收藏 分享(赏)

ASA防火墙NAT转换方法.doc

上传人:hskm5268 文档编号:5818021 上传时间:2019-03-18 格式:DOC 页数:4 大小:31.50KB
下载 相关 举报
ASA防火墙NAT转换方法.doc_第1页
第1页 / 共4页
ASA防火墙NAT转换方法.doc_第2页
第2页 / 共4页
ASA防火墙NAT转换方法.doc_第3页
第3页 / 共4页
ASA防火墙NAT转换方法.doc_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

1、nat-control 命令在 6.3 的时候只要是穿越防火墙都需要创建转换项,比如:nat;static 等等,没有转换项是不能穿越防火墙的,但是到了 7.0 这个规则有了变化,不 需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上 nat-control 这个命令的时候,这个规则就改变得和 6.3 时 代一样必须要有转换项才能穿越防火墙了。7.0 以后开始 nat-control 是默认关闭的,关闭的时候允许没有配置 NAT 规则的前提下和外部主机通信,相当于路由器一样,启用 NAT 开关后内外网就必须通过 NAT 转换才能通信1、定义外口interface

2、Ethernet0/0 进入端口nameif outside 定义端口为外口security-level 0 定义安全等级为 0no shut 激活端口ip address . 255.255.255.248 设置 IP2、定义内口interface Ethernet0/1 nameif inside 定义端口为内security-level 100 定义端口安去昂等级为 100no shutip address 192.168.1.1 255.255.255.0 3、定义内部 NAT 范围。nat (inside) 1 0.0.0.0 0.0.0.0 任何 IP 都可以 NAT,可以自由设置

3、范围。4、定义外网地址池global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240或global (outside) 1 interface 当 ISP 只分配给一个 IP 是,直接使用分配给外口的 IP 地址。5、设置默认路由route outside 0 0 218.17.148.14 指定下一条为 IPS 指定的网关地址查看 NAT 转换情况show xlate要想配置思科的防火墙得先了解这些命令:常用命令有:nameif、interface、ip address、nat、global、route 、static

4、等。global指定公网地址范围:定义地址池。Global 命令的配置语法:global (if_name) nat_id ip_address-ip_address netmark global_mask其中:(if_name):表示外网接口名称,一般为 outside。nat_id:建立的地址池标识(nat 要引用)。ip_address-ip_address:表示一段 ip 地址范围。netmark global_mask:表示全局 ip 地址的网络掩码。nat地址转换命令,将内网的私有 ip 转换为外网公网 ip。nat 命令配置语法:nat (if_name) nat_id loca

5、l_ip netmark其中:(if_name):表示接口名称,一般为 inside.nat_id: 表示地址池,由 global 命令定义。local_ip: 表示内网的 ip 地址。对于 0.0.0.0 表示内网所有主机。netmark:表示内网 ip 地址的子网掩码。routeroute 命令定义静态路由。语法:route (if_name) 0 0 gateway_ip metric其中:(if_name):表示接口名称。0 0 :表示所有主机Gateway_ip:表示网关路由器的 ip 地址或下一跳。metric:路由花费。缺省值是 1。static配置静态 IP 地址翻译,使内部地

6、址与外部地址一一对应。语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name 表示内部网络接口,安全级别较高,如 inside。external_if_name 表示外部网络接口,安全级别较低,如 outside。outside_ip_address 表示外部网络的公有 ip 地址。inside_ ip_address 表示内部网络的本地 ip 地址。(括号内序顺是先内后外,外边的顺序是先外后内)例如:asa(config)#static (inside

7、,outside) 133.0.0.1 192.168.0.8表示内部 ip 地址 192.168.0.8,访问外部时被翻译成 133.0.0.1 全局地址*asa#conf tasa(config)# hostname asa /设置主机名asa(config)#enable password cisco /设置密码配置外网的接口,名字是 outside,安全级别 0,输入 ISP 给您提供的地址就行了。asa(config)#interface GigabitEthernet0/0asa(config)#nameif outside /名字是 outsideasa(config)#secu

8、rit-level 0 /安全级别 0asa(config)#ip address *.*.*.* 255.255.255.0 /配置公网 IP 地址asa(config)#duplex fullasa(config)#asa(config)#no shutdown配置内网的接口,名字是 inside,安全级别 100asa(config)#interface GigabitEthernet0/1asa(config)#nameif insideasa(config)#securit-level 100asa(config)#duplex fullasa(config)#speed 100as

9、a(config)#no shutdown配置 DMZ 的接口,名字是 dmz,安全级别 50asa(config)#interface GigabitEthernet0/2asa(config)#nameif dmzasa(config)#securit-level 50asa(config)#duplex fullasa(config)#asa(config)#no shutdown网络部分设置asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0asa(config)#global(outside) 1 222.240.254.193 25

10、5.255.255.248asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 /表示 192.168.1.1 这个地址不需要转换。直接转发出去。asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 /定义的地址池asa(config)#nat (inside) 1 0 0 /0 0 表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围配置静态路由asa(config)#route outside 0 0 133.0.0.2 /设置默认路由 133.0.0.2 为下一跳

11、如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1地址转换asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态 NATasa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态 NATasa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态 NAT如果内部有服务器需要映射到公

12、网地址(外网访问内网) 则需要 staticasa(config)#static (inside, outside) 222.240.254.194 192.168.1.240asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 /后面的 10000为限制连接数,10 为限制的半开连接数ACL 实现策略访问asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置 ACLasa(config)#access-list 101

13、 permit ip any host 133.1.0.2 eq ftp;设置 ACLasa(config)#access-list 101 deny ip any any ;设置 ACLasa(config)#access-group 101 in interface outside ;将 ACL 应用在 outside 端口当内部主机访问外部主机时,通过 nat 转换成公网 IP,访问 internet。当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的 IP,到外部去找。当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101,static 是双向的。PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报