思科5505配置详解.pdfVIP

文档 Cisco ASA 5505 配置详解 (2011-06-10 09:46:21) 标签： 分类： IT it 在配 ASA 5505 时用到的命令 2009-11-22 22:49 nat-control 命令 在 6.3 的时候只要是穿越防火墙都需要创建转换项，比如： nat；static 等等，没有转换项是 不能穿越防火墙的，但是到了 7.0 这个规则有了变化，不需要任何转换项也能正常的像路由 器一样穿越防火墙。 但是一个新的命令出现了！当你打上 nat-control 这个命令的时候， 这个 规则就改变得和 6.3 时代一样必须要有转换项才能穿越防火墙了。 7.0 以后开始 nat-control 是默认关闭的，关闭的时候允许没有配置 NAT 规则的前提下和外部主机通信，相当于路由 器一样，启用 NAT 开关后外网就必须通过 NAT 转换才能通信 1、定义外口 interface Ethernet0/0 进入端口 nameif outside 定义端口为外口 security-level 0 定义安全等级为 0 no shut 激活端口 ip address . ×.××. × 48 设置 IP 2、定义口 interface Ethernet0/1 nameif inside 定义端口为 security-level 100 定义端口安去昂等级为 100 no shut ip address 3、定义部 NAT 围。 nat (inside) 1 任何 IP 都可以 NAT ，可以自由设置围。 4、定义外网地址池 global (outside) 1 0-4 netmask 40 或 global (outside) 1 interface 当 ISP 只分配给一个 IP 是，直接使用分配给外口的 IP 地址。 5、设置默认路由 route outside 0 0 4 指定下一条为 IPS 指定的网关地址 查看 NAT 转换情况 show xlate 一： 6 个基本命令： nameif 、 interface 、 ip address 、nat、 global 、 route。 二：基本配置步骤： 文档 step1: 命名接口名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ＊＊7 版本的配置是先进入接口再命名。 step2：配置接口速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3：配置接口地址 ip address outside 2 ip address inside ip address dmz step4：地址转换（必须） * 安全高的区域访问安全低的区域（即部到外部）需 NAT 和 global; nat(inside) 1 global(outside) 1 93 48 ＊＊＊ nat (inside) 0 55 表示 这个地址不需要转换。直 接转发出去。 * 如果部有服务器需要映射到公网地址 (外网访问网 )则需要 static 和 conduit 或者 acl. static (inside, outside) 222.240.254. 40 static (inside, outside) 222.240.254. 40 10000 10 后面的 10000 为限制