Cisco ASA防火墙原地址与目的地址NAT

1、网络拓扑信息

2、网络地址基本配置

  • outside路由器:

    interface FastEthernet0/0
ip address 11.1.1.1 255.255.255.0
  • inside路由器 
    interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
ip route 1.1.1.0 255.255.255.0 10.1.1.10
  • ASA防火墙 
    interface Ethernet0/0
nameif outside
security-level 0
ip address 11.1.1.10 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.10 255.255.255.0
route outside 1.1.1.0 255.255.255.0 11.1.1.1 1
route inside 2.2.2.0 255.255.255.0 10.1.1.1 1

3、需求与配置

  • 需要1:
    将内网服务器其IP址地2.2.2.2映射外网IP地址11.1.1.2 ,并做ACL放行其外部访问权限。
static (inside,outside) tcp 11.1.1.2 www 2.2.2.2 8080 netmask 255.255.255.255

access-list oti extended permit ip any host 11.1.1.2
access-group oti in interface outside
  • 需求2:
    内部用户访问其内部IP地址10.1.1.3时,做其目的地址转换,转换为1.1.1.3

    static (outside,inside) 10.1.1.3 1.1.1.3 netmask 255.255.255.255
  • 需求3:
    原目地址同时做转换,内部用户其IP地址2.2.2.4访问其目的地址10.1.1.4时,原地址由2.2.2.4转换为11.1.1.4,目的地址10.1.1.4转换为1.1.1.4
static (inside,outside) 11.1.1.4 2.2.2.4 netmask 255.255.255.255
static (outside,inside) 10.1.1.4 1.1.1.4 netmask 255.255.255.255

原文地址:https://blog.51cto.com/ganxing/2405458

时间: 2024-07-28 22:15:46

Cisco ASA防火墙原地址与目的地址NAT的相关文章

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)

前言:上一篇博文写了Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题),是基于公司网关设备是路由器的情况下,那么,如果是ASA防火墙的话,又该怎么配置呢?关于理论部分,在前面提到的博文链接中已经写的挺详细了,可以参考那篇博文的理论部分,这里就直接上配置了. 该博文关于虚拟专用网的理论知识点比较少,因为我之前写过好几篇虚拟专用网的博文了,所以关于原理方面不会重复写,若想了解原理,可以参考以下博文(路由器和防火墙的虚拟专用网原理类似,可参考): Cisco路由器之Easy虚拟专用

CISCO ASA 防火墙 IOS恢复与升级

在IOS被误清除时的处理办法: 1.从tftp上的ios启动防火墙 防火墙启动后 ,按“ESC”键进入监控模式 rommon #2> ADDRESS=192.168.1.116 rommon #3> GATEWAY=192.168.1.1 rommon #4> IMAGE=asa803-k8.bin rommon #5> SERVER=192.168.1.1 rommon #6> sync rommon #7> ping 192.168.1.1 Link is UP S

cisco asa防火墙部署案例

查看当前防火墙的工作模式: ciscoasa# show firewall Firewall mode: Router 配置防火墙为透明模式: ciscoasa(config)# firewall transparent 配置防火墙为路由模式: ciscoasa(config)# firewall router PS:配置透明防火墙之后,运行配置会被清除,请注意保存配置到Flash存储器. 配置透明防火墙: ciscoasa(config)# firewall transparent cisco

cisco ASA 防火墙常用配置(ASA Version 8.2(5) )

注:内网口:192.168.3.253  外网口:192.168.6.45  (以下指令皆据此)!!! 接口模式下加入vlan: switchport access vlan 2 vlan接口配置IP地址: interface Vlan1  nameif inside security-level 50  ip address 192.168.3.253 255.255.255.0 配置端口映射: access-list Outside_Access extended permit ip any

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.

Cisco ASA站点间穿越nat互相访问的实验

1. 实验拓扑图: 1. 实验说明: R1作为A公司的站点1,内部有台1.1.1.1/32的服务器需要A公司站点2的管理员实行远程telnet的设备管理: R5作为A公司的站点2,内部有台2.2.2.2/32的服务器需要A公司站点1的管理员实行远程telnet的设备管理: 设备之间都有ASA防火墙的安全保护,R2作为互联网的一台路由器: 2. 实验配置: R1#show  run usernamecisco password 0 cisco ! interfaceLoopback0       

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q