实验需求：

为保障内部用户能够访问Internet，请把10.1.1.0/24网络动态转换到外部地址池202.100.1.100-202.100.1.200，如果地址池耗尽后，PAT到Outside接口

提示：需要看到如下输出信息

Inside#telnet 202.100.1.1

Trying 202.100.1.1 ... Open

User Access Verification

Username: admin

Password:

Outside#

Outside#sh users

    Line       User       Host(s)              Idle       Location

   1 vty 0     admin      idle                 00:02:34  10.1.1.100

   2 vty 1     admin      idle                 00:00:33  202.100.1.177

*  3 vty 2     admin      idle                 00:00:13  202.100.1.179

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

timeout xlate 01:00:00

object network DNAT-POOL

range 202.100.1.100 202.100.1.200

object network inside-network01

subnet 10.1.1.0 255.255.255.0

nat (Inside,Outside) dynamic DNAT-POOL interface

ASDM

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

1. 当Win7使用Telnet访问Outside路由器（202.100.1）时，转换为202.100.101；当Win7使用HTTP访问Outside路由器（202.100.2）时，转换为202.100.102。

提示：需要看到如下输出信息

ASA(config)# sh xlate

4 in use, 4 most used

Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,

       s - static, T - twice, N - net-to-net

TCP PAT from Inside:10.1.1.100/49374 to Outside:202.100.2.100/49374 flags ri idle 0:00:09 timeout 0:00:30

Outside#sh ip http ser history

HTTP server history:

local-ipaddress:port  remote-ipaddress:port in-bytes   out-bytes  end-ime

   202.100.1.2:80      202.100.2.101:49395 413     200        08:54:33 12/14

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

object network win7

 host 10.1.1.100

object network DNAT1

 host 202.100.1.101

object network outside-telnet

 host 202.100.1.1

object service outside-telnet

 service tcp destination eq telnet

nat (Inside,Outside) source static win7 DNAT1 destination static ftp-server outside-telnet  service telnet telnet

object network DNAT2

 host 202.100.1.102

object network outside-http

 host 202.100.1.2

object service outside-telnet

 service tcp destination eq http

nat (Inside,Outside) source static win7 DNAT2 destination static outside-http outside-http  service http http

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

1. 把DMZ区域内的Telnet服务器（DMZ路由器的Loopback0接口）转换到外部地址202.100.2.3，确保Outside路由器能够Telnet访问。

提示：需要看到如下输出信息

Outside#telnet 202.100.2.3

Trying 202.100.2.3 ... Open

User Access Verification

Username: admin

Password:

DMZ#sh users

    Line       User       Host(s)              Idle       Location

*  1 vty 0     admin      idle                 00:00:00 202.100.1.1

  Interface    User               Mode         Idle     Peer Address

ASA(config)# sh xlate

3 in use, 4 most used

Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,

       s - static, T - twice, N - net-to-net

NAT from DMZ:3.3.3.3 to Outside:202.100.2.3

    flags s idle 0:00:44 timeout 0:00:00

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

object network dmz-lo

host 3.3.3.3

 nat (DMZ,Outside) static 202.100.2.3

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

1. 把内部HTTP服务器Inside路由器（Lookback0接口）的80端口和DMZ区域的HTTP服务器DMZ路由器（物理口）的80端口，分别静态转换到ASA的Outside接口的8002和8003端口上，确保Outside路由器能测试通过。

提示：需要看到如下输出信息

Outside#telnet 202.100.1.10 8002

Trying 202.100.1.10, 8002 ... Open

/GET

HTTP/1.1 400 Bad Request

Date: Wed, 14 Dec 2016 13:59:14 GMT

Server: cisco-IOS

Accept-Ranges: none

400 Bad Request

[Connection to 202.100.1.10 closed by foreign host]

Outside#telnet 202.100.1.10 8003

Trying 202.100.1.10, 8003 ... Open

/ GET

HTTP/1.1 400 Bad Request

Date: Wed, 14 Dec 2016 13:59:39 GMT

Server: cisco-IOS

Accept-Ranges: none

400 Bad Request

[Connection to 202.100.1.10 closed by foreign host]

Inside#sh ip http server history

HTTP server history:

local-ipaddress:port  remote-ipaddress:port in-bytes  out-bytes  end-time

        2.2.2.2:80      202.100.1.1:13313  6        122      13:59:14 12/14

DMZ#sh ip http server history

HTTP server history:

local-ipaddress:port  remote-ipaddress:port in-bytes  out-bytes  end-time

    192.168.1.1:80      202.100.1.1:39425 19       122       13:59:39 12/14

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

object network inside-lo-80

 host 2.2.2.2

 nat (Inside,Outside) static interface service tcp www 8002

object network dmz-int-80

 host 192.168.1.1

 nat (DMZ,Outside) static interface service tcp www 8003

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

1. 当WIN7（10.1.100）去Telnet IP地址10.1.101的2323端口时，将由外部202.100.203转换到Outside路由器上的环回口1.1.1的23端口上，确保测试能够通过。

提示：需要看到如下输出信息

WIN7 CMD：telnet 10.1.1.101 2323

ASA(config)# sh xlate

7 in use, 7 most used

Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,

       s - static, T - twice, N - net-to-net

TCP PAT from Inside:10.1.1.100/49424 to Outside:202.100.1.203/49424 flags ri idle 0:00:11 timeout 0:00:30

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

object network win7

  host 10.1.1.100

object network SNAT01

  host 10.1.1.101

object network SNAT02

  host 202.100.1.203

object network outisde-lo

  host 1.1.1.1

object service server01

 service tcp destination eq 2323

nat (Inside,Outside) 1 source static win7 SNAT01 destination static SNAT02 outisde-lo service server01 telnet

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

• 当WIN7（10.1.1.100）去Telnet IP地址10.1.1.101的2323端口时，将由外部202.100.1.203转换到Outside路由器上的环回口1.1.1.1的23端口上，确保测试能够通过。
• 把内部HTTP服务器Inside路由器（Lookback0接口）的80端口和DMZ区域的HTTP服务器DMZ路由器（物理口）的80端口，分别静态转换到ASA的Outside接口的8002和8003端口上，确保Outside路由器能测试通过。
• 把DMZ区域内的Telnet服务器（DMZ路由器的Loopback0接口）转换到外部地址202.100.2.3，确保Outside路由器能够Telnet访问。
• 当Win7使用Telnet访问Outside路由器（202.100.1.1）时，转换为202.100.1.101；当Win7使用HTTP访问Outside路由器（202.100.1.2）时，转换为202.100.1.102。
• 为保障内部用户能够访问Internet，请把10.1.1.0/24网络动态转换到外部地址池202.100.1.100-202.100.1.200，如果地址池耗尽后，PAT到Outside接口。