fwrawx Asked: 2012-11-08 15:20:14 +0800 CST2012-11-08 15:20:14 +0800 CST 2012-11-08 15:20:14 +0800 CST ASA 5505 8.4 子网开放端口 772 我有一个运行 8.4 的 ASA 5505,其外部接口插入我们的内部网络。我想向我们内部网络上的主机开放对该 ASA 后面的一个 vlan 上的主机的访问。我刚刚开始了解我们旧 PIX 上的 NAT,但 ASA 8.4 现在让我感到困惑。给定一个干净的 ASA,其外部 vlan 为 10.0.0.1/24,测试 vlan 为 10.0.1.1/24,允许外部网络上的任何主机访问测试网络上的任何主机所需的基本配置是什么? firewall 1 个回答 Voted Best Answer sjw 2012-11-12T03:01:27+08:002012-11-12T03:01:27+08:00 您是否也已经配置了 ACL?如果您已将 10.0.0.0/24 网络定义为外部网络(默认接口安全级别 0),它将不允许流向其他接口的流量。 你的对象怎么样 - 你定义了那些吗?在使用 ASA 8.4 时,您真的应该使用对象引用,而不是 IP。 就 NAT 而言,如果你只想对所有内容进行 NoNAT(每个人都保留他们的 IP),你会这样做: nat(外部,内部)源静态 myOutsideSubnet myOutsideSubnet IP 目标静态 myInsideSubnet myInsideSubnet 那就是在 8.4 上进行 NAT 的“两次 NAT”方法。如果您是 8.4 的新手,这听起来很奇怪。两次 NAT 只是意味着您为 NAT 定义了两条规则,每个方向一条。这并不明显,但默认情况下,所有规则都是双向的,因此上面的一个语句还创建了反向 NAT 规则,用于流量(内部,外部)。如果您为此使用 ASDM,您会在创建 NAT 时看到一个双向复选框,并且您会看到两条规则都出现在控制台中。 还有对象 NAT。有关语法和示例,请参阅 8.4 文档: 两次NAT 对象-NAT
您是否也已经配置了 ACL?如果您已将 10.0.0.0/24 网络定义为外部网络(默认接口安全级别 0),它将不允许流向其他接口的流量。
你的对象怎么样 - 你定义了那些吗?在使用 ASA 8.4 时,您真的应该使用对象引用,而不是 IP。
就 NAT 而言,如果你只想对所有内容进行 NoNAT(每个人都保留他们的 IP),你会这样做:
nat(外部,内部)源静态 myOutsideSubnet myOutsideSubnet IP 目标静态 myInsideSubnet myInsideSubnet
那就是在 8.4 上进行 NAT 的“两次 NAT”方法。如果您是 8.4 的新手,这听起来很奇怪。两次 NAT 只是意味着您为 NAT 定义了两条规则,每个方向一条。这并不明显,但默认情况下,所有规则都是双向的,因此上面的一个语句还创建了反向 NAT 规则,用于流量(内部,外部)。如果您为此使用 ASDM,您会在创建 NAT 时看到一个双向复选框,并且您会看到两条规则都出现在控制台中。
还有对象 NAT。有关语法和示例,请参阅 8.4 文档:
两次NAT
对象-NAT