2. 程式人生 > >Cisco ASA 應用NAT配置詳解

Cisco ASA 應用NAT配置詳解

阿新 發佈:2019-04-28
out con 端口 access nat配置 都是 多對一 允許 10.10

ASA 防火墻上NAT的基本原理與路由器上一樣,只不過只用定義一下內網地址和進行轉換後的地址就可以了,不需要進入接口再應用了。基本上兩條命令即可完成一種NAT的配置。ASA上的NAT有動態NAT、動態PAT、靜態NAT和靜態PAT四種類型。

1、動態NAT(可以說是一對一,但不是靜態的,一般不使用動態NAT)的配置步驟如下:

將內網10.0.0.0/8進行NAT轉換為170.16.1.100~172.16.1.200:

ciscoasa(config)# nat (inside) 1 10.0.0.0 255.0.0.0                 #定義需要進行NAT的內網地址

ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200           #定義全局地址池,
OK了。

ciscoasa(config)# show xlate detail                     #在進行第一次通信後,
即可通過該命令來查看NAT轉換信息

上述配置中的1為nat-id,定義NAT轉換時,需要nat-id匹配,才可進行轉換。

若是要為inside區域內的所有網段實施動態NAT,配置命令如下:

ciscoasa(config)# nat (inside) 1 0 0 #0 0 表示任意網段

2、動態PAT(多對一,節省公網IP)的配置步驟如下:

動態PAT與路由器上的PAT相同,即可以多個私網地址轉換為一個公網地址,也可直接使用outside接口。配置如下:

將20.0.0.0/8網段使用動態PAT轉換為172.17.10.10

ciscoasa(config)# nat (inside) 2 20.0.0.0 255.0.0.0          #定義需要進行NAT的內網地址

ciscoasa(config)# global (outside) 2 172.17.10.10             #定義全局地址,OK了

也可以將20.0.0.0/8這個網段直接使用outside接口的IP地址進行轉換,配置命令如下:

ciscoasa(config)# global (outside) 2 interface

3、靜態NAT(一對一,常用來對DMZ區域的服務器實施這種NAT)的配置步驟如下:

ciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1        #當DMZ區域
的192.168.1.1與outside通信時,
使用的地址是172.16.1.201,也就是說,想在外網訪問192.168.1.1這個服務器上的服務,
那麽需要使用172.16.1.201作為目的地址。

需要註意的是,在進行NAT轉換時,不止需要配置地址轉換,ACL也會影響是否能夠通信成功。

下面配置一下ACL,使外網可以成功訪問到192.168.1.1的服務。


ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201          
#允許所有主機訪問映射地址172.16.1.201

ciscoasa(config)# access-group  out_to_dmz in int outside   #應用到outside接口

個人在實驗過程中,在進行以上的ACL配置後,會出現訪問不成功的時候,再繼續配置一條允許所有主機訪問服務器的真實IP即可,兩條ACL名稱一樣,同樣應用到outside接口。

4、配置靜態PAT(與路由器上的端口映射類似),配置如下:

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
#DMZ區域的192.168.1.1服務器80端口與outside進行通信時,
使用172.16.1.201的HTTP端口

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 23 192.168.1.10 23
#當DMZ區域的192.168.1.10服務器23端口與外網進行通信,
使用的是172.16.1.201地址的23端口

ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201    
#配置ACL,若對安全要求比較高,由於上述兩個服務都是使用TCP協議,
這裏ACL規則中的ip命令字,可以改為tcp。

ciscoasa(config)# access-group out_to_dmz in int outside

靜態PAT已經配置好了,現在外網用戶在不同的軟件平臺,使用172.16.1.201作為目的地,即可訪問到不同的服務。(同理,若是無法訪問成功,那麽就再加一條ACL:允許所有主機訪問服務器的真實IP即可,兩條ACL名稱一樣,同樣應用到outside接口。)

經過以上配置可以看出,需要註意配置的語法,順序有些變化,而且,在配置靜態PAT時,可以指定服務名稱,也可以直接指定端口號,個人建議還是直接指定端口號靠譜些

Cisco ASA 應用NAT配置詳解

相關推薦

Cisco ASA 應用NAT配置

out con 端口 access nat配置 都是 多對一 允許 10.10 ASA 防火墻上NAT的基本原理與路由器上一樣,只不過只用定義一下內網地址和進行轉換後的地址就可以了,不需要進入接口再應用了。基本上兩條命令即可完成一種NAT的配置。ASA上的NAT有動態NA

ASA 防火墻NAT 配置

。、‘、 沒什麽難度ASA 防火墻NAT 配置詳解

淺談Cisco ASA應用NAT

基於 類型 定義 con bubuko 復雜 control 1.10 動態nat NAT的類型ASA上的NAT配置相對路由器來說要復雜一些,ASA上的NAT有動態NAT,動態PAT,靜態NAT和靜態PAT四種類型 動態NAT:多對多的轉換,將多個私網映射到多個公網 動態

cisco asa(asa5510 設定)防火牆的配置

今天在一個客戶那邊配置的 asa5510(config)#             asa5510(config)# show run : Saved : ASA Version 7.0(7)  ! hostname asa5510 主機名domain-name 1

ASA nat轉換與擴展ACL

前面是 nat 地址轉換後面是擴展acl AR1區 telnet AR2 經過ASA1 轉換流量配置如下:ASA配置:ASA Version 8.4(2)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.

2-V P N:ASA IPsec配置ASA-IKEV1的L2L配置

部署 cmp 調用 是否 cati 進入 sco cisco ××× 一、實驗拓撲:二、實驗要求: 三、命令部署:一、接口地址、路由等基本部署:1、基本配置接口地址、環回口測試地址:R1(config)#int lo0 //創建環回口R1(con

虛擬機網絡配置(NAT、橋接、Hostonly)

dev 設置 包括 gem f11 key 註意 box ccf VirtualBox中有四種網絡連接方式: NAT Bridged Adapter Internal Host-only Adapter VMWare中有三種,其實它跟VMWare的網絡連接方式都是一樣的

阿里雲輕量應用伺服器 搭建配置

好久沒有更新部落格了,說來也是慚愧沒有養成記錄經驗的習慣。 有很多技術開發同學都想擁有自己的伺服器用來搭建個人網站,或者展示作品,但是怕租上不會配置或者嫌配置繁瑣難下決定。 廢話不多說直接進入正題,前兩天幫朋友配置一臺阿里雲的輕量應用伺服器(注意不是雲伺服器ECS但是大同小異)。 伺服器規格

LVS NAT模式原理及配置

NAT模式優缺點:因為請求與應答都要經過lvs伺服器,所以訪問量大的話lvs會形成瓶頸,一般要求10-20臺節點。注:(節點指後面的真實web伺服器)每臺節點伺服器的閘道器地址必須是lvs伺服器的內網地址。NAT模式支援對IP地址和埠進行轉換。即使用者請求的埠和真實伺服器的埠

Windows下安裝Resin及配置與釋出應用

    關於Resin的好處,網上介紹了一大堆,小編經不住誘惑,決定試用一下。目前Resin的最新版本為:4.0.40,可以從官網直接下載。     1. 將下載下來的Resin包解壓開,會看到一大堆的檔案,有一些關鍵的檔案,我們需要了解一下。 resin-4.0.4

NAT技術配置例項

Outside local address:外部本地地址,不必是合法地址。當外部網路資料到達內部網路,外部網路中的主機IP地址與內部網路中的主機處在同一網段時,為防止內部主機誤認外部主機與自己在同一網段而廣播ARP請求,造成無法通訊,將外部主機的地址轉換成外部本地地址之後再與內部主機進行通訊。

Druid-----初次接觸德魯伊,資料庫阿里連線池配置應用

   由於專案中有好多sql寫的不夠規範,導致專案在執行時效率得到阻礙,組長下令說,利用德魯伊 來監控一下看看那些sql需要優化,才得此機會了解阿里這個開源的監控元件.   首先了解一下,什麼是Druid.   Druid是Java語言中最好的資料庫連線池,它能夠提供強大的

Cisco三層交換機的配置

.com 模式 查看 ffffff 發生 src 網段 一個 RoCE 當公司網絡規模較小、劃分的VLAN比較少時,可能單臂路由就可以滿足各VLAN間的通信,但是當VLAN較多、網絡規模比較大時。那麽使用單臂路由技術就顯得有點力不從心了,這是我們就要引入三層交換機了。 現在

IIS應用程式池配置及優化

# 引數說明 ## 1.常規 ![](https://img2020.cnblogs.com/blog/2096186/202012/2096186-20201217151956155-1177416056.png) | 屬性名稱 |屬性詳解 | | ---- | ---- | | NET

setting.xml 配置

校驗 找不到 順序 裁剪 全局 -- mls leg 觸發 文件存放位置 全局配置: ${M2_HOME}/conf/settings.xml 用戶配置: ${user.home}/.m2/settings.xml note:用戶配置優先於全局配置。${user.home}

【Spring】Spring MVC原理及配置

進行 return sub sca scrip uil 線程安全 松耦合 必須 1.Spring MVC概述: Spring MVC是Spring提供的一個強大而靈活的web框架。借助於註解,Spring MVC提供了幾乎是POJO的開發模式,使得控制器的開發和測試更加簡

kafka參數配置

kafka 參數 broker.idbroker的唯一標識符,如果不配置則自動生成,建議配置且一定要保證集群中必須唯一,默認-1log.dir日誌數據存放的目錄,默認/tmp/kafka-logslog.dirs日誌數據存放的目錄,如果沒有配置則使用log.dir,建議此項配置。zookeeper.c

Lnux系統網卡綁定配置

ole osd 接口 當前 onf prim multi pac lin 一、CentOS 配置網卡綁定(bonding) 1、bonding概述 (1)作用:就是將多塊網卡綁定同一IP地址對外提供服務,可以實現高可用或者負載均衡。當然,直接給兩塊網卡設置同一IP地址是不可

Nginx配置

set 文件結構 時也 解決方案 ces 反向代理服務器 use 力量 第三方模塊 最近在搞nginx和tomcat 以及apache的集群。下面是參考的一片很不錯的關於nginx配置的詳細講解: http://www.cnblogs.com/knowledgesea/p/

Apache配置

搜索 相對 第一個 form 執行權限 php 時有 多個 direct Apache的配置由httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改。 主站點的配置(基本配置) (1) 基本配置: ServerRoot "/mnt/softwa