- 论坛徽章:
- 0
|
看看这个是否对你有帮助?
使用nat指明一组地址,那么这组地址访问低安全级别或相同安全级别的接口的时候必须要执行NAT转换;当这组地址访问高安全级别接口接口的时候,使用outside关键字的时候,DMZ的主机访问Inside的主机的时候,DMZ主机的地址就会被转换为一个Inside网段的一个地址;如果不使用该关键字,那么流量返回的时候只会根据static转换条目转发;
hostname(config)#nat (dmz) 1 10.1.1.0 255.255.255.0 outside
hostname(config)#nat (dmz)1 10.1.1.0 255.255.255.0
hostname(config)#static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255 //用于DMZ访问inside
hostname(config)#global(outside) 1 209.165.201.3-209.165.201.4
hostname(config)#global(inside) 1 10.1.2.30-10.1.2.40
当DMZ的主机访问outside的时候,将源地址转换为209.165.201.3-209.165.201.4中的地址;由于存在到内部的静态NAT,所以允许从DMZ访问内部主机10.1.2.27,当DMZ访问内部10.1.2.27主机的时候,包的源地址为自己的地址,目的地址为10.1.1.5,ASA将源地址被转换为10.1.2.30-10.1.2.40中的地址,目的地址根据静态转换转换为10.1.2.27; |
|