大橙子网站建设,新征程启航

为企业提供网站建设、域名注册、服务器等服务

CISCOASANAT配置-创新互联

思科ASA防火墙8.3版与8.4版NAT的配置方法对比

创新互联始终坚持【策划先行,效果至上】的经营理念,通过多达十载累计超上千家客户的网站建设总结了一套系统有效的全网营销推广解决方案,现已广泛运用于各行各业的客户,其中包括:小搅拌车等企业,备受客户称誉。

    现在思科ASA防火墙已经升级到8.4,从8.3开始很多配置都有颠覆性的不同,特别是NAT配置很不一样,使用了object /object-group的新方式

场景一:内网流量访问外网时都转换为接口的公网地址,此环境适用于仅有一个公网地址的小型办公室。

 object  network inside_outside

 subnet 0.0.0.0 0.0.0.0

 nat (inside,outside) dynamic interface

原有的语法

nat (inside) 1 0 0 global (outside) 1  interface

场景二:内网流量访问外网时都转换为特定的公网地址,此环境适用于的小型办公室或分支办公室。

 object  network inside_outside

 subnet 0.0.0.0 0.0.0.0

 nat (inside,outside) dynamic 200.0.0.1

原有的语法

nat (inside) 1 0 0

global (outside) 1 200.0.0.1

场景三:对于有大量公网地址用户,常应用在运营商或者公司内网,动态一对一转换

 object  network inside-outside-pool

  range 200.0.0.100 200.0.0.200

 object network inside-outside-all

  subnet 0.0.0.0 0.0.0.0

  nat (inside,outside) static  inside-outside-trans

原有的语法

 nat  (inside) 1 0 0

global (outside) 1 200.0.0.100  200.0.0.200

场景四:对于有大量公网地址用户,常应用在运营商或者公司内网,为防止地址用完可以配置一个PAT和interface (推荐)

 object  network inside-outside-trans

  rRange 10.10.10.100 10.10.10.200

 object network inside-outside-PAT

  host 10.10.10.201

 object-group network nat-pat-grp

  network-object object inside-outside-trans

  network-object object inside-outside-PAT

 object network inside-outside-all

  subnet 0.0.0.0 0.0.0.0

  nat (inside,outside) dynamic nat-pat-grp  interface

原有的语法

nat (inside) 1 0 0

global (outside) 1 10.10.10.100  10.10.10.200

global  (outside) 1 interface

场景五:内网有邮件和Web服务器为远程办公用户提供访问,静态转换

 object  network server-static

  host 192.168.0.3

 object  network inside-server

  host 200.0.0.10

  nat (inside,outside) static server-static

原有语法

static  (inside,outside) 192.168.0.3 200.0.0.10 netmask 255.255.255.255

场景六:此环境用户的需求比较复杂,客户在低安全区域有很多提供业务服务的小型机,他需要隐藏被访问的服务器地址,同时要求对外网server的访问进行Static方式一对一的映射。

         objectnetwork obj-ftp                        //ftp端口映射

          host 192.168.1.1

         objectnetwork obj-ftp

         nat(dmz,outside) static interface service tcp ftp ftp

场景七

对通过防火墙的业务流量,不更改源地址,也就是将源地址NAT自己,我们称为identity NAT。

object network inside-nonat

 host192.168.1.2

 nat(inside,outside) static 192.168.1.2

常用排错命令:

show run nat

show run object-network

show run object-group

show nat detail

show xlate

show conn

show nat pool

debug nat 255

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网页标题:CISCOASANAT配置-创新互联
分享路径:http://dzwzjz.com/article/egpch.html
在线咨询
服务热线
服务热线:028-86922220
TOP