)客戶端】

實驗拓撲圖【紅點代表信號不穩(wěn)定，不是未開啟，數(shù)據(jù)可以通過】：

謝謝大家支持

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章名稱：第十九期ASA【防火墻】綜合拓撲-創(chuàng)新互聯(lián)
網(wǎng)站網(wǎng)址：http://weahome.cn/article/dejphj.html