一、基本配置
#hostname name //名字的设置
#interface gigabitethernet0/0 //进入接口0/0
#nameif outside //配置接口名为outside
#security-level 0 //设置安全级别。 级别从0--100,级别越高安全级别越高
#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址
#no shutdown
#interface ethernet0/1 //进入接口0/1
#nameif inside //配置接口名为inside
#security-level 100 //设置安全级别。 级别从0--100,级别越高安全级别越高
#ip address 192.168.10.1 255.255.255.0 //设置ip地址
#duplex full //全双工
#speed 100 //速率
#no shutdown
#interface ethernet0/2 //进入接口0/2
#nameif dmz //配置接口名为dmz
#security-level 50 //设置安全级别。 级别从0--100,级别越高安全级别越高
#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址
#no shutdown
#interface Management0/0 //进入管理接口
# nameif guanli //接口名
# security-level 100 //安全级别
#ip address 192.168.1.1 255.255.255.0 //IP地址
注意:security-level 配置安全级别。默认外网接口为 0/0 安全级别默认为 0
内网接口为 0/1 安全级别默认为 100
dmz 接口为 0/2 安全级别默认为 50
默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:
#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。
较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
二、global、nat、static、route命令
1、global命令
global (if_name) nat_id ipaddress--ipaddress [netmask mask]
if_name:指的是接口
nat_id:为地址池的ID标识号
ipaddress--ipaddress [netmask mask]:指定的IP地址池范围,也可以是一个地址
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
global(outside) 1 interface //配置单个地址为outside接口的地址
global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池,为255.255.255.248所有子网范围内的地址
2、nat命令
(1)基本用法
nat (if_name) nat_id local_ip [netmask]
if_name:指的是接口
nat_id:为地址池的ID标识号,即global中定义的nat_id
local_ip [netmask] :哪些地址转换到nat_id这个地址池上。
(2)动态内部nat转换(多对多)
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168
#hostname name //名字的设置
#interface gigabitethernet0/0 //进入接口0/0
#nameif outside //配置接口名为outside
#security-level 0 //设置安全级别。 级别从0--100,级别越高安全级别越高
#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址
#no shutdown
#interface ethernet0/1 //进入接口0/1
#nameif inside //配置接口名为inside
#security-level 100 //设置安全级别。 级别从0--100,级别越高安全级别越高
#ip address 192.168.10.1 255.255.255.0 //设置ip地址
#duplex full //全双工
#speed 100 //速率
#no shutdown
#interface ethernet0/2 //进入接口0/2
#nameif dmz //配置接口名为dmz
#security-level 50 //设置安全级别。 级别从0--100,级别越高安全级别越高
#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址
#no shutdown
#interface Management0/0 //进入管理接口
# nameif guanli //接口名
# security-level 100 //安全级别
#ip address 192.168.1.1 255.255.255.0 //IP地址
注意:security-level 配置安全级别。默认外网接口为 0/0 安全级别默认为 0
内网接口为 0/1 安全级别默认为 100
dmz 接口为 0/2 安全级别默认为 50
默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:
#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。
较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
二、global、nat、static、route命令
1、global命令
global (if_name) nat_id ipaddress--ipaddress [netmask mask]
if_name:指的是接口
nat_id:为地址池的ID标识号
ipaddress--ipaddress [netmask mask]:指定的IP地址池范围,也可以是一个地址
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
global(outside) 1 interface //配置单个地址为outside接口的地址
global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池,为255.255.255.248所有子网范围内的地址
2、nat命令
(1)基本用法
nat (if_name) nat_id local_ip [netmask]
if_name:指的是接口
nat_id:为地址池的ID标识号,即global中定义的nat_id
local_ip [netmask] :哪些地址转换到nat_id这个地址池上。
(2)动态内部nat转换(多对多)
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
nat (inside) 1 192.168.9.0 255.255.255.0 //和上面的global配置一起使用,即把192.168
最低0.47元/天 解锁文章
999
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
