2025.12.24 Cisco防火墙ASA与动态PAT配置

ASA介绍

防火墙分为硬件防火墙与软件防火墙

常见的硬件防火墙品牌:

华为,cisco,H3C,TP-LINK,D-LINK,深信服,绿盟,网康,飞塔

ASA的接口

物理名称(设备的接口f0/0)

逻辑名称(in、out)

接口的安全级别

不同安全级别的接口之间访问时,遵从的默认规则

允许出站(outbound)连接 外部区域默认安全级别为0

禁止入站(inbound)连接 内部区域默认安全级别为100

禁止相同安全级别的接口之间通信

ASA接口配置命令

配置接口的名称:

asa(config-if)# nameif name

配置接口的安全级别

asa(config-if)# security-level number

范围0-100

保存ASA配置

asa# write memory

清除ASA的所有配置

asa(config)# clear configure all

生成密钥

show ssh sessions

show crypto key mypubkey rsa

必须要允许ICMP协议通过(防火墙默认拒绝ICMP协议)

asa(config)# access-list 111permit icmp any any

ass(config)# acces-gourp 111in int outside

配置ASA动态PAT的命令

asa(config)# nat (inside) 编号 内网网段 子网掩码

asa(config)# global (outside) 编号 用于PAT转换的IP地址

注:两条命令中的编号要一致,且用于PAT转换的IP地址要与外网的IP地址属于同一网段,比如,外网的IP地址是192.168.1.10,这里用于PAT转换的IP地址就要是192.168.1.x

NAT 和PAT的区别:

NAT 地址池 转换为地址池

PAT 地址池 转换为单个地址

实验、ASA配置动态NAT

在R1上配置。

复制代码
enable
configure terminal 
int f0/0
ip add 11.0.0.2 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 11.0.0.1

在R2上配置。

复制代码
enable
configure terminal
int f0/0
ip add 12.0.0.2 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 12.0.0.1
line vty 0 4
password 123
login
exit
enable password 1234

在ASA上配置

复制代码
enable
configure terminal
int e0/0
ip add 11.0.0.1 255.255.255.0
nameif inside
no shutdown
exit
int e0/1
ip add 12.0.0.1 255.255.255.0
nameif outside
no shutdown
exit

在ASA上配置动态NAT

需要用到的命令:

asa(config)# nat (inside) 编号 内网网段 子网掩码

asa(config)# global (outside) 编号 用于PAT转换的IP地址

①指定需要进行地址转换的网段

复制代码
nat (inside) 1 11.0.0.0 255.255.255.0

②定义全局地址池

复制代码
global (outside) 12.0.0.100-12.0.0.200

使用R1 telnet R2(12.0.0.2)

然后在ASA中,输入

复制代码
show xlate detail

查看NAT地址表(转换范围是上面定义全局地址池里的范围)

表示配置成功。(末尾的" i "表示动态,如果是" s "表示静态)

相关推荐
七歌杜金房6 小时前
我终于又有了自己的 Linux 电脑
linux·debian·mac
tntxia1 天前
linux curl命令详解_curl详解
linux
扛枪的书生1 天前
Linux 网络管理器用法速查
linux
顺风尿一寸2 天前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
XIAOHEZIcode2 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
唐青枫2 天前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao4 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
戴为沐5 天前
Linux内存扩容指南
linux
zylyehuo5 天前
Linux 彻底且安全地删除文件
linux
用户805533698036 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式