帮朋友调试一台ASA,做一下记录(很久没动手了)
三个区:
vlan10: inside: 192.168.1.1
vlan20: outside: 202.102.1.1
vlan30: dmz: 172.16.1.1
需求:内网可以上网/内网可以访问DMZ/外网可以访问DMZ的主机
配置:
1)设置端口IP 地址,并设置优先级
interface vlan10
nameif inside
security-level 100
ip address x.x.x.x
2) 配置默认路由,保证可以路由出网
route outside 0 0 x.x.x.x
3)配置NAT,可以保证内网可以访问外网,可以访问DMZ
nat-control
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface
global (dmz) 1 interface
4) 配置静态NAT,可以让外网访问DMZ
static (dmz,outside) interface 172.16.100.251(主机) netmask 255.255.255.255 dns //dns项如果不加,内网可以用172地址访问,但不能用公网地址访问
5) 配置安全策略,应用到OUTSIDE上, 允许外网访问DMZ服务器
access-list xxxx extended permit tcp any host 202.102.x.x eq www
access-group xxxx in interface outside
