1、按照規劃,先定義外網口、內網口,比如eth0/1爲外網口,eth0/2爲內網口:
interface eth0/1
nameif outside //接口模式下配置nameif爲outside,外網口
security-level 0 //設備默認外網口的安全等級爲0
ip address 1.1.1.1 255.255.255.0 //配置外網口IP地址爲1.1.1.1/24
--------------------------------------------------------------------------
interface GigabitEthernet0/2
nameif inside //配置內網口
security-level 100
ip address 192.168.0.1 255.255.255.0
2、分別建立NAT-POOL和需要做NAT的地址組:
global (outside) 2 interface //global表示全局默認NAT地址池,2爲編號
nat (inside) 2 0.0.0.0 0.0.0.0 //建立一個內網需要映射的地址組,這裏用的是0.0.0.0/0全網都可以映射,實際可以按照需要指定哪些地址爲這個需要做NAT的地址組
3、建立靜態NAT規則:
static (inside,outside) 1.1.1.1 192.168.0.100 netmask 255.255.255.255
//將外網IP地址1.1.1.1 做靜態映射到 內網IP地址 192.168.0.100
4、創建允許訪問的服務規則(是否允許訪問ICMP、TCP端口等)
這裏採用創建一個服務組的方式:
object-group service mainService tcp //創建一個服務組對象,名字爲mainService
port-object eq ftp //允許的服務端口
port-object eq https
port-object eq www
port-object eq ssh
port-object eq 10001
port-object eq 10002
access-list mylist extended permit tcp any host 1.1.1.1 object-group mainService //創建訪問列表,名字爲mylist,對應的服務組爲mainService
5、將自定義的訪問組應用到出接口上即可:
access-group mylist in interface outside