1、外网为1个固定IP,做NAT让内网共享上网。
G0:外网口:192.168.0.4/24
外网网关:192.168.0.1
G2:内网口(内网的网关):172.16.0.1/24
以下只列出关键命令:
interface GigabitEthernet0
nameif outside //指定外网口为outside
security-level 10 //安全级别手动修改成10,也可以是默认的0
ip address 192.168.0.4 255.255.255.0
interface GigabitEthernet2
nameif inside //指定内网口为inside
security-level 100 //此处的安全级别为默认的100
ip address 172.16.0.1 255.255.255.0
object network in-net //命名一个object为in-net
nat (inside,outside) dynamic interface //做nat,最后的interfce表示用端口做PAT
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1 //默认路由,也就是外网的网关
注:由于只有一个外网IP做PAT,所以不需要做外网的object network,只做内网的,然后用nat命令即可。
2、禁止从外网ping ASA外网口IP地址
似乎做access-list禁止icmp包,然后应用到outside的in和out方向都不起作用,其实只要在全局下一条命令即可解决。
icmp deny any outside
本文转自 qq8658868 51CTO博客,原文链接:http://blog.51cto.com/hujizhou/1869024,如需转载请自行联系原作者
