ASA-NAT配置指南(最新整理版).docxVIP

实用文档

ASA配置指南

,

~

、

文档属性

,

属性

内容

标题

思科ASA防火墙配置指南

文档传播范围

发布日期

文档历史

；

序号

版本号

修订日期

修订人

修订内容

郑鑫

文档初定

·

）

（

目录

TOC\o1-3\h\z\u一、 文档说明 5

二、 基础配置 6

(一) 查看系统信息 6

(二) 版本区别简介 6

《

(三) 接口配置与安全级别简介 7

(四) NTP配置 8

(五) SNMP配置 9

(六) telnet配置 9

(七) SSH配置 9

(八) 配置管理 10

(九) 常用设备排错命令 10

三、 NAT静态方向写法 12

(一) 传统静态NAT配置方向写法 12

(二) 新静态NAT配置方向写法 15

四、 NAT配置举例 16

(一) DynamicNAT 16

(二) StaticNAT 27

(三) IdentityNAT 34

(四) NAT免除 40

(五) TwiceNAT（策略NAT） 40

(六) NAT执行顺序 52

五、 状态化应用监控 53

(一) 状态化监控策略配置 53

(二) 路由、NAT、ACL、策略执行顺序 57

六、 failover 65

(一) 配置failover 65

%

(二) 配置A/A 76

文档说明

本文档主要介绍思科ASA防火墙在版本之前与版本之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在以后，但有很多老的设备都在以前，所以本文档通过使用ASA与这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

）

基础配置

查看系统信息

//如果指定了多台ntp服务器，且时间精确度相差不大的情况下，优选prefer的服务器。但是如果有其他ntp服务器比prefer的服务器时间更精确，就会优选其他ntp服务器LOCAL一定要大写，其他名字就会到AAA服务器区认证telnet为明文，所以从outside过来到ASA的telnet流量是会被拒绝的。LOCAL一定要大写，其他名字就会到AAA服务器区认证》SSH是加密登陆，所以被允许从outside登陆ASA。流量超过设备负载的情况下，最多能显示1000个数据包。

//如果指定了多台ntp服务器，且时间精确度相差不大的情况下，优选prefer的服务器。

但是如果有其他ntp服务器比prefer的服务器时间更精确，就会优选其他ntp服务器

LOCAL一定要大写，其他名字就会到AAA服务器区认证

telnet为明文，所以从outside过来到ASA的telnet流量是会被拒绝的。

LOCAL一定要大写，其他名字就会到AAA服务器区认证

》

SSH是加密登陆，所以被允许从outside登陆ASA。

流量超过设备负载的情况下，最多能显示1000个数据包。

host

nat(inside,outside)static

?

objectnetwork

host

nat(outside,inside)static

?

access-listinboundextendedpermitiphosthost

access-groupinboundininterfaceoutside

@

?

?

新命令的outbound和inbound流量动作是一样的：

（inside,outside）针对outbound流量是源的转换，针对inbound流量是目的的转换

（outside,inside）针对outbound流量是转换目的，针对inbound的是转换源。

?

不同点是：ACL列表要放行内网真是的IP，而不是映射后的源IP地址。

)

NAT配置举例

！

实验拓扑

DynamicNAT

动态NAT,动态一对一

步骤1：配置接口IP地址

R1(config)#interfacefastEthernet0/0

R1(config-if)#ipaddress

R1(config)#interfaceloopback1

R1(config-if)#ipaddress

R1(config)#interfaceloopback2

…

R1(config-if)#ipaddress

R1(config)#interloopback3

R1(config-if)#ipaddress

R1(config)#interloopback4

R