欢迎来到天天文库
浏览记录
ID:8975231
大小:304.83 KB
页数:7页
时间:2018-04-13
《asa防火墙nat新版老版的配置方法对比》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、ASA防火墙NAT新版老版的配置方法对比不是最新的资料,但是觉得还是对一些朋友比较有用处,还是发布出来这里先提供在线查阅,稍后会提供PDF版给大家下载ASA8.3以后,NAT算是发生了很大的改变,之前也看过8.4的ASA,改变的还有VPN,加入了Ikev2。MPF方法加入了新的东西,QOS和策略都加强了,这算是Cisco 把CCSP的课程改为CCNPSecurity的改革吧! 拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。 基本通信没问题,关于8.3以后推出了两个概念,一个是networkobject它可
2、以代表一个主机或者子网的访问。另外一个是serviceobject,代表服务。1、地址池的形式的NAT配置老版本代表一个12.1.1.0的地址池转换成200.200.200.3-200.200.200.254一对一的转换nat(inside)112.1.1.0255.255.255.0global(outside)1200.200.200.3-200.200.200.254新版本(NetworkobjectNAT)ciscoasa(config)#objectnetworkinsideciscoasa(config-network-o
3、bject)#subnet12.1.1.0255.255.255.0ciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkoutside-poolciscoasa(config-network-object)#range200.200.200.3200.200.200.254ciscoasa(config-network-object)#exitciscoasa(config)#objectnetworkinsideciscoasa(config-netwo
4、rk-object)#nat(inside,outside)dynamicoutside-pool其实,刚开始接触也挺不习惯的,不过弄懂了就习惯了,它的意思是先定义两个object,一个用于代表转换前的地址范围,一个是转化后的地址范围,最后在转换前的object进行调用转化后的object。 由于地址不是一一对应的,所以这里它就自动选择了。这里为了清楚表达要在需要的地方调用这个策略,所以输入了两次objectnetworkinside,其实我们看先创建一个地址池,然后在创建一个需要转换的范围,然后在这个object里面调用。2、动态P
5、AT,多对一的配置老配置里面可以根据一个地址或者直接跟interface参数来做nat(inside)112.1.1.0255.255.255.0global(outside)1200.200.200.1orinterface新版本(NetworkobjectNAT)ciscoasa(config)#objectnetworkinsideciscoasa(config-network-object)#subnet12.1.1.0255.255.255.0ciscoasa(config-network-object)#nat(insid
6、e,outside)dynamicinterface 这个策略最简单,就在需要转换的地址进行NAT配置,这里调用interface作为转换。如果是一个单一的地址话。ciscoasa(config)#objectnetworkoutside-patciscoasa(config-network-object)#host200.200.200.3ciscoasa(config)#objectnetworkinsideciscoasa(config-network-object)#subnet12.1.1.0255.255.255.0cis
7、coasa(config-network-object)#nat(inside,outside)dynamicoutside-pat调用outside-pat策略用200.200.200.3做PAT 转换成200.200.200.3出去了3、StaticNAT一对一转换老版本,用于服务器公布出去static(inside,outside)200.200.200.313.1.1.2新版本(NetworkobjectNAT)ciscoasa(config)#objectnetworkDMZciscoasa(config-network-o
8、bject)#host13.1.1.2ciscoasa(config-network-object)#nat(dmZ,outside)static200.200.200.3ciscoasa(config)#access-
此文档下载收益归作者所有