当前位置:首页 > 网络 > Cisco ASA v8.4 NAT和不同安全区域互访

Cisco ASA v8.4 NAT和不同安全区域互访

网络5年前 (2017-10-27)

Cisco ASA v8.4 NAT和不同安全区域互访

实验需求:

1、inside区域的Internal-PC可以通过NAT功能访问所有outside设备

2、inside区域的Internal-PC可访问dmz区域的Server

3、outside区域的External-pc可通过公网地址访问dmz区域的Server

地址规划:

1、inside区域网段192.168.1.X  Internal-PC地址为192.168.1.2

2、dmz区域网段192.168.2.X  Server地址为192.168.2.2

3、公网地址22.22.22.2  掩码255.255.255.252   网关22.22.22.1

4、External-PC地址为11.11.11.2


ASA配置

接口,指定inside、outside和dmz区域

interface Ethernet0
description Connect-to-Server
 nameif dmz   接口连接非军事区
 security-level 50   安全级别默认50
 ip address 192.168.2.1 255.255.255.0 
!
interface Ethernet1
description Connect-to-Internal-PC
 nameif inside   接口连接内部区域
 security-level 100   安全级别默认100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet2
 description Connect-to-Telecom
 nameif outside   接口连接外部区域
 security-level 0   安全级别默认0
 ip address 22.22.22.2 255.255.255.252

配置静态路由

route outside 0.0.0.0 0.0.0.0 22.22.22.1   指定默认路由到对端telecom路由器

配置inside子网和dmz子网的NAT转换

object network inside-subnet   创建inside区域的对象网络,名称为inside-subnet
subnet 192.168.1.0 255.255.255.0   指定inside子网地址(需要做转换的地址)
nat (inside,outside) dynamic interface   nat转换方向从inside到outside,调用interface做转换

object network dmz-subnet
 subnet 192.168.2.0 255.255.255.0
 nat (dmz,outside) dynamic interface

配置策略

outside允许访问inside
access-list outside-flow extended permit ip any any 
access-group outside-flow in interface outside

dmz允许访问inside
access-list dmz-flow extended permit ip any any
access-group dmz-flow in interface dmz


Server配置

Cisco ASA v8.4 NAT和不同安全区域互访


Telecom配置

hostname Telecom
!
interface Ethernet0/0
 ip address 22.22.22.1 255.255.255.0
!         
interface Ethernet0/1
 ip address 11.11.11.1 255.255.255.0


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/171.html

相关文章

解除迪普负载均衡ADX3000-TA登陆锁定

解除迪普负载均衡ADX3000-TA登陆锁定

这破玩意儿web页面登陆输入错一次密码,就会出现admin用户被锁定的情况,查了文档默认锁定为1800秒,如果期间不登录设备,过30分钟自动解锁。console口无密码,可以命令直接解除锁定状态<...

配置IP Access List将无线网与有线网隔离

配置IP Access List将无线网与有线网隔离

锐捷核心交换访问控制列表标号如下S8605E(config)#access-list ?   <1-99>    &...

简单企业网互通配置

简单企业网互通配置

【网络拓扑】SW3为机房三层核心交换机,SW2为二楼规划局用的二层接入交换机,SW1为一楼出入境大厅的二层接入交换机,R1为大厦的出口设备,10086为外网路由器,内网所有电脑需要访问到外网的baid...

单臂路由

单臂路由

拓扑简介R为思科路由,SW为思科二层交换,PC1和PC2分别属于VLAN 10和VLAN 20,在无三层交换的情况下,通过开启路由器的一个接口上的子接口方式,实现不同VLAN之间互通。路由器配置int...

帧中继

帧中继

帧中继简介1.帧中继是一种使用了包交换方式的标准的广域网技术,为用户建立了一条端到端之间的虚拟电路连接,中间经过的帧中继云网络对于用户来说是透明的,用户用起来和租用物理专线差不多,帧中继常用于分公司与...