>
Cisco路由器ASA站点间nat互相访设置

 1、 实验说明:

R1作为A公司的站点1,内部有台1.1.1.1/32的服务器需要A公司站点2的管理员实行远程telnet的设备管理;
R5作为A公司的站点2,内部有台2.2.2.2/32的服务器需要A公司站点1的管理员实行远程telnet的设备管理;
设备之间都有ASA防火墙的安全保护,R2作为互联网的一台思科路由器;
 
2、 实验拓扑图: R1 - ASA 1 - R2 - ASA2 - R3 5台设备连成一个链式网络。
 
3、 实验配置:
R1#show  run
usernamecisco password 0 cisco
!
interfaceLoopback0               //站点2管理员通过该地址进行R1设备的管理
 ip address 1.1.1.1 255.255.255.0
!
interfaceLoopback1               //正常通过NAT上网的用户地址段
 ip address 10.10.10.10 255.255.255.0
!
interfaceFastEthernet0/0
 ip address 172.16.255.1 255.255.255.192
 duplex auto
 speed auto
!        
interfaceFastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
routerospf 1
 log-adjacency-changes
 network 1.1.1.0 0.0.0.255 area 1
 network 10.10.10.0 0.0.0.255 area 1
 network 172.16.255.0 0.0.0.63 area 1
!
ipforward-protocol nd
!
no iphttp server
no iphttp secure-server
!
control-plane
!
line con0
 exec-timeout 0 0
 logging synchronous
line aux0
line vty0 4
 password cisco
 login local
 transport input telnet
 
ASA1#show  run
interfaceEthernet0/0
 nameif Inside
 security-level 100
 ip address 172.16.255.2 255.255.255.192
!
interfaceEthernet0/1
 nameif Outside
 security-level 0
 ip address 202.16.1.2 255.255.255.248
!
access-listoutside extended permit ip 10.10.10.0 255.255.255.0 any
access-listout extended permit icmp any any
access-listout extended permit tcp host 202.16.1.12 host 202.16.1.5 eq telnet
nat-control
global(Outside) 1 interface
nat(Inside) 1 access-list outside
static(Inside,Outside) 202.16.1.5 1.1.1.1 netmask 255.255.255.255
access-groupout in interface Outside
! http://www.luyouqiwang.com/cisco/
routerospf 1
 network 172.16.255.0 255.255.255.192 area 1
 log-adj-changes
 default-information originate always
!
routeOutside 0.0.0.0 0.0.0.0 202.16.1.1 1
 
R2#show  run
interfaceFastEthernet0/0
 ip address 202.16.1.1 255.255.255.248
 duplex auto
 speed auto
!
interfaceFastEthernet0/1
 ip address 202.16.1.9 255.255.255.248
 duplex auto
 speed auto
 
ASA2#show run
interfaceEthernet0/0
 nameif Inside
 security-level 100
 ip address 172.16.255.130 255.255.255.192
!
interfaceEthernet0/1
 nameif Outside
 security-level 0
 ip address 202.16.1.10 255.255.255.248
!
access-listout extended permit icmp any any
access-listout extended permit tcp host 202.16.1.5 host 202.16.1.12 eq telnet
access-listinside_nat1_outside extended permit ip 10.10.20.0 255.255.255.0 any
global(Outside) 1 interface
nat(Inside) 1 access-list inside_nat1_outside
static(Inside,Outside) 202.16.1.12 2.2.2.2 netmask 255.255.255.255
access-groupout in interface Outside
!
routerospf 10
 network 172.16.255.128 255.255.255.192 area 0
 log-adj-changes
 default-information originate always
!
routeOutside 0.0.0.0 0.0.0.0 202.16.1.9 1
 
R3#show run
usernamecisco password 0 cisco
!
interfaceLoopback0        //站点2路由器需要通过该地址被管理
 ip address 2.2.2.2 255.255.255.0
!
interfaceLoopback1          //用户上网地址
 ip address 10.10.20.10 255.255.255.0
!
interfaceFastEthernet0/0
 ip address 172.16.255.129 255.255.255.192
 duplex auto
 speed auto
!
routerospf 10
 log-adjacency-changes
 network 2.2.2.0 0.0.0.255 area 0
 network 10.10.20.0 0.0.0.255 area 0
 network 172.16.255.128 0.0.0.63 area 0
!
line vty0 4
 password cisco
 login local
 transport input telnet
 
3、 站点间的互访测试:
R1#ping 202.16.1.9 source 10.10.10.10    //用户访问互联网
Typeescape sequence to abort.
Sending5, 100-byte ICMP Echos to 202.16.1.9, timeout is 2 seconds:
Packetsent with a source address of 10.10.10.10
!!!!!
Successrate is 100 percent (5/5), round-trip min/avg/max = 16/27/40 ms
 
Ciscoasa1# show xlate       
2 in use,3 most used
PAT Global 202.16.1.2(2) Local10.10.10.10 ICMP id 23    //执行了正常的PAT转换
 
R1#telnet 202.16.1.12 /source-interfaceloopback 0     //正常的管理站点2设备
Trying 202.16.1.12 ... Open
User Access Verification
Username: cisco
Password:
R3>en
Password:
Password:
R3#
 
Ciscoasa1#show xlate             //原因在于防火墙中有这条静态映射条目
1 in use, 3 most used
Global 202.16.1.5 Local 1.1.1.1
 
反之从R3– R1的测试结果是一样的,就由各位IT自己测试了。
 
本文记录 web项目中flex读取ftp上的图片解决方法。
 
在浏览器环境下,flex解析FTP协议是交给浏览器完成的。(这一点是走了不少弯路才发现的,不过在绕弯的过程中也有一些收获)故在web应用中,flex加载ftp图片只要路径正确是能够正常显示的。
在flash player环境下,则会将ftp协议解析为http,导致读取不到正确的文件。所以只能通过socket来读取ftp文件。
在不需要任何ftp客户端工具的前提下,可以通过telnet命令来完成FTP的所有操作。
ftp的常见路径格式为两种
带用户认证:ftp://user:pass@host:port/
匿名认证:ftp://host:port/
telnet命令:
 
telnet 127.0.0.1 21
220 Microsoft FTP Service
user admin
331 Password required for admin.
pass admin
230 User logged in.
pwd
257 "/" is current directory.
cwd samples
250 cwd command successful.
type i
200 Type set to I.
pasv
227 Entering Passive Mode (127,0,0,1,246,233)
retr /samples/sample_image_01.jpg
 
此处注意,host应尽量使用IP,不要使用localhost,如apache ftpserver就会在下载文件时报错
当被动模式启动后,发送新的socket连接到246*256+233=63209端口,ftp服务器就会主动的推送文件到客户端了。
只要按照上诉思路完成flash ftp socket连接实现就不成问题了(已经过代码验证可行)
在浏览器环境下,进行socket连接还可能出现安全沙箱问题。此时需要在ftp服务器上运行flash-policy-server,这个工具是java编写在网上很多下载点。

上一篇:VMware View 6.0 与conntrack构建高性能处理
下一篇:使用linux用户搭建FTP服务器运行与维护

相关文章: 无相关信息
热门文章:
  • ·H3C交换机查看光功率、收发光情况的命
  • ·Mac OS X 通过Terminal和shell修改DNS
  • ·无线路由器的设置使用方法
  • ·常用交换机状态查询命令
  • ·巧设无线路由获得更稳定信号
  • ·CISCO路由器的端口聚合功能详解
  • ·H3C 交换机的基础配置和命令行与无线路
  • ·云主机配置OpenStack使用spice的方法
  • ·VMware VSAN 入门与配置VSAN网络和集群
  • ·ups连接输入输出电缆注意事项
  • ·CISCO Switch port-channel追加vlan设
  • ·文件服务器安装与配置Windows Server

  • 发表点评 共有条点评
    会员 内容 时间
    用户名: 密码:
    验证码: 匿名发表
    测试站点注册
    用户名:
    密  码:
      忘记密码?
    常见问题
    最新测试