Skip to main content

 路由器设置 > 新闻资讯 >

在ASA防火墙上配置NAT

2013-08-24 00:58 浏览:

  

        一共有6种NAT,一个流量过来,匹配的顺序,优先级别从低到高依次是:动态pat,动态nat,策略nat,静态pat,静态nat,免疫nat

  此实验inside表示接口安全级别高,outside表示接口安全级别低。

  相关命令:

  Show xlate detail显示转换槽的内容

  Show connection detail说明了活跃的连接的连接的数目和信息

  Show local-host 显示xlate和connection及一些详细的网络信息

  注意:动态转换是流触发,必须有一个流量通过ASA,转换槽中才会出现(show xlate)

  静态转换:命令一经设定,转换槽里就存在了,不属于流触发;另静态的翻译都是双向的翻译。

  实验目的:验证各种nat执行的优先顺序

  实验步骤:此实验按级别低的开始做,优先级别高的做好后,会覆盖掉之前低级别的nat。

  小编推荐:Cisco课程全面升级【详情】

  1.动态PAT

  iLync(config)# nat (inside) 1 192.168.1.0 255.255.255.0

  iLync(config)# global (outside) 1 10.1.1.11

  INFO: Global 10.1.1.11 will be Port Address Translated

  2.动态NAT

  iLync (config)# nat (inside) 1 192.168.1.0 255.255.255.0

  iLync (config)# global (outside) 1 10.1.1.12-10.1.1.20

  动态PAT,动态NAT一起使用的情况:IP地址不够用,前一部分用NAT,最后一个IP用PAT

  注意:outside被翻译的时候,条件nat(outside) x x.x.x.x outside,最后的关键字outside不能丢,少了这个关键字,这条命令不起作用

  3.策略NAT

  iLync(config)# access-li in-out per ip ho 1.1.1.1 ho 10.1.1.1

  iLync(config)# nat (inside) 3 access-list in-out

  iLync(config)# global (outside) 3 10.1.1.21

  INFO: Global 10.1.1.21 will be Port Address Translated

  注意1:这里如果只写nat(inside)10,不写global则认为没有地址池就会把包丢掉。

  注意2:Outside被翻译的时候,条件要加关键字outside。

  4.静态PAT

  static (in,out) tcp 1.1.1.40 23 2.2.2.2 23

  注意:不可以从inside作测试,因为inside出去的时候是随机的端口号,匹配不上这条语句,要从outside做测试;写完静态nat后不能写入静态的pat。

  5.静态NAT

  iLync(config)# static (inside,outside) 10.1.1.30 192.168.1.1

  括号里前面的接口inside与后面的Ip192.168.1.1是一对,即一个流量从Inside过来,去往outside被翻译,源是192.168.1.1被翻译成10.1.1.30;

  因为static是双向的翻译,所以Outside方向来个流量要去目的地192.168.1.1,它必须指的目的地是10.1.1.30,到了ASA上,会被翻译成192.168.1.1 。

  6.NAT 免疫

  Access-list 111 permit ip host 2.2.2.2 host 1.1.1.2

  nat (inside) 0 access-list 111

  ACL源是本地的,发起方的。好处,外面可以主动访问里面.

  Access-list 100 permit ip host 1.1.1.2 host 2.2.2.2

  Nat(outside)0 access-list 100 outside,此处的Outside不能丢,道理同上。

  7.静态nat之间优先级

  比较static(in,out) x.x.x.0 x.x.x.0 net 255.255.255.0

  static(in,out) x.x.x.x x.x.x.x net 255.255.255.255

  不是看掩码翻译,是靠谁写在前谁写在后

  8.动态nat之间的优先级

  比较nat(inside) Y x.x.x.0 net 255.255.255.0

  nat(inside) Y x.x.x.x net 255.255.255.255

  掩码长的优先

  9.注意点:

  global (outside) Y x.x.x.0 net 255.255.255.0

  例:iLync (config)# global (outside) 3 10.1.2.0 net 255.255.255.0

  INFO: Global 10.1.2.0 will be Port Address Translated

  把10.1.2.0当成一个IP来用了,并不是一个网段,这里是PAT。

  10.策略nat,掩码长度的优先次序关系

  access-list acl1 extended permit ip host 192.168.1.1 host 10.1.1.1

  access-list acl2 extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0

  nat (inside) 2 access-list acl2

  nat (inside) 1 access-list acl1

  global (outside) 2 10.1.2.1

  global (outside) 1 10.1.1.10

  测试:

  r1#ping 10.1.1.1

  iLync(config)# sh xlate

  1 in use, 2 most used

  PAT Global 10.1.2.1(1) Local 192.168.1.1 ICMP id 5 //nat条目谁在前就先翻译谁

  11.地址重叠

  实验目的:验证当有nat转换时,只看接口路由不考虑全局路由

  实验要求:在ASA上将R1的10.0.0.0转成170.0.0.0

  在ASA上将R2的10.0.0.0转成180.0.0.0

  要求两个10.0.0.1互通