1、按照规划,先定义外网口、内网口,比如eth0/1为外网口,eth0/2为内网口:
interface eth0/1
nameif outside //接口模式下配置nameif为outside,外网口
security-level 0 //设备默认外网口的安全等级为0
ip address 1.1.1.1 255.255.255.0 //配置外网口IP地址为1.1.1.1/24
--------------------------------------------------------------------------
interface GigabitEthernet0/2
nameif inside //配置内网口
security-level 100
ip address 192.168.0.1 255.255.255.0
2、分别建立NAT-POOL和需要做NAT的地址组:
global (outside) 2 interface //global表示全局默认NAT地址池,2为编号
nat (inside) 2 0.0.0.0 0.0.0.0 //建立一个内网需要映射的地址组,这里用的是0.0.0.0/0全网都可以映射,实际可以按照需要指定哪些地址为这个需要做NAT的地址组
3、建立静态NAT规则:
static (inside,outside) 1.1.1.1 192.168.0.100 netmask 255.255.255.255
//将外网IP地址1.1.1.1 做静态映射到 内网IP地址 192.168.0.100
4、创建允许访问的服务规则(是否允许访问ICMP、TCP端口等)
这里采用创建一个服务组的方式:
object-group service mainService tcp //创建一个服务组对象,名字为mainService
port-object eq ftp //允许的服务端口
port-object eq https
port-object eq www
port-object eq ssh
port-object eq 10001
port-object eq 10002
access-list mylist extended permit tcp any host 1.1.1.1 object-group mainService //创建访问列表,名字为mylist,对应的服务组为mainService
5、将自定义的访问组应用到出接口上即可:
access-group mylist in interface outside