初始化上网配置(公网固定IP,内网可访问Internet网)
第一步:配置公网接口
asa(config)#interface GigabitEthernet0/0 ## 进入接口0 asa(config-if)#nameif outside ## 设置为出口 asa(config-if)#security-level 0 ## 定义安全等级,降为最低0 asa(config-if)#ip address 108.220.220.220 255.255.255.248 ## 填写运营商给的ip地址和掩码
第二步:配置内网接口
asa(config)#interface GigabitEthernet0/1 ## 进入接口1 asa(config-if)#nameif inside ## 定义为入口 asa(config-if)#security-level 100 ## 提升内网安全等级为最高100 asa(config-if)#ip address 192.168.10.1 255.255.255.0 ## 设置内网IP
第三步:开启内网DHCP,不需要可以忽略
ASA(config)# dhcpd address 192.168.10.100-192.168.10.200 inside ## 分配地址范围 ASA(config)# dhcpd dns 114.114.114.114 ## dns设置 ASA(config)# dhcpd domain cnweak.com ## 主机名设置 ASA(config)# dhcpd enable inside ## 在入口启用
第四步:配置NAT转换,公网地址只有一个的情况下,有多个公网地址的参照这里自行配置思科Cisco防火墙ASA配置参考命令-网络工程 (cnweak.com)
8.0-8.4版本配置
ciscoasa(config)#object network inside ## 在inside区建立名为network的网络对象 ciscoasa(config-network-object)#subnet 192.168.10.0 255.255.255.0 ## 对象中包含的网络 ciscoasa(config-network-object)#nat (inside,outside) dynamic interface ## 将该对象中的网络动态PAT转换为outside出口的接口地址
更高版本配置
ASA(config)# nat (inside) nat123 192.168.10.0 255.255.255.0 ## 声明内部地址 ASA(config)# global (outside) nat123 interface ## 声明内部地址全部转换为outside区域接口地址
第五步:建立放通规则
access-list out_to_in extended permit ip any any ## 允许外外网任意主机访问内网任意主机 asa(config)# access-group out_to_in in int outside ## 将组名为out_to_in的ACL应用在outside接口 asa(config)# access-list in_to_out permit ip any any ## 允许内任意地址访问 asa(config)# access-group in_to_out in int inside ## 应用在内网接口
第六步:建立默认路由
asa(config)# route outside 0.0.0.0 0.0.0.0 108.220.220.219 1 //全局默认静态路由,108.220.220.219为公网网关
完成,连接上g1口测试联网
评论列表