欢迎来到天天文库
浏览记录
ID:12796630
大小:31.50 KB
页数:4页
时间:2018-07-19
《asa防火墙nat转换方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、nat-control命令在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候,这个规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始nat-control是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由器一样,启用NAT开关后内外网就必须通过NAT转
2、换才能通信1、定义外口interfaceEthernet0/0 进入端口nameifoutside 定义端口为外口security-level0 定义安全等级为0noshut 激活端口ipaddress×.×.×.×255.255.255.248 设置IP2、定义内口interfaceEthernet0/1 nameifinside 定义端口为内security-level100 定义端口安去昂等级为100noshutipaddress192.168.1.1255.255.255.03、定义
3、内部NAT范围。nat(inside)10.0.0.00.0.0.0 任何IP都可以NAT,可以自由设置范围。4、定义外网地址池global(outside)110.21.67.10-10.21.67.14netmask255.255.255.240或global(outside)1interface 当ISP只分配给一个IP是,直接使用分配给外口的IP地址。5、设置默认路由routeoutside00218.17.148.14 指定下一条为IPS指定的网关地址查看NAT转换情况showxlate要想配置
4、思科的防火墙得先了解这些命令: 常用命令有:nameif、interface、ipaddress、nat、global、route、static等。global 指定公网地址范围:定义地址池。 Global命令的配置语法: global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。
5、 ip_address-ip_address:表示一段ip地址范围。 [netmarkglobal_mask]:表示全局ip地址的网络掩码。nat 地址转换命令,将内网的私有ip转换为外网公网ip。 nat命令配置语法:nat(if_name)nat_idlocal_ip[netmark] 其中: (if_name):表示接口名称,一般为inside. nat_id: 表示地址池,由global命令定义。 local_ip:表示内网的ip地址。对于0.0.0.0表示内
6、网所有主机。 [netmark]:表示内网ip地址的子网掩码。route route命令定义静态路由。 语法: route(if_name)00gateway_ip[metric] 其中: (if_name):表示接口名称。 00:表示所有主机 Gateway_ip:表示网关路由器的ip地址或下一跳。 [metric]:路由花费。缺省值是1。static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(inter
7、nal_if_name,external_if_name)outside_ip_addrinside_ip_address 其中: internal_if_name表示内部网络接口,安全级别较高,如inside。 external_if_name表示外部网络接口,安全级别较低,如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外,外边的顺序是先外后内)
8、 例如: asa(config)#static(inside,outside)133.0.0.1192.168.0.8 表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址************************************************************************** asa#conf
此文档下载收益归作者所有