不同Level接口的NAT访问
Problem Description
You config policy nat in ASA but failed.
your config:
nat (vpnnetwork) 3 access-list CenteneWeb-acl
global (inside) 3 172.21.106.21
interface vpnnetwork security level:60
interface inside security level:100
Troubleshooting Performed
After Cisco lab test, recreating your issue and finding the root cause.
Resolution Summary
when you config “nat (high security level interface), global (low security level interface)”, the traffic can be translated.
But when you config “nat (low security level interface), global (high security level interface)”, the traffice cannot be translated
---------------------------------------------------------------------------------------------------------
asa(config)# same-security-traffic permit inter-interface
PIX(config)# nat-control <===使用此命令后,高安全级别要"telnet"到低安全级别,必须要有转换项.
"nat-control"命令不对相同安全级别的接口互访起作用.
在允许相同级别相互时,默认不允许访问别的安全级别(不论高低):
PIX(config)# same-security-traffic permit inter-interface <====不同接口,相同安全级别的设备通信
PIX(config)# same-security-traffic permit intra-interface <====相同接口,不同的设备之间通信
使用以下命令,允许在访问相同级别的同时,又允许访问安全级别低的接口:
PIX(config)# static (inside,outside) 202.100.1.100 10.1.1.1
使用访问列表,允许低安全级别访问高安全级别,必需要有转换项:
PIX(config)# no nat-control
PIX(config)# access-list OU permit ip any any
PIX(config)# access-group OU in interface outside OU 为关键字
使用NAT命令,允许低安全级别访问高安全级别,必需要有访问列表:
PIX(config)# nat (outside) 1 202.100.1.0 255.255.255.0 outside
PIX(config)# global (inside) 1 interface
放行PING流量:
第1种: 写访问列表
第2种: pixfirewall(config-if)# policy-map global_policy
pixfirewall(config-pmap)# class inspection_default
pixfirewall(config-pmap-c)#inspect icmp
global (outside) 1 interface
nat (inside1) 1 0.0.0.0 0.0.0.0
这样就是使用PAT功能了
针对asa和pix的7.x
透明模式只支持两个接口,透明模式也可以用multi-context
注意透明模式没有nat,没有路由
1. 3层流量要明确放行(ospf,eigrp),要想跨防火墙建邻居,两边都要permit
2. 直连的outside和inside网络必须属于相同子网
3. 必须要配置一个网管ip地址,必须~~~
4 网管ip和内外网ip在同一段.
5. 管理ip不能做内网网关
6. 可以配置网关,但是只做网管用,远程访问防火墙用
7. 每个接口必须在不同vlan,(这个是看的资料上写的,暂时不是很理解)
8. 所有流量都可由ip acl和ethernet acl控制是否放行,eth acl只能管二层流量,但是如果deny any了,则 2,3层都不过
9. arp不需要放行就可以过去,除arp外,所有二层流量默认都不通
10. 透明模式不支持,nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpn