笔者实际工作中,ASA设备8.0版本还存在很多,实际应用中还需要精益求精,所以重新学习配置。

第一篇,学习NAT。

NAT地址翻译把实际地址用映射地址代替,在目的网络传输。分为两步:实际地址翻译为映射地址;返回流量的反翻译。ASA处理那些匹配NAT Rule的流量,如果不匹配,进行其它包处理过程。例外情况是开启NAT Control的时候,NAT Control要求安全等级高(如Inside)的包穿越到安全等级低(如Outside)区域时匹配Rule,否则包处理结束。

1.路由模式下的NAT

思科官方配置文档有如下例子,很容易看懂:

CISCO ASA8.0的学习笔记(一)_第1张图片

配置:hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.15

2.透明模式下的NAT

在透明模式下,NAT有如下要求和限制:

(1)映射地址不在同一网段时,上游路由器要添加到下游路由器的静态路由

(2)如果实际地址没有和ASA直连,ASA上要添加到下游路由器的静态路由

(3)alias命令不支持

(4)接口PAT不支持

(5)ARP inspection不支持。如果ASA一边的主机发送ARP请求到另一边,请求主机映射到同一网段的不同地址,ARP请求仍能看到实际地址

思科官方文档的例子如下:

CISCO ASA8.0的学习笔记(一)_第2张图片

配置:hostname(config)# route inside 192.168.1.0 255.255.255.0 10.1.1.3 1
hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# nat (inside) 1 192.168.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.15

第一行的静态路由对应上面的(2)

3.NAT Control

启用NAT Control后,从高到低的流量需要匹配NAT。配置动态NAT或PAT时,相同级别流量通信需要匹配NAT,否则不用匹配。如果outside启用动态NAT或PAT,需要匹配NAT。

默认情况下,NAT Control是不启用的。如果是从旧版本升级的,也许需要开启NAT Control。