NAT-control
·    默认关闭
·    启用后一定要NAT
 
相同安全级别
ciscoasa(config)# same-security-traffic permit inter-interface //相同安全级别可以相互通信,即使有nat-control
ciscoasa(config)# same-security-traffic permit intra-interface //远程用户拨到同一个接口他们之间默认不能通信
 
NAT
nat 0
ciscoasa(config)# nat (inside) 0 1.1.1.0 255.255.255.0
 
nat/pat nat超时3hour pat超时30s ------show run查看 pat不支持某些协议espgre
ciscoasa(config)# nat (inside) 1 1.1.1.0 255.255.255.0 //nat启用后会影响通信有些网段没有对应的global
ciscoasa(config)# global (dmz) 1 2.2.2.100-2.2.2.200
ciscoasa(config)# global (dmz) 1 interface          //使用完NAT再用PAT
 
Static        外部->内部   使用static+acl
ciscoasa(config)# static (inside,dmz) 2.2.2.100 1.1.1.2 100 1000    //注意接口名和 IP 的对应
后面的参数实现可DoS防御100为并发连接数1000为半开连接数
 
·    后面dns参数用于:dns里面地址的转换
 
 
xlate表创建顺序:
1)NAT豁免          nat 0 access-list
2)策略静态NAT    static access-list
3)静态NAT          static不含端口)
4)静态PAT          static含端口)
5)策略NAT          nat xx access-list
6)动态NATPAT nat xx
 
·    自动编译访问列表(加快访问)ciscoasa(config)#access-list mode auto-commit
·    匹配流量时用掩码
·    默认extended格式
 
 
ciscoasa(config)#access-list mylist [line 1] permit ip any any [inactive]
关键字line 方便插入acl条目
关键字inactive:临时失效某条条目,不用删除,方便。
 
ciscoasa(config)#access-list mylist rename mylist1    //修改ACL的名字
 
time-rangeIOSACL
ciscoasa(config)#access-list mylist remark this is my list   //描述下这个ACL
 
规避流量:黑名单
ciscoasa#shun src_ip [dst_ip sport dport [ptotocol]] [vlan_id]
ciscoasa#shun 172.16.1.1
 
 
icmp命令
ciscoasa(config)#icmp permit any echo-reply outside
·    网络对象组:IP地址
·    协议对象组:IP协议
·    ICMP对象组:ICMP类型
·    基本服务对象组:UDPTCP端口
·    增强型服务对象组:包括协议、ICMP类型、UDP端口、TCP端口
 
可嵌套
ciscoasa(config)#object-group
ciscoasa(config-protocol)#group-object ...   //嵌套其他对象
 
排列组合