请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 1009|回复: 2

【原创】ASA inside用户通过公网映射IP访问内网服务器

[复制链接]
发表于 2020-1-19 16:17:30 | 显示全部楼层 |阅读模式
工作中或者项目中ASA 除了常见的内网host上公网做NAT ,公网通过NAT映射访问内网服务器这两种外,还有可能以为安全需求或者其他原因,需要设置内网用户访问内网对外映射服务器也通过公网IP访问,而非直接内网转发的情况,今天写一个案例,希望对大家有帮助。



ASA关键配置 配置如下:

object network obj-192.168.1.50
host 192.168.1.50
!
object network obj-192.168.5.5
host 192.168.5.5
!
object network obj-203.40.40.5
host 203.40.40.5
!
nat (inside,DMZ) source static obj-192.168.1.50 interface destination static
obj-203.40.40.5 obj-192.168.5.5



对于低版本的ASA (825 以下)配置如下:
access-list INT-DMZ-IN extended permit ip host 192.168.1.50 host 203.40.40.5
static (inside,DMZ) interface access-list INT-DMZ-IN
!
access-list INT-DMZ-IN extended permit ip host 192.168.5.5 host 192.168.5.1
static (DMZ,inside) 203.40.40.5 access-list INT-DMZ-IN



show nat、show xlate  来查看NAT 信息


本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-19 18:19:45 | 显示全部楼层
感谢版主分享,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-2-26 17:47:13 | 显示全部楼层
对于低版本的ASA (825 以下)配置如下:
access-list INT-DMZ-IN extended permit ip host 192.168.1.50 host 203.40.40.5
static (inside,DMZ) interface access-list INT-DMZ-IN

access-list后面的名字INT-DMZ-IN是不是有点欠妥?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-9-18 18:48 , Processed in 0.099379 second(s), 34 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表