一.接口配置
1.查看接口信息
show interface ip brief
show switch vlan (查看Vlan)
2.創建VLAN接口與VLAN接口劃分與交換機配置相同
interface vlan 2(創建vlan2)
interface e0/0
switchport access vlan 2
3.創建安全區域
nameif (創建安全區域命名)
security-level (創建安全級別)
1.查看接口信息
show interface ip brief
show switch vlan (查看Vlan)
2.創建VLAN接口與VLAN接口劃分與交換機配置相同
interface vlan 2(創建vlan2)
interface e0/0
switchport access vlan 2
3.創建安全區域
nameif (創建安全區域命名)
security-level (創建安全級別)
4.創建內外網的基本訪問
1)內外網的icmp包默認不被檢查,用於測試環境必須開放服務
fixup protocol icmp
2)針對外網採用默認路由外出
route outside 0.0.0.0 0.0.0.0 下一跳地址
1)內外網的icmp包默認不被檢查,用於測試環境必須開放服務
fixup protocol icmp
2)針對外網採用默認路由外出
route outside 0.0.0.0 0.0.0.0 下一跳地址
二.NAT配置
1.PAT轉換
1)nat (inside) 2 0 0 [匹配所有內網地址]
nat (inside) 2 access-list nattrans(用訪問列表來定義轉換地址)
nat (inside) 2 192.168.1.0 255.255.255.0 (直接定義要轉換地址)
1.PAT轉換
1)nat (inside) 2 0 0 [匹配所有內網地址]
nat (inside) 2 access-list nattrans(用訪問列表來定義轉換地址)
nat (inside) 2 192.168.1.0 255.255.255.0 (直接定義要轉換地址)
[nat組號,必須與下列相同]
[針對相應接口做地址轉換]
2)global (outside) 2 [gloable組號] interface
複用outside接口地址
[針對相應接口做地址轉換]
2)global (outside) 2 [gloable組號] interface
複用outside接口地址
2.NAT
1)靜態NAT轉換
static (inside,outside) 201.1.1.5(公網地址) 192.168.1.5(內網要轉換的主機地址)
1)靜態NAT轉換
static (inside,outside) 201.1.1.5(公網地址) 192.168.1.5(內網要轉換的主機地址)
2)動態NAT轉換
由NAT,global指令配合使用
由NAT,global指令配合使用
3.要排除不做NAT轉換的地址
先定義訪問列表nonat
access-list nonat permit ip 192.168.5.0 255.255.255.0
(訪問列表所用爲正向掩碼)
NAT (inside) 0 access-list nonat
先定義訪問列表nonat
access-list nonat permit ip 192.168.5.0 255.255.255.0
(訪問列表所用爲正向掩碼)
NAT (inside) 0 access-list nonat
三.DMZ區或內網對外網開放服務
1.nat靜態映射
static (inside,outside) 201.1.1.5 192.168.1.5
(將內網的192.168.1.5靜態轉換爲公網地址201.1.1.5)
static (dmz,outside) 201.1.1.10 172.16.1.10
(將DMZ區的服務器172.16.1.10轉換爲公網地址201.1.1.10)
2.定義訪問列表開放服務器相關服務
access-list server-to-out (訪問列表命名) permit tcp any 201.1.1.10 eq 80 (開放服務器80端口WEB服務)
access-group server-to-out in interface outside
將訪問列表應用到outside接口的in方向
1.nat靜態映射
static (inside,outside) 201.1.1.5 192.168.1.5
(將內網的192.168.1.5靜態轉換爲公網地址201.1.1.5)
static (dmz,outside) 201.1.1.10 172.16.1.10
(將DMZ區的服務器172.16.1.10轉換爲公網地址201.1.1.10)
2.定義訪問列表開放服務器相關服務
access-list server-to-out (訪問列表命名) permit tcp any 201.1.1.10 eq 80 (開放服務器80端口WEB服務)
access-group server-to-out in interface outside
將訪問列表應用到outside接口的in方向
四.pppoe ADSL撥號訪問
1.VPDN虛擬撥號組的配置
vpdn group pppoegroup request dialout pppoe
創建名爲pppoegroup的虛擬撥號組,採用PPPOE撥號
vpdn group pppoegroup ppp authentication pap
pppoe虛擬撥號採用PAP驗證
vpdn username g2myway password g2myway
創建pppoe撥號的用戶名與密碼
vpdn group pppoegroup localname g2myway
PPPOE撥號組調用名爲g2mywy的驗證數據庫
1.VPDN虛擬撥號組的配置
vpdn group pppoegroup request dialout pppoe
創建名爲pppoegroup的虛擬撥號組,採用PPPOE撥號
vpdn group pppoegroup ppp authentication pap
pppoe虛擬撥號採用PAP驗證
vpdn username g2myway password g2myway
創建pppoe撥號的用戶名與密碼
vpdn group pppoegroup localname g2myway
PPPOE撥號組調用名爲g2mywy的驗證數據庫
2.在接口啓用PPPOE撥號
pppoe client vpdn group pppoegroup
在接口啓用PPPOE,並調用創建的PPPOE撥號組策略pppoegroup
ip address pppoe setroute
pppoe撥號成功後自動獲得IP地址並添加默認路由