拓撲說明:路由器接口IP為.1,ASA接口IP為.10,所有設備的默認路由指向ASA。
1.靜態地址轉換
靜態一對一:
需求1:
Inside路由器使用202.100.1.10的IP訪問Outside路由器
static (Inside,Outside) interface 10.1.1.1
!測試發現在指定Global地址時不能使用Outside接口配置的IP地址,必須使用interface關鍵字
需求2:
Inside路由器使用202.100.1.20的IP訪問Outside路由器
static (Inside,Outside) 202.100.1.20 10.1.1.1
靜態多對多:
需求1:
DMZ有六台服務器,IP為192.168.1.201-206,子網掩碼為255.255.255.248,需要應映射到202.100.1.201-206,且對應關系為192.168.1.201對應202.100.1.201,192.168.1.202對應202.100.1.202,以此類推。
static (DMZ,Outside) 192.168.1.200 202.100.1.200 netmask 255.255.255.248
2.動態地址轉換
簡單內外轉換:
需求1: DMZ有六台服務器,IP為192.168.1.201-206,需要子網掩碼為255.255.255.248應映射到202.100.1.201-206,地址動態映射,先到先得。如192.168.1.202先訪問外網,則轉換為202.100.1.201。
nat (Inside) 1 192.168.1.200 255.255.255.248
global (Outside) 1 202.100.1.200 netmask 255.255.255.248
注意:轉換的global地址最好多余nat地址,否則會轉換枯竭而死...避免這種情況可在最後添加一條命令:
global (Outside) 1 202.100.1.208
類似與路由器的overload
多接口內外轉換:
需求1:Inside區域訪問Outside區域會將地址轉換為202.100.1.100,Inside區域訪問DMZ區域會將地址轉換為192.168.1.100,DMZ區訪問Outside區會將地址轉換為202.100.1.100
nat (Inside) 2 10.1.1.0 255.255.255.0
nat (DMZ) 2 192.168.1.0 255.255.255.0
global (Outside) 2 202.100.1.100
global (DMZ) 2 192.168.1.100
