端口安全配置示例

组网需求

如图所示,用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Router的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。

配置思路

采用如下的思路配置端口安全:

1.配置VLAN,实现二层转发功能。

2.配置端口安全功能,实现学习到的MAC地址表项不老化。

操作步骤

创建VLAN,配置接口的链路类型,并配置IP

LSW2
<Huawei>sys
[Huawei]sys LSW2
[LSW2]vlan batch 10
[LSW2]interface GigabitEthernet0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 10
[LSW2-GigabitEthernet0/0/1]quit
[LSW2]interface GigabitEthernet0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]interface GigabitEthernet0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 10
[LSW2-GigabitEthernet0/0/3]quit
[LSW2]interface GigabitEthernet0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type trunk 
[LSW2-GigabitEthernet0/0/4]port trunk allow-pass vlan 10
[LSW2-GigabitEthernet0/0/4]quit
LSW1
<Huawei>sys
[Huawei]sys LSW1
[LSW1]vlan batch 10
[LSW1]interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip add 192.168.10.1 24
[LSW1-Vlanif10]quit
PC1

PC2

PC3

配置端口安全功能

LSW1
[LSW1]interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]port-security enable
[LSW1-GigabitEthernet0/0/1]port-security max-mac-num 3
[LSW1-GigabitEthernet0/0/1]port-security mac-address sticky
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]display mac-address sticky vlan 10
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98f6-76f9 10          -      -      GE0/0/1         sticky    -           
5489-984d-0e9d 10          -      -      GE0/0/1         sticky    -           
5489-9889-2c6c 10          -      -      GE0/0/1         sticky    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3 

测试把PC1替换后的PC是否可以连接到网络

新拓扑图

替换PC配置IP,配置的IP和PC1一致

验证

新增PC ping Vlanif接口,无法ping通

PC>ping 192.168.10.1

Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable

--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC2、PC3 ping Vlanif接口,可以ping通

PC2 ping结果
PC>ping 192.168.10.1

Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=32 ms
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=63 ms
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=62 ms

--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 32/50/63 ms

PC3 ping结果
PC>ping 192.168.10.1

Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=62 ms
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=31 ms
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=62 ms

--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/49/62 ms
验证结果:PC1换成其他PC,无法访问公司网络。
<think>好的,用户现在想了解Cisco防火墙上的目的端口映射配置示例。之前他们询问了关于配置模式提示符的问题,现在可能是在进一步深入配置的具体操作。首先,我需要确定用户的需求是什么。他们可能正在尝试将内部服务器暴露到公网,比如搭建一个Web服务器或者邮件服务器,需要通过防火墙进行端口转发。 接下来,我要考虑用户可能的背景。他们可能是有一定网络基础的管理员,但可能对Cisco ASA的具体配置不太熟悉。因此,示例需要详细且步骤清晰,同时解释关键命令的作用,避免他们遗漏重要步骤。 然后,我应该回顾Cisco ASA的NAT配置方法,尤其是静态端口转换。ASA通常使用两种NAT方式:自动NAT(直接在网络对象中配置)和手动NAT(更灵活的策略)。用户需要的是目的端口映射,也就是将公网IP的某个端口转发到内网服务器的相应端口,这通常使用静态NAT结合服务对象来实现。 需要注意到ASA的版本差异,比如8.3之后NAT配置方式有变化,但用户现在可能使用的是较新版本,所以应基于较新的语法。另外,配置完成后,必须检查ACL是否允许外部流量进入,否则映射可能不生效,这点需要强调。 用户可能遇到的常见问题包括:NAT配置正确但ACL没有放行,或者服务对象定义错误。因此,在示例中应该包括ACL的配置步骤,并提醒注意事项,比如公网IP的合法性和接口的安全级别。 此外,用户可能需要验证配置是否生效,所以需要提供查看NAT规则和ACL的命令,如show run nat、show access-list等。同时,故障排查的步骤也很重要,比如检查会话表或抓包,这些可以作为注意事项的一部分。 最后,确保回答结构清晰,分步骤说明,并给出一个完整的示例,让用户能够直接跟随操作。同时,使用中文术语,避免专业术语的混淆,保持语言简洁明了。</think>以下是 Cisco ASA 防火墙中 **目的端口映射(静态端口转发)** 的详细配置示例与解析,适用于将公网 IP 的特定端口映射到内网服务器的场景(如 Web 服务器、SSH 服务等)。 --- ### **1. 场景说明** - **需求**:将公网 IP `203.0.113.5` 的 TCP 80 端口流量转发到内网服务器 `192.168.1.100` 的 TCP 80 端口。 - **拓扑**: ```plaintext 公网接口: outside (IP: 203.0.113.5) 内网接口: inside (IP: 192.168.1.1) 内网服务器: 192.168.1.100 (HTTP 服务) ``` --- ### **2. 配置步骤** #### **(1) 定义网络对象** ```cisco ! 定义内网服务器对象 object network INTERNAL_WEB_SERVER host 192.168.1.100 description "Internal Web Server" ! 定义公网 IP 对象(可选,增强可读性) object network PUBLIC_IP host 203.0.113.5 ``` #### **(2) 配置静态端口映射(NAT)** ```cisco ! 静态 NAT + 端口转换 object network INTERNAL_WEB_SERVER nat (inside,outside) static PUBLIC_IP service tcp 80 80 ``` - **关键参数解释**: - `(inside,outside)`:流量方向(从内网到外网)。 - `static PUBLIC_IP`:将内网 IP 静态映射到公网 IP。 - `service tcp 80 80`:将公网 IP 的 TCP 80 端口映射到内网服务器的 TCP 80 端口(若端口不同,如外 8080 → 内 80,则写为 `service tcp 8080 80`)。 --- #### **(3) 配置 ACL 放行外部访问** ```cisco ! 创建允许外部访问的 ACL access-list OUTSIDE_IN extended permit tcp any host 203.0.113.5 eq 80 ! 将 ACL 绑定到 outside 接口的入方向 access-group OUTSIDE_IN in interface outside ``` --- ### **3. 完整配置示例** ```cisco ! 进入全局配置模式 configure terminal ! 定义内网服务器对象 object network INTERNAL_WEB_SERVER host 192.168.1.100 description "Internal Web Server" ! 配置静态端口映射 nat (inside,outside) static 203.0.113.5 service tcp 80 80 ! 定义 ACL 放行流量 access-list OUTSIDE_IN extended permit tcp any host 203.0.113.5 eq 80 access-group OUTSIDE_IN in interface outside ! 保存配置 write memory ``` --- ### **4. 验证命令** #### **(1) 查看 NAT 规则** ```cisco show run nat ``` 输出示例: ```plaintext object network INTERNAL_WEB_SERVER nat (inside,outside) static 203.0.113.5 service tcp 80 80 ``` #### **(2) 检查 ACL** ```cisco show access-list OUTSIDE_IN ``` 输出示例: ```plaintext access-list OUTSIDE_IN extended permit tcp any host 203.0.113.5 eq 80 ``` #### **(3) 测试连通性** ```bash # 从外网测试端口映射是否生效 telnet 203.0.113.5 80 ``` --- ### **5. 注意事项** 1. **接口安全级别**: - 确保 `outside` 接口安全级别低于 `inside`(默认 `outside`=0,`inside`=100),否则需额外配置 `same-security-traffic permit inter-interface`。 2. **服务对象复用**: - 若需映射多个端口(如 80 和 443),需分别定义: ```cisco object service HTTP_PORT service tcp destination eq 80 object service HTTPS_PORT service tcp destination eq 443 ``` 3. **动态公网 IP 场景**: - 若公网 IP 动态分配(如 PPPoE),可直接使用接口 IP: ```cisco nat (inside,outside) static interface service tcp 80 80 ``` 4. **高版本 ASA 语法**: - ASA 8.3+ 版本使用 `object network` 替代旧版 `static (inside,outside)` 语法。 --- ### **6. 故障排查** - **流量未到达**: - 检查 `show conn` 是否有会话建立。 - 使用 `capture` 抓包分析流量路径。 - **NAT 未生效**: - 确认 `show nat` 中规则状态为 `active`。 - **ACL 拦截**: - 使用 `show access-list OUTSIDE_IN` 查看命中计数(`hitcnt`)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘俊辉个人博客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值