购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
4951
查看次数
0
有帮助
6
回复

求教大侠们思科ASA5510网络映射的问题

江中草珊瑚
Level 1
Level 1

发布时间 ‎11-19-2017 11:22 PM

我们公司在飞鱼星路由器下有个思科asa5510防火墙。防火墙的IP和飞鱼星路由器的IP是同一个网段的。路由器是192.168.1.1 防火墙是192.168.1.2 要映射的服务器是192.168.0.254
现在的网络结构是 外线--华为3700(端口限速)--飞鱼星路由器(公网119.X.X.X,内网192.168.1.1)--思科防火墙ASA5510(192.168.1.2)--H3C S5500划分VLAN(192.168.0-5.X)--服务器(192.168.0.254)
如果把5510防火墙去掉,在飞鱼星里做映射,
外部IP:119.X.X.X
外部端口:60001
内部IP:192.168.0.254
内部端口:80
外网就能正常访问服务器,加上防火墙就访问不了192.168.0.254的服务器。
我是不是需要在防火墙里再做一次映射?
ciscoasa(config)# static (inside,outside) 192.168.1.2 192.168.0.254
是这个命令么?这样写报错:
ERROR:static PAT using the interface requires the use of the 'interface' keyword instead of the interface IP address
我把两个地址反过来写就不报错,然后运行
show running-config显示
static(inside,outside) 192.168.0.254 192.168.1.2 netmask 255.255.255.255
再把飞鱼星路由器改一下内部IP
外部IP:119.X.X.X
外部端口:60001
内部IP:192.168.1.2
内部端口:80
这样设置 还是访问不了192.168.0.254的服务器
因为我是小白,所以可能有些描述不清楚的地方,大侠们可以问我,我尽量补充完整。谢谢!
标签:
0 有帮助
6 条回复6

wuleihen
Spotlight
Spotlight

发布时间 ‎11-20-2017 05:00 PM

你没有配置ACL,在ACl里写需要映射的端口,像这样
access-list Out-Service extended permit tcp any host 172.16.0.19 eq 9999
access-group Out-Service in interface Outside
route Outside 0.0.0.0 0.0.0.0 8.8.8.8 1
你测试下
0 有帮助

jingjian
Spotlight
Spotlight

发布时间 ‎11-20-2017 08:13 PM

请按照下面的的步骤做,这个命令是8.4之后的版本,请确认一下你防火墙的IOS版本
object network server
host 192.168.0.254
nat (inside,outside) static interface service tcp 80 60001
access-list outside extended permit tcp any object server eq 80
access-group outside in interface outside
0 有帮助

江中草珊瑚
Level 1
Level 1

发布时间 ‎11-21-2017 06:58 PM

wuleihen 发表于 2017-11-21 09:00
你没有配置ACL,在ACl里写需要映射的端口,像这样
access-list Out-Service extended permit tcp any host ...

你好,谢谢你的回复,最后一条route outside 0.0.0.0 0.0.0.0 8.8.8.8 1是路由信息么?我的防火墙现在没启动路由功能,需要设置么?
0 有帮助

江中草珊瑚
Level 1
Level 1

发布时间 ‎11-21-2017 06:59 PM

arvinjing 发表于 2017-11-21 12:13
请按照下面的的步骤做,这个命令是8.4之后的版本,请确认一下你防火墙的IOS版本
object network server
...

你好,谢谢你的回复,我的版本比较老 是8.2(5),请问怎么设置您知道么?
0 有帮助

pebao
Cisco Employee
Cisco Employee

发布时间 ‎11-28-2017 06:04 PM

你如果在飞鱼星路由器上配置了NAT,防火墙上就不需要配置NAT了,只需要在防火墙的outside接口配置ACL放行流量:
access-list Out-in extended permit tcp any host 192.168.0.254 eq 80
access-group Out-in in interface Outside
然后在ASA上配置上去外网和去内网的路由就可以了:
route outside 0 0 192.168.1.1
route inside 192.168.0.0 255.255.0.0 x.x.x.x(H3C S5500的地址)
0 有帮助

pebao
Cisco Employee
Cisco Employee

发布时间 ‎11-28-2017 06:05 PM

你如果在飞鱼星路由器上配置了NAT,防火墙上就不需要配置NAT了,只需要在防火墙的outside接口配置ACL放行流量:
access-list Out-in extended permit tcp any host 192.168.0.254 eq 80
access-group Out-in in interface Outside
然后在ASA上配置上去外网和去内网的路由就可以了:
route outside 0 0 192.168.1.1
route inside 192.168.0.0 255.255.0.0 x.x.x.x(H3C S5500的地址)
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents