思科ASA防火墙的双线双NAT实现

最新推荐文章于 2024-09-17 20:14:51 发布
最新推荐文章于 2024-09-17 20:14:51 发布
阅读量628 收藏 9
点赞数 3
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/normanhere/article/details/138899377
版权

思科ASA防火墙IOS从9.4.1开始支持PBR,从过去的ISP多线冷备,变成现在的多线复用,做到了多出口多NAT,提高了ISP线路的利用率

升级步骤:

1、升级ASA  IOS版本至少为9.4.1和ASDM版本为7.4.1(最低版本要求,如有需要可以找我要这2个软件)。先使用ASDM升级ASDM到7.4.1版本,再用ASDM升级IOS到9.4.1版本(使用ASDM操作较为简便)

2、reload防火墙
 

以下是一个设计实例:

需求
1、公司内网关键业务流量主用电信专线,当检测到专线故障的时候自动切换到电信拨号线路;
2、公司非关键业务主用电信拨号线路。当电信拨号线路故障的时候,非关键业务并不切换到电信专线,以保证公司关键业务的流量。

拓扑如下图

思科ASA5512-X 防火墙关于PBR的主要配置部分:

!这是电信专线端口,IP地址是固定的1.1.1.2 对端网关IP是1.1.1.1

interface GigabitEthernet0/0

 nameif dianxin-zhuanxian

 security-level 0

 ip address 1.1.1.2 255.255.255.252 

!这是电信拨号线路,IP地址是电信的拨号路由器底下的LAN口分配的,这里手工写一个LAN范围内的IP。对端网关为10.0.0.1

interface GigabitEthernet0/1

 nameif dianxin-bohao

 security-level 0

 ip address 10.0.0.2 255.255.255.0 

!这是关键业务内网网段,并且作为内网的网关

interface GigabitEthernet0/2

 nameif inside

 security-level 100

 ip address 172.16.1.1 255.255.255.0 

!这个端口作为公司非关键业务的内网网关,注意这里调用了一个名字叫wifi-data的route-map 

interface GigabitEthernet0/4

 nameif wifi-data

 security-level 10

 ip address 192.168.1.1 255.255.255.0 

 policy-route route-map wifi-data

!这里定义3个PAT分别是inside到电信专线(主用);inside到电信拨号线路(备用);和wifi-data到电信拨号线路(主用)的PAT

nat (inside,dianxin-zhuanxian) after-auto source dynamic any interface

nat (inside,dianxin-bohao) after-auto source dynamic any interface

nat (wifi-data,dianxin-bohao) after-auto source dynamic any interface

!这里定义一个route-map 特别注意它的写法,匹配感兴趣流入向接口是match interface wifi-data;动作是修改数据包的下一跳为电信拨号路由器的网关地址10.0.0.1!
这个配置是关键,当匹配到所有来自interface wifi-data的数据包的时候,下一跳设置为电信拨号线路的网关,防火墙查找路由表发现数据包要通过10.0.0.2这个内网端口发出去,然后撞上NAT转换规则,转换成10.0.0.2这个IP,实现了双线双NAT的效果,这里可以match更多的IP地址配合之前定义的PAT来做到灵活选路,从而实现多线多NAT的效果,充分利用线路带宽。

route-map wifi-data permit 5

 match interface wifi-data

 set ip next-hop 10.0.0.1

!这里定义了2条默认路由,其中路由后面的1和2是cost值,默认所有流量(包括公司关键业务流量)走电信专线,并且电信专线后面跟了一个track 1 。如果追踪的对象15秒内没有ICMP回应,那么默认路由会切换到电信拨号线路,这样就保障了公司关键业务;同时电信拨号线路并没有设置track,如果拨号线路故障,线路将不做转换,从未保证公司关键业务的运行

route dianxin-zhuanxian 0.0.0.0 0.0.0.0 1.1.1.1 1 track 1

route dianxin-bohao 0.0.0.0 0.0.0.0 10.0.0.1 2
 

!这里定义了上面引用的track的源端口为interface dianxin-zhuanxian,目的IP为114.114.114.114 (注意设置这个IP的时候需要事先确认能够用源端口的IP地址PING通目的IP)和track的方法ICMP PING;track的计划时间等

sla monitor 1

 type echo protocol ipIcmpEcho 114.114.114.114 interface dianxin-zhuanxian

sla monitor schedule 1 life forever start-time now

track 1 rtr 1 reachability

思科ASA 9.4.1之后引入了非常多的新特性,包括VXLAN,BGP路由和选路规则,PBR等

 

normanhere
关注
思科防火墙应用NAT
一起努力共同进步,为了未来一起奋斗吧!
11-22 5811
思科防火墙应用NAT
CiscoISP链路NAT接入案例
ghwzjz的博客
02-21 2620
一、实验拓扑: 二、需求概述: R1、R2作为本地网络12.0.0.0/24、21.0.0.0/24的网关,为连接远端R5上的网段5.0.0.0/24,分别向两个ISP(ISP1、ISP2)申请了1条Internet线路。R3、R4分别给R1、R2一个独立的公网地址(R3分配R1:13.0.0.1、分配R2:13.0.0.2;R4分配R1:14.0.0.1、分配R2:24.0.0.2)。由于R1、R2为Stub AS,故考虑使用浮动静态路由+负载均衡的方式对外访问。其中R1主路由下一跳指...
防火墙——NAT
最新发布
aimnr的博客
09-17 1797
的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞路由,可以减少ARP报文的出现;五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转换,如果任何一个参数发生变化,都需要更换端口来进行转换。保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候,不会使用该地址转换。
cisco ASA防火墙NAT/PAT详解
phoenix1415的博客
11-05 5790
cisco ASA NAT大全,只针对NAT44做介绍
ciscoASA应用nat
weixin_68973790的博客
04-02 588
必须要设置NAT或者NAT豁免才可以向通信(静态nat,静态pat,入站出站都可以),如果是动态nat或者动态pat(只允许出站)否则无法通信。ASA从7.0版本开始提供了一个NAT控制的开关,即nat-control命令。当启用NAT控制时,定义一个ACL,使该主机无需配置NAT即可向通信。当启用NAT控制时,每个发起的连接都需要一个相应的NAT规则。禁用NAT控制和启用NAT控制对出站连接的控制有什么不同。在禁用NAT控制和启用NAT控制时的特性是不同的。ASA上的NAT类型。
思科路由器的NAT
weixin_34381666的博客
03-12 1600
目的:通过NAT来更深的理解NAT思科IOS中的数据包处理顺序前提:在真实环境中不会出现环境:将R1和R3模拟成PC,在不加网关的情况下,使两者能够正常通信。定义R2的f0/0为ip nat inside;f1/0为ip nat outside。我先贴出思科IOS的数据包处理的顺序NATOverviewInthistable,whenNATperforms...
思科双线接入方案
weixin_33890499的博客
11-04 526
有一家公司为了网络流量均衡,要求接入两条线路,一个是电信、一个是网通,在思科路由器上实现自动分流连接互联网(电信的IP 61.153.177.1 网关3,网通112.55.33.0.114.55.33.0 ) (一地址配置) r1(config)#int f0/0 r1(config-if)#ip add 61.153.177....
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ...ASA5506X(config-network-object)# nat (inside,outside) static interface service tcp 80 19909 ASA5506X(conf
实验10-思科ASA防火墙NAT配置分享.pdf
12-19
实验10-思科ASA防火墙NAT配置分享.pdf
ASA防火墙-Twice nat
kaixin12342的博客
10-25 297
ASA防火墙内网IP访问本设备公网映射后IP地址
思科双线接入方案(网通电信自动切换)
10-01
有一家公司为了网络流量均衡,要求接入两条线路,一个是电信、一个是网通,在cisco路由器上实现自动分流连接互联网(电信的IP 61.153.177.1 网关3,网通112.55.33.0.114.55.33.0 )
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
思科防火墙如何配置静态NAT
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-15 1167
思科防火墙ASA5555。
思科防火墙NAT——实验
yj11290301的博客
12-06 2610
本章将会讲解思科NAT配置的实验
思科防火墙NAT穿越技术
weixin_33975951的博客
11-10 685
拓扑图: 需求:R1作为局域网出口路由器,承担这PAT地址转换功能。ASA需要跟R3建立***R4作为局域网内部机器可以跟R3互联,并可以上外网步骤:给所有设备配置ip地址,地址规划如上图所示并默认路由在R4上面配置ip地址配置默认路由interface FastEthernet0/0ip address 192.168.1.2 255.255.255.0no sh...
Cisco ASA 应用 NAT
m0_60093791的博客
02-14 620
1.NAT的类型 1.1动态NAT 动态NAT将一组IP地址转换为指定地址池中的IP地址 1.指定需要进行地址转换的网段,命令: asa(config)#nat (interface_name) nat-id local-ip mask 2.对网段10.1.1.0/24进行地址转换,命令: asa(config)#nat (inside) 1 10.1.1.0 255.255.255.0 3.定义全局地址池命令: asa(config) global (interface_name) n
华为防火墙企业出口专线,配置策略路由实现多个ISP出接口的智能选路和NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值