19-思科防火墙：ASA静态NAT（思科asa防火墙nat命令）

19-思科防火墙：ASA静态NAT（思科asa防火墙nat命令）

ASA(config)# show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)alert-interval 300access-list nameout; 1 elements; name hash: 0xb3be6588access-list nameout line 1 extended permit tcp host 202.100.1.1 host 10.1.2.3 eq telnet (hitcnt=1) 0x96543a58 //可以看到是有匹配ACL的，匹配数目为1

ASA(config)# show xlate //目前没有NAT转换信息0 in use, 3 most used

R3#show users //R1用的真实地址来远程管理R3Line User Host(s) Idle Location

0 con 0 idle 00:00:00 130 vty 0 cc idle 00:02:36 202.100.1.1

3、用静态NAT将DMZ区域地址转换到Outside地址：202.101.1.101ASA(config)# object network dmzquyuASA(config-network-object)# host 10.1.2.3ASA(config-network-object)# nat (dmz,outside) static 202.100.1.101验证：ASA# show xlate1 in use, 3 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceNAT from dmz:10.1.2.3 to outside:202.100.1.101flags s idle 0:00:31 timeout 0:00:00 //该槽位是永久存在的，所以没有超时时间 。

遇到问题：R1没法Telnet R3转换后地址：202.100.1.101，GNS3中右键reload R3、R1，两个都重启下可以了，但是仍然Ping不通。R1#ping 10.1.2.10 //老师这个地方可以Ping通的Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.2.10, timeout is 2 seconds:.....Success rate is 0 percent (0/5)

R1#telnet 202.100.1.101Trying 202.100.1.101 ... OpenUser Access VerificationUsername: ccPassword: R3>4、干掉R1的默认路由以后：R1(config)#no ip route 0.0.0.0 0.0.0.0 202.100.1.10验证：R1#telnet 202.100.1.101Trying 202.100.1.101 ... OpenUser Access VerificationUsername: ccPassword: R3>//成功了，即使没有默认路由，R1一样可以远程到R3。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。