1.ASA一对一NAT配置分析目前内网无法PING外网有两个原因1 :路由级(内网设备没有外网路由,外网设备没有内网路由1:ASA策略发放Ciscoasa(config ) access-list 100 permitipanyanyciscoasa (config ) access-group 100 ininterfaceoutside2) asa配置配置网络对象(oasa )主机2.2.2 Cisco asa )配置网络输出(static 192.168.3.100最后,内部网的所有三层要设置IProute0.0.0.0.0.0.0.0.0.192.168 .的对象网络输出地址Cisco asa (配置网络) range 192.168.3.3192.168.3.254 Cisco asa exitciscoasa (config ) # object network inside-network内部网地址Ciscoasa ) config-network-object (host2.2.2.2Cisco asa ) ) host2.2 3.动态PAT etworkoutside-pat-address公共地址Ciscoasa (配置网络对象) ) # host 192.168.3.3 Cisco asa (配置网络) 对象网络入网内部网地址Cisco ASCO subnet 192.168.1.0255.255.255.0 Cisco asa (配置网络对象) outside ) sourcedynamicinside 4.端口映射1:asa不需要配置内部和外部互联网连接的NAT来执行端口映射。 (与通过NAT路由不同。 )2:必须在防火墙上开放内部网服务,必须在公共网络上公开的服务3 :端口映射命令: CiscoASA(config ) # 对象网络公共地址:映射的内部网服务器的公共地址Ciscoasa(config-network-object ) # host 192.168.3.100 Cisco asa (config-NECT ) ) host 168.3.100 objectnetworkinside-pra vite-server :内部网服务器的主机2.2.2.2 Cisco asa ) )配置网络-对象) )主机2.2.2对象服务打开- telnet :定义内部网打开的服务eeq23Ciscoasa ) config ) NAT ) infig )的outside ) sourcestaticinside-pra vite-server (内部网服务器地址) public-address (映射的内部网服务器公共地址) service open-tervice 问题(内部网服务器的公共地址) (此地址的)、向内部网服务器的公共地址开放的端口号) )、向内部网服务器的地址开放的端口号)自动更改为5 .防火墙企业配置1 :该模型保护内部网和外部网的安全
2 .防火墙保护对内部网的访问
3 )防火墙综合应用布署
路由模式配置:易扰乱现有网络环境透明模式配置:不扰乱现有网络环境failover的条件: 1、硬件型号必须相同2、系统版本必须一致3、模式同样无心的灯和无心的灯的数量Ciscoasa(config ) # firewall transparent6.检查命令: Cisco asa # showxlateciscoasa # shownattranslatedinterfaceoce