Cisco ASA 应用NAT

时间：2019-05-20 00:19:29 阅读：146 评论：0 收藏：0 [点我收藏+]

ASA上的NAT有动态NAT、动态PAT、静态NAT和静态PAT四种类型。
动态NAT的配置：
指定需要进行地址转换的网段：
asa（config）# nat （接口名称） nat-id local-ip mask
asa（config）# nat （inside） 1 10.1.1.0 255.255.255.0
定义全局地址池：
asa（config）# global （接口名称） nat-id 转换成的地址池
asa（config）# global （outside） 1 172.16.1.100-172.16.1.200
以上两条命令的nat-id需相同
查看NAT转换表：
asa（config）# show xlate detail
技术分享图片

当flags 为 i 时表示当前为动态NAT
要清除xlate表，可以使用clear xlate 命令
如果想要为inside内的所有网段实施动态NAT的话，配置如下：
asa（config）# nat （inside） 1 0 0
0 0 代表所有网段
动态PAT配置如下：
与路由器上的PAT相同，动态PAT使用IP地址和源端口号创建一个唯一的会话。
配置内网需要转换的网段：
asa（config）# nat （inside） 1 10.1.1.0 255.255.255.0
配置用于转换的IP地址：
asa（config）# nat （outside） 1 172.16.1.200
配置PAT时有时会直接使用outside接口的IP地址进行转换：
asa（config）# nat （inside） 1 10.1.1.0 255.255.255.0
asa（config）# nat （outside） 1 interface 直接应用到接口上，会转换成接口的IP地址
技术分享图片

flags为 ri 时是动态PAT
静态NAT创建了一个从真实地址到映射地址的一对一的固定转换，可用于双向通信。
asa（config）# static （源区域，目的区域）转换后的IP（内部全局地址）转换前的IP（内部本地地址）
asa（config）# static （dmz，outside） 172.16.1.201 192.168.1.1
低级别访问高级别的区域需要配置ACL方可通信，ACL中配置的目的地址应该为映射地址（转换后的地址）而不是源真实地址
技术分享图片

flags 为 s 时是静态NAT
静态PAT与静态NAT相似，但是静态PAT允许为真实地址和映射地址指定TCP和UDP端口号
配置如下：
asa（config）# static （dmz，outside） tcp 172.16.1.201 http 192.168.1.1 http
技术分享图片

flages 为 sr 时是静态PAT
ASA从7.0版本开始提供了一个NAT控制的开关，即“nat-control”命令。默认是禁用NAT控制的
当启用NAT控制时，每个发起的连接都需要一个相应的NAT规则，在某些应用场合（如配置V P N）需要绕过NAT规则。
NAT豁免允许双向通信。
配置NAT豁免首先需要定义一个ACL，用于指定需要绕过NAT规则的流量：
asa（config）# nat （接口名称） 0 access-list acl-name 应用ACL绕过
配置NAT豁免：
asa（config）# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0
asa（config）# nat （inside） 0 access-list no nat

Cisco ASA 应用NAT

原文：https://blog.51cto.com/14227204/2397051

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)