当前位置:首页 > 网络 > Cisco ASA v8.4 NAT和不同安全区域互访

Cisco ASA v8.4 NAT和不同安全区域互访

网络5年前 (2017-10-27)

Cisco ASA v8.4 NAT和不同安全区域互访

实验需求:

1、inside区域的Internal-PC可以通过NAT功能访问所有outside设备

2、inside区域的Internal-PC可访问dmz区域的Server

3、outside区域的External-pc可通过公网地址访问dmz区域的Server

地址规划:

1、inside区域网段192.168.1.X  Internal-PC地址为192.168.1.2

2、dmz区域网段192.168.2.X  Server地址为192.168.2.2

3、公网地址22.22.22.2  掩码255.255.255.252   网关22.22.22.1

4、External-PC地址为11.11.11.2


ASA配置

接口,指定inside、outside和dmz区域

interface Ethernet0
description Connect-to-Server
 nameif dmz   接口连接非军事区
 security-level 50   安全级别默认50
 ip address 192.168.2.1 255.255.255.0 
!
interface Ethernet1
description Connect-to-Internal-PC
 nameif inside   接口连接内部区域
 security-level 100   安全级别默认100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet2
 description Connect-to-Telecom
 nameif outside   接口连接外部区域
 security-level 0   安全级别默认0
 ip address 22.22.22.2 255.255.255.252

配置静态路由

route outside 0.0.0.0 0.0.0.0 22.22.22.1   指定默认路由到对端telecom路由器

配置inside子网和dmz子网的NAT转换

object network inside-subnet   创建inside区域的对象网络,名称为inside-subnet
subnet 192.168.1.0 255.255.255.0   指定inside子网地址(需要做转换的地址)
nat (inside,outside) dynamic interface   nat转换方向从inside到outside,调用interface做转换

object network dmz-subnet
 subnet 192.168.2.0 255.255.255.0
 nat (dmz,outside) dynamic interface

配置策略

outside允许访问inside
access-list outside-flow extended permit ip any any 
access-group outside-flow in interface outside

dmz允许访问inside
access-list dmz-flow extended permit ip any any
access-group dmz-flow in interface dmz


Server配置

Cisco ASA v8.4 NAT和不同安全区域互访


Telecom配置

hostname Telecom
!
interface Ethernet0/0
 ip address 22.22.22.1 255.255.255.0
!         
interface Ethernet0/1
 ip address 11.11.11.1 255.255.255.0


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/171.html

相关文章

解决H3C MSR光转电、电转光后DHCP无法获得地址

解决H3C MSR光转电、电转光后DHCP无法获得地址

电信进来的光纤接入光猫后,转为电后接入MSR的Ge1口,Ge0口出来根6类线插入TP-link光纤收发器后电转光,接入光纤法兰盘W26,W26与A2相连,A和B机房A2-A2相连,B机房A2-L2相连...

锐捷交换机启用http登陆

锐捷交换机启用http登陆

启动http服务 Ruijie(config)#enable service web-server      ...

华为S5700升级VRP

华为S5700升级VRP

清除配置<xixianxinqu>  reset saved-configuration  Warning: The action will delete the sa...

简单企业网互通配置

简单企业网互通配置

【网络拓扑】SW3为机房三层核心交换机,SW2为二楼规划局用的二层接入交换机,SW1为一楼出入境大厅的二层接入交换机,R1为大厦的出口设备,10086为外网路由器,内网所有电脑需要访问到外网的baid...

多协议路由重分步

多协议路由重分步

拓扑简介5台路由器互联,R1-R2使用OSPF,R2-R3使用RIP,R3-R4使用EIGRP,R4-R5使用STATIC,R5-R1使用BGP,要求多协议路由做完后使用重分步,全网互通。预配置R1i...

单臂路由

单臂路由

拓扑简介R为思科路由,SW为思科二层交换,PC1和PC2分别属于VLAN 10和VLAN 20,在无三层交换的情况下,通过开启路由器的一个接口上的子接口方式,实现不同VLAN之间互通。路由器配置int...