PIXASA7.xFWSM3.x使用静态策略NAT将.PDFVIP

PIX/ASA 7.x/FWSM 3.x：使用静态策略 NAT 将 多个全局 IP 地址转换为单个本地 IP 地址 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 配置 验证 故障排除 相关信息 简介 本文档提供了一个示例配置，在 PIX/自适应安全设备 (ASA) 7.x 软件中通过基于策略的静态网络地 址转换 (NAT) 将一个本地 IP 地址映射到两个或更多全局 IP 地址。 先决条件 要求 在尝试进行此配置之前，请确保满足以下要求： 确保您熟悉 PIX/ASA 7.x CLI 并且以前配置过访问列表和静态 NAT。 使用的组件 本文档中的信息基于以下软件和硬件版本： 这一特定示例使用 ASA 5520。但是，策略 NAT 配置适用于所有运行 7.x 的 PIX 或 ASA 设备 。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本配置示例中有一个内部 Web 服务器，它位于 ASA 之后，地址为 0。要求是：服务 器需要通过其内部 IP 地址 0 和外部地址 25 访问外部网络接口。还有一 项安全策略要求：专用 IP 地址 0 只能通过 /24 网络访问。另外，互联 网控制消息协议(ICMP)和端口80流量是唯一的协议允许入站到内部网络服务器。因为有两个全局 IP 地址映射到一个本地 IP 地址，所以您需要使用策略 NAT。否则， PIX/ASA 会因重迭地址错误拒绝 两个一对一的静态映射。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置 配置 本文档使用以下配置。 ciscoasa(config)#show run : Saved : ASA Version 7.2(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 24 ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive ! policy_nat_web1 and policy_nat_web2 are two access-lists that match the source ! address we want to translate on. Two access- lists are required, though they ! can be exactly the same. access-list policy_nat_web1 extended permit ip host 0 any access-list policy_nat_web2 extended permit ip host 0 any ! The inbound_outside access-list defines the security policy, as previously described. ! This access-list is applied inbound to the outside interface. access-list inbound_outside extended permit tcp host 0 eq www acc