Cisco ASA v8.4 NAT和不同安全区域互访

实验需求：

1、inside区域的Internal-PC可以通过NAT功能访问所有outside设备

2、inside区域的Internal-PC可访问dmz区域的Server

3、outside区域的External-pc可通过公网地址访问dmz区域的Server

地址规划：

1、inside区域网段192.168.1.X  Internal-PC地址为192.168.1.2

2、dmz区域网段192.168.2.X  Server地址为192.168.2.2

3、公网地址22.22.22.2  掩码255.255.255.252   网关22.22.22.1

4、External-PC地址为11.11.11.2

ASA配置

接口，指定inside、outside和dmz区域

interface Ethernet0
description Connect-to-Server
 nameif dmz   接口连接非军事区
 security-level 50   安全级别默认50
 ip address 192.168.2.1 255.255.255.0 
!
interface Ethernet1
description Connect-to-Internal-PC
 nameif inside   接口连接内部区域
 security-level 100   安全级别默认100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet2
 description Connect-to-Telecom
 nameif outside   接口连接外部区域
 security-level 0   安全级别默认0
 ip address 22.22.22.2 255.255.255.252

配置静态路由

route outside 0.0.0.0 0.0.0.0 22.22.22.1   指定默认路由到对端telecom路由器

配置inside子网和dmz子网的NAT转换

object network inside-subnet   创建inside区域的对象网络，名称为inside-subnet
subnet 192.168.1.0 255.255.255.0   指定inside子网地址（需要做转换的地址）
nat (inside,outside) dynamic interface   nat转换方向从inside到outside，调用interface做转换

object network dmz-subnet
 subnet 192.168.2.0 255.255.255.0
 nat (dmz,outside) dynamic interface

配置策略

outside允许访问inside
access-list outside-flow extended permit ip any any 
access-group outside-flow in interface outside

dmz允许访问inside
access-list dmz-flow extended permit ip any any
access-group dmz-flow in interface dmz

Server配置

Telecom配置

hostname Telecom
!
interface Ethernet0/0
 ip address 22.22.22.1 255.255.255.0
!         
interface Ethernet0/1
 ip address 11.11.11.1 255.255.255.0