一、基本配置
#hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。 级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。 级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。 级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 |
注意:security-level 配置安全级别。默认外网接口为 0/0 安全级别默认为 0
内网接口为 0/1 安全级别默认为 100
dmz 接口为 0/2 安全级别默认为 50
默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:
#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。
较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。
较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
二、global、nat、static、route命令
1、global命令
global (if_name) nat_id ipaddress--ipaddress [netmask mask]
if_name:指的是接口
nat_id:为地址池的ID标识号
ipaddress--ipaddress [netmask mask]:指定的IP地址池范围,也可以是一个地址
例:
global(outside) 1 218.106.236.247-218.106.236.249 //配置一个地址池
global(outside) 1 interface //配置单个地址为outside接口的地址
global(outside) 1 218.106.236.237 netmask 255.255.255.248 //配置一个地址池,为255.255.255.248所有子网范围内的地址
2、nat命令
(1)基本用法
nat (if_name) nat_id local_ip [netmask]
if_name:指的是接口
nat_id:为地址池的ID标识号,即global中定义的nat_id
local_ip [netmask] :哪些地址转换到nat_id这个地址池上。
