请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 172|回复: 6

求教大侠们思科ASA5510网络映射的问题

[复制链接]
发表于 2017-11-20 15:22:43 | 显示全部楼层 |阅读模式
0可用金钱
我们公司在飞鱼星路由器下有个思科asa5510防火墙。防火墙的IP和飞鱼星路由器的IP是同一个网段的。路由器是192.168.1.1 防火墙是192.168.1.2 要映射的服务器是192.168.0.254
现在的网络结构是 外线--华为3700(端口限速)--飞鱼星路由器(公网119.X.X.X,内网192.168.1.1)--思科防火墙ASA5510(192.168.1.2)--H3C S5500划分VLAN(192.168.0-5.X)--服务器(192.168.0.254)
如果把5510防火墙去掉,在飞鱼星里做映射,
外部IP:119.X.X.X
外部端口:60001
内部IP:192.168.0.254
内部端口:80

外网就能正常访问服务器,加上防火墙就访问不了192.168.0.254的服务器。

我是不是需要在防火墙里再做一次映射?
ciscoasa(config)# static (inside,outside) 192.168.1.2 192.168.0.254
是这个命令么?这样写报错:
ERROR:static PAT using the interface requires the use of the 'interface' keyword instead of the interface IP address
我把两个地址反过来写就不报错,然后运行
show running-config显示
static(inside,outside) 192.168.0.254 192.168.1.2 netmask 255.255.255.255
再把飞鱼星路由器改一下内部IP
外部IP:119.X.X.X
外部端口:60001
内部IP:192.168.1.2
内部端口:80
这样设置 还是访问不了192.168.0.254的服务器


因为我是小白,所以可能有些描述不清楚的地方,大侠们可以问我,我尽量补充完整。谢谢!

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-21 09:00:11 | 显示全部楼层
你没有配置ACL,在ACl里写需要映射的端口,像这样
access-list Out-Service extended permit tcp any host 172.16.0.19 eq 9999
access-group Out-Service in interface Outside
route Outside 0.0.0.0 0.0.0.0 8.8.8.8 1
你测试下
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-21 12:13:44 | 显示全部楼层
请按照下面的的步骤做,这个命令是8.4之后的版本,请确认一下你防火墙的IOS版本
object network server
host 192.168.0.254
nat (inside,outside) static interface service tcp 80 60001  

access-list outside extended permit tcp any object server eq 80
access-group outside in interface outside
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2017-11-22 10:58:26 | 显示全部楼层
wuleihen 发表于 2017-11-21 09:00
你没有配置ACL,在ACl里写需要映射的端口,像这样
access-list Out-Service extended permit tcp any host ...

你好,谢谢你的回复,最后一条route outside 0.0.0.0 0.0.0.0 8.8.8.8 1是路由信息么?我的防火墙现在没启动路由功能,需要设置么?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2017-11-22 10:59:46 | 显示全部楼层
arvinjing 发表于 2017-11-21 12:13
请按照下面的的步骤做,这个命令是8.4之后的版本,请确认一下你防火墙的IOS版本
object network server
  ...

你好,谢谢你的回复,我的版本比较老 是8.2(5),请问怎么设置您知道么?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-29 10:04:01 | 显示全部楼层
你如果在飞鱼星路由器上配置了NAT,防火墙上就不需要配置NAT了,只需要在防火墙的outside接口配置ACL放行流量:
access-list Out-in extended permit tcp any host 192.168.0.254 eq 80
access-group Out-in in interface Outside
然后在ASA上配置上去外网和去内网的路由就可以了:
route outside 0 0 192.168.1.1
route inside 192.168.0.0 255.255.0.0 x.x.x.x(H3C S5500的地址)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-29 10:05:34 | 显示全部楼层
你如果在飞鱼星路由器上配置了NAT,防火墙上就不需要配置NAT了,只需要在防火墙的outside接口配置ACL放行流量:
access-list Out-in extended permit tcp any host 192.168.0.254 eq 80
access-group Out-in in interface Outside
然后在ASA上配置上去外网和去内网的路由就可以了:
route outside 0 0 192.168.1.1
route inside 192.168.0.0 255.255.0.0 x.x.x.x(H3C S5500的地址)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-12-15 00:52 , Processed in 0.088330 second(s), 43 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表