在路上 发表于 2013-2-3 21:03 static/image/common/back.gif
在ASA上做静态地址和端口转换,同时如果用到某个协议(比如TCP 80端口)要放行这个端口.
是static吗,端口转换怎么做,我那两条命令是 nat (inside) 1 0 0 global (outside) 1 interface。还望大神不吝赐教。 沉机 发表于 2013-2-4 00:23 static/image/common/back.gif
是static吗,端口转换怎么做,我那两条命令是 nat (inside) 1 0 0 global (outside) 1 interface。还望 ...
是的,用static命令。比如R2 telnet R1 在asa可以这样做:
asa(config)# access-list kkk permit tcp any host 12.12.12.10 eq 23 /建立外到内ACL
asa(config)# access-group kkk in interface outside /ACL加载到outside接口上
asaconfig)# static (inside,outside) 12.12.12.10 11.11.11.1 /建立静态转换
可以用接口代替12.12.12.10 :
asaconfig)# static (inside,outside) interface 11.11.11.1
这样R2 telnet 12.12.12.10 就是telnet R1 。
值得注意的是,static 必须和 access-list 一起使用,返回数据包不受 asa 的 nat(inside)和 global(outside)的控制,也就是说,asa不配置nat和global,同样数据包一样可以返回。 gouerhuang 发表于 2013-2-3 21:01 static/image/common/back.gif
做了转换,里面的地址被屏蔽掉了吧...只能ping global(outside)地址了吧??
嗯,我做了static静态映射,只能ping映射的ip 在路上 发表于 2013-2-4 12:11 static/image/common/back.gif
是的,用static命令。比如R2 telnet R1 在asa可以这样做:
asa(config)# access-list kkk permit tcp...
我配global和nat,用global指定ip范围是12.12.12.10,但R2ping12.12.12.10不通,用了asaconfig)# static (inside,outside) 12.12.12.10 11.11.11.1 后,R2可以ping通12.12.12.10。麻烦大神,能解惑? 沉机 发表于 2013-2-5 00:59 static/image/common/back.gif
我配global和nat,用global指定ip范围是12.12.12.10,但R2ping12.12.12.10不通,用了asaconfig)# static...
global和nat,成双成对,只是解决内网访问外网的问题,和静态地址转换是不同的概念和作用。
我们平时说的NAT(路由器和ASA)指的是内网地址转换成外网地址,让内网能访问外网。静态地址转换(路由器和ASA)指的是能让外网访问内网,和你做NAT时配置的外网地址范围无关。 在路上 发表于 2013-2-5 02:09 static/image/common/back.gif
global和nat,成双成对,只是解决内网访问外网的问题,和静态地址转换是不同的概念和作用。
我们平时说的 ...
那为什么配了global和nat,r2ping不通r1,是不是防火墙过滤掉什么。 沉机 发表于 2013-2-5 02:26 static/image/common/back.gif
那为什么配了global和nat,r2ping不通r1,是不是防火墙过滤掉什么。
静态地址转换不受global和nat影响,r2不能直接ping r1,这是防火墙的机制,只能ping外网口地址,外网口地址转换成r1的地址。
页:
1
[2]