拓扑说明:路由器接口IP为.1,ASA接口IP为.10,所有设备的默认路由指向ASA。
1.静态地址转换
静态一对一:
需求1:
Inside路由器使用202.100.1.10的IP访问Outside路由器
static (Inside,Outside) interface 10.1.1.1
!测试发现在指定Global地址时不能使用Outside接口配置的IP地址,必须使用interface关键字
需求2:
Inside路由器使用202.100.1.20的IP访问Outside路由器
static (Inside,Outside) 202.100.1.20 10.1.1.1
静态多对多:
需求1:
DMZ有六台服务器,IP为192.168.1.201-206,子网掩码为255.255.255.248,需要应映射到202.100.1.201-206,且对应关系为192.168.1.201对应202.100.1.201,192.168.1.202对应202.100.1.202,以此类推。
static (DMZ,Outside) 192.168.1.200 202.100.1.200 netmask 255.255.255.248
2.动态地址转换
简单内外转换:
需求1: DMZ有六台服务器,IP为192.168.1.201-206,需要子网掩码为255.255.255.248应映射到202.100.1.201-206,地址动态映射,先到先得。如192.168.1.202先访问外网,则转换为202.100.1.201。
nat (Inside) 1 192.168.1.200 255.255.255.248
global (Outside) 1 202.100.1.200 netmask 255.255.255.248
注意:转换的global地址最好多余nat地址,否则会转换枯竭而死...避免这种情况可在最后添加一条命令:
global (Outside) 1 202.100.1.208
类似与路由器的overload
多接口内外转换:
需求1:Inside区域访问Outside区域会将地址转换为202.100.1.100,Inside区域访问DMZ区域会将地址转换为192.168.1.100,DMZ区访问Outside区会将地址转换为202.100.1.100
nat (Inside) 2 10.1.1.0 255.255.255.0
nat (DMZ) 2 192.168.1.0 255.255.255.0
global (Outside) 2 202.100.1.100
global (DMZ) 2 192.168.1.100