针对思科的asa防火墙,下面给出一个留下的配置方案,大家可以根据自己的实际需求进行修改和操作, 不懂的地方,参见本栏目其它技术文档.

注:内网口:192.168.3.253 外网口：192.168.6.45 （以下指令皆据此）！

接口模式下加入vlan：

switchport access vlan 2

vlan接口配置IP地址：

配置端口映射:

access-list Outside_Access extended permit ip any any 创建访问控制列表

access-group Outside_Access in interface outside 应用到外网口

static (inside,outside) tcp interface 5000 192.168.3.222 3389 netmask 255.255.255.255 做端口映射

配置NAT：

global (outside) 1 interface

nat (inside) 1 192.168.3.0 255.255.255.0

配置SSH连接

username xxx password xxxxxx privilege 15 创建用户

aaa authentication enable console LOCAL

aaa authentication ssh console LOCAL 启用ssh本地用户认证

ssh 192.168.3.0 255.255.255.0 inside ssh访问控制

crypto key generate rsa 打开ssh服务

添加静态路由:http://www.xiaoxiongboke.com

route outside 0.0.0.0 0.0.0.0 192.168.6.254 1

route inside 192.168.6.0 255.255.255.0 192.168.6.254 1

解决NAT的回流问题:

以下是论坛给出的解决方案

可以使用Hairpinning+Static Nat,原理是允许inside进来的流量，未经其它接口出去而直接从inside接口返回，配置如下：（注释1.1.1.1为公网ip， 192.168.1.10为内网ip）

1、开启Hairpinning:same-security-traffic permit intra-interface

2、为内网用户使用hairpinning访问内部服务器定义global地址： global（inside） 1 interface

3、地址映射，将公网端口映射到内网端口

static （inside，outside） tcp 1.1.1.1 www 192.168.1.10 www netmask 255.255.255.255

4、为hairpinning流量返回路径定义地址映射

static （inside，inside） tcp 1.1.1.1 www 192.168.1.10 www netmask 255.255.255.255

5、定义acl ：access-list 101 extended per tcp any host 1.1.1.1 eq www

6、将ACL应用到外部接口： access-group 101 in interface outside

结合案例自行配置:内网一台机器的远程桌面服务器映射到外网，并是内网终端可以通过外网ip访问。

开启NAT：

global (outside) 1 interface

nat (inside) 1 192.168.3.0 255.255.255.0

做端口映射：

static (inside,outside) tcp interface 5000 192.168.3.222 3389 netmask 255.255.255.255

做针对外网口的访问控制：

access-list Outside_Access extended permit ip any any

access-group Outside_Access in interface outside

以上指令实现了，外网用户通过公网ip访问内部终端, 但内网用户不能访问（只能使用内网ip访问）。

same-security-traffic permit intra-interface

global (inside) 1 interface

static (inside,inside) tcp 192.168.6.45 5000 192.168.3.222 3389 netmask 255.255.255.255

关于路由器限速: