ASA83(x)与两个内部网络以及互联网动态PAT的配置示例-Cisco.PDFVIP

ASA 8.3 (x)与两个内部网络以及互联网动态 PAT的配置示例 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 ASA CLI 配置 ASDM 配置 验证 验证通用 PAT 规则 验证特定 PAT 规则 故障排除 相关信息 简介 本文档提供在运行软件版本 8.3(1) 的 Cisco 自适应安全设备上 (ASA) 进行动态 PAT 配置的示例。 通过将实际源地址和源端口转换为映射地址和唯一映射端口，动态 PAT 可将多个实际地址转换为单 一映射地址。每个连接都需要独立的转换会话，因为每个连接都有不同的源端口。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： 确保内部网络中具备两个位于 ASA 内部的网络：/24 — 直接连接至 ASA 的网络。 /24 — 位于 ASA 内部，但在另一个设备之后（例如，路由器）的网络。 确保内部用户按以下方式进行 PAT：/24 子网上的主机进行 PAT，获得由 ISP 提供 的备用 IP 地址 ()。其他位于 ASA 内部之后的主机进行 PAT，获得 ASA 外部接口的 IP 地址 ()。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco 自适应安全设备 (ASA) 版本 8.3(1) ASDM 版本 6.3(1) 注意： 要使 ASDM 可配置 ASA，请参阅允许 ASDM 进行 HTTPS 访问。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 关于文件规则的信息，请参见Cisco技术提示规则。 配置 网络图 本文档使用以下网络设置： 注意： 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用 的 RFC 1918 地址。 ASA CLI 配置 ASDM 配置 ASA CLI 配置 本文档使用如下所示的配置。 ASA 动态 PAT 配置 ASA#configure terminal Enter configuration commands, one per line. End with CNTL/Z. ! Creates an object called OBJ_GENERIC_ALL. ! Any host IP not already matching another configured ! object will get PAT to the outside interface IP ! on the ASA (or ), for internet bound traffic. ASA(config)#object network OBJ_GENERIC_ALL ASA(config-obj)#subnet ASA(config-obj)#exit ASA(config)#nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface ! The above statements are the equivalent of the ! nat/global combination (as shown below) in v7.0(x), ! v7.1(x), v7.2(x), v8.0(x), v8.1(x) and v8.2(x) ASA code: nat (inside) 1 global (outside) 1 interface ! Creates an object called OBJ_SPECIFIC_192-168-1-0. ! Any host IP facing the the ‘inside’ interface of the ASA ! with an address in the /24 subnet will get PAT ! to the address, for internet bound traffic. ASA(config)#object network OBJ_SPECIFIC_192-168-1-0 ASA(config-obj)#subnet ASA(config-obj)#exit ASA(config)#nat (inside,outside) source dyna