Cisco ASA 5540_outside 到內部流量 NAT

這是用於測試實驗室設置：

登陸伺服器(192.168.49.26)—(.49.25/29)Cisco6500(.49.1/29)—(49.2)Cisco ASA(xx55.81)—外部

C6500是IP地址為192.168.49.26的“登陸伺服器”所連接的測試實驗室的核心。此伺服器所連接的介面的 IP 為 192.168.49.25/29。我還有 2 台 L2 交換機連接到 2 個 VLAN 上的 Cisco 6500，即 VLAN 10 和 11，以及一些連接到這些 L2 交換機的電腦。連接到 Cisco6500 的設備之間的通信工作正常。

Cisco ASA 防火牆（內部介面 IP 192.168.49.2）連接到 IP 地址為 192.168.49.1/29 的 Cisco6500 上的介面。同樣，連接到 Cisco 6500 的其餘設備能夠訪問 Cisco ASA 的內部介面。

Cisco ASA 的外部介面具有 IP xx55.81。要求是外部使用者在 RDP 到 xx55.81 時應該能夠到達 192.168.49.26（伺服器 IP）。一旦他們到達這個登陸伺服器，使用者將通過 telnet 或 SSH 連接到其他設備和伺服器進行測試。

我無法在我的機器上執行 ASDM，所以我唯一的選擇是 CLI。但是我需要什麼路由、NAT 等以及我使用什麼命令。請幫忙。

好的，您需要來自您的官方網路 xx55.81 的免費 IP 地址。在全域配置模式（conf t）下的 asa 上，您必須從內到外創建一個靜態 nat

static (inside,outside) x.x.55.81 192.168.49.26

之後，您必須允許外部介面上的伺服器流量。用逗號

show run access-group 

您將 acl 名稱綁定到外部介面。您可以在全域配置模式下允許 acl 上的流量以進行 RDP 訪問

access-list ACL-Name permit tcp any host x.x.55.81 eq 3389

或對於指定的主機

access-list ACL-Name permit tcp host a.b.c.d host x.x.55.81 eq 3389

或網

access-list ACL-Name permit tcp netaddress subnetmask host x.x.55.81 eq 3389

引用自：https://serverfault.com/questions/429154