1、nat-control 命令在 6.3 的时候只要是穿越防火墙都需要创建转换项,比如:nat;static 等等,没有转换项是不能穿越防火墙的,但是到了 7.0 这个规则有了变化,不 需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上 nat-control 这个命令的时候,这个规则就改变得和 6.3 时 代一样必须要有转换项才能穿越防火墙了。7.0 以后开始 nat-control 是默认关闭的,关闭的时候允许没有配置 NAT 规则的前提下和外部主机通信,相当于路由器一样,启用 NAT 开关后内外网就必须通过 NAT 转换才能通信1、定义外口interface
2、Ethernet0/0 进入端口nameif outside 定义端口为外口security-level 0 定义安全等级为 0no shut 激活端口ip address . 255.255.255.248 设置 IP2、定义内口interface Ethernet0/1 nameif inside 定义端口为内security-level 100 定义端口安去昂等级为 100no shutip address 192.168.1.1 255.255.255.0 3、定义内部 NAT 范围。nat (inside) 1 0.0.0.0 0.0.0.0 任何 IP 都可以 NAT,可以自由设置
3、范围。4、定义外网地址池global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240或global (outside) 1 interface 当 ISP 只分配给一个 IP 是,直接使用分配给外口的 IP 地址。5、设置默认路由route outside 0 0 218.17.148.14 指定下一条为 IPS 指定的网关地址查看 NAT 转换情况show xlate要想配置思科的防火墙得先了解这些命令:常用命令有:nameif、interface、ip address、nat、global、route 、static
4、等。global指定公网地址范围:定义地址池。Global 命令的配置语法:global (if_name) nat_id ip_address-ip_address netmark global_mask其中:(if_name):表示外网接口名称,一般为 outside。nat_id:建立的地址池标识(nat 要引用)。ip_address-ip_address:表示一段 ip 地址范围。netmark global_mask:表示全局 ip 地址的网络掩码。nat地址转换命令,将内网的私有 ip 转换为外网公网 ip。nat 命令配置语法:nat (if_name) nat_id loca
5、l_ip netmark其中:(if_name):表示接口名称,一般为 inside.nat_id: 表示地址池,由 global 命令定义。local_ip: 表示内网的 ip 地址。对于 0.0.0.0 表示内网所有主机。netmark:表示内网 ip 地址的子网掩码。routeroute 命令定义静态路由。语法:route (if_name) 0 0 gateway_ip metric其中:(if_name):表示接口名称。0 0 :表示所有主机Gateway_ip:表示网关路由器的 ip 地址或下一跳。metric:路由花费。缺省值是 1。static配置静态 IP 地址翻译,使内部地
6、址与外部地址一一对应。语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name 表示内部网络接口,安全级别较高,如 inside。external_if_name 表示外部网络接口,安全级别较低,如 outside。outside_ip_address 表示外部网络的公有 ip 地址。inside_ ip_address 表示内部网络的本地 ip 地址。(括号内序顺是先内后外,外边的顺序是先外后内)例如:asa(config)#static (inside
7、,outside) 133.0.0.1 192.168.0.8表示内部 ip 地址 192.168.0.8,访问外部时被翻译成 133.0.0.1 全局地址*asa#conf tasa(config)# hostname asa /设置主机名asa(config)#enable password cisco /设置密码配置外网的接口,名字是 outside,安全级别 0,输入 ISP 给您提供的地址就行了。asa(config)#interface GigabitEthernet0/0asa(config)#nameif outside /名字是 outsideasa(config)#secu
8、rit-level 0 /安全级别 0asa(config)#ip address *.*.*.* 255.255.255.0 /配置公网 IP 地址asa(config)#duplex fullasa(config)#asa(config)#no shutdown配置内网的接口,名字是 inside,安全级别 100asa(config)#interface GigabitEthernet0/1asa(config)#nameif insideasa(config)#securit-level 100asa(config)#duplex fullasa(config)#speed 100as
9、a(config)#no shutdown配置 DMZ 的接口,名字是 dmz,安全级别 50asa(config)#interface GigabitEthernet0/2asa(config)#nameif dmzasa(config)#securit-level 50asa(config)#duplex fullasa(config)#asa(config)#no shutdown网络部分设置asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0asa(config)#global(outside) 1 222.240.254.193 25
10、5.255.255.248asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 /表示 192.168.1.1 这个地址不需要转换。直接转发出去。asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 /定义的地址池asa(config)#nat (inside) 1 0 0 /0 0 表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围配置静态路由asa(config)#route outside 0 0 133.0.0.2 /设置默认路由 133.0.0.2 为下一跳
11、如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1地址转换asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态 NATasa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态 NATasa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态 NAT如果内部有服务器需要映射到公
12、网地址(外网访问内网) 则需要 staticasa(config)#static (inside, outside) 222.240.254.194 192.168.1.240asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 /后面的 10000为限制连接数,10 为限制的半开连接数ACL 实现策略访问asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置 ACLasa(config)#access-list 101
13、 permit ip any host 133.1.0.2 eq ftp;设置 ACLasa(config)#access-list 101 deny ip any any ;设置 ACLasa(config)#access-group 101 in interface outside ;将 ACL 应用在 outside 端口当内部主机访问外部主机时,通过 nat 转换成公网 IP,访问 internet。当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的 IP,到外部去找。当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101,static 是双向的。PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。