关于network object nat的配置
动态NAT的配置
1.配置network object和network object group------用来匹配网络中需要转化的地址(这里包括需要转换的以及地址池的配置)
object network cisco1
range 100.100.100.0 100.100.100.100
object network cisco2
subnet 2.2.2.0 255.255.255.0
这里可以先配置2个network object
然后配置network object-group来进行相应的匹配,把各种object进行叠加
object-group network cisco
network-object object cisco1
network-object object cisco2
network-object host 101.101.101.1
这个时候可以调用
2.再次定义一个object network 用来定义转化后的地址,在这里就是所谓的配置地址池
Object network my-host-obj1
3.在2中定义一个subnet的10.1.1.0 255.255.255.0用来定义真实的地址,注意subnet参数不能用在定义地址池中
4.配置NAT来配置
nat (inside,outside) source dynamic cisco mapped
实际配置和文档有一定出入,在配置中source dynamic是关键字
cisco指的是你要进行转换的地址
mapped指的是你要转化后的地址
5.NAT转化后XLATE的输出
ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:2.2.2.2 to outside:1.1.1.56 flags i idle 0:00:04 timeout 3:00:00
6.特例,配置动态NAT,使用完地址后进行PAT,PAT再用完用outside接口的ip地址
object network mapped2
range 1.1.1.1 1.1.1.2
object network mapped3
host 1.1.1.9
object-group network mapped4
network-object object mapped2
network-object object mapped3
------------------------------------------------------------定义地址池 1.1.1.1 1.1.1.2 先使用,用完把1.1.1.9进行PAT
object network zhangjie
subnet 2.2.2.0 255.255.255.0
-----------------------------------------------------------定义要转换的地址
nat (inside,outside) source dynamic zhangjie mapped4 interface-----------------------定义NAT转换,interface指 用完PAT后使用outside的地址
ASA# show xlate
4 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:2.2.2.2 to outside:1.1.1.1 flags i idle 0:01:09 timeout 3:00:00
NAT from inside:2.2.2.100 to outside:1.1.1.2 flags i idle 0:00:27 timeout 3:00:00
ICMP PAT from inside:2.2.2.101/25 to outside:1.1.1.9/37539 flags ri idle 0:00:03 timeout 0:00:30
可以发现最后实际效果
PAT的配置和使用
1.和之前的ASA版本不同,在使用NAT的时候如果对于1-1023端口流量很多的时候,你可以专门一个端口范围用来对应一些特定的应用。
2.如果一个PAT的地址池被使用于2个rule,那个这2个rule的必须相同的选项。
3.如果使用了一个接口作为PAT,那么就不可以使用extended pat
4.配置
object network PAT------定义PAT的地址池
range 1.1.1.11 1.1.1.100
object network PATUSE------定义要转化的接口的IP地址
subnet 2.2.2.0 255.255.255.0
nat (inside,outside) source dynamic PATUSE pat-pool PAT-----这个时候定义
静态NAT的配置
静态NAT包括Ip地址;还包括ip地址和端口的静态转换
传统静态NAT的配置
object network static
host 1.1.1.101
object network staticx
host 2.2.2.101
nat (inside,outside) source static staticx static
基于端口的静态NAT
object network staticx
host 2.2.2.101
object service tcp21
service tcp destination eq telnet
object service tcp23use
service tcp destination eq telnet
定义service来确定要转化的端口
nat (inside,outside) source static staticx interface service tcp21 tcp23use
定义了端口(服务)的转换
Identity NAT
定义要转换的ip地址
object network staticx
host 2.2.2.101
定义转换后的ip地址
object network static112
host 2.2.2.101
nat (inside,outside) source static staticx static112