思科防火墙应用NAT

♥️作者：小刘在C站

♥️每天分享云计算网络运维课堂笔记，一起努力，共赴美好人生！

♥️夕阳下，是最美的，绽放。

目录

一.思科防火墙的NAT 一种有四种，

二.动态NAT 配置

三.动态PAT配置  

四.静态NAT 配置

五.静态PAT 配置

六.NAT控制和 NAT 豁免

---

一.思科防火墙的NAT 一种有四种，

   静态NAT   将一个内网服务器映射为外网的一个地址，外网通过外网的地址访问服务器 实现安全，当然必须要做acl 允许低安全级别访问高安全级别 

   动态NAT   一般是一组对一组， 一个网段对应一个外网地址段

   静态PAT   一般用来映射服务器，将内网服务器的具体服务通过加端口号映射成为外网地址加端口号  实现安全 ，同时做acl 允许低安全级别访问高安全级别

   动态PAT   实验内网网段整个映射到外网的一个地址（通过加端口号来识别）

二.动态NAT 配置

   asa(config)#nat (inside)  1  10.1.1.0  255.255.255.0                  

//配置内网需要转换的地址段  1 表示 nat-id 

   asa(config)#global(outside)  1  172.16.1.100-172.16.1.200

           //配置转换出去的公网地址段， nat-id 要和 内网地址段中的一致

   asa#show  xlate  detail                                           

           //验证测试后，可以用这个命令来查看转换过程

注意：没有做地址转换的网段也可以访问外网，所以 防火墙的nat 只是用来做安全设置 并没有 代替路由功能，所以防火墙和内网外网各路由正常配置路由

三.动态PAT配置  

 

   asa(config)#nat (inside)  1  10.1.1.0  255.255.255.0                  

//配置内网需要转换的地址段  1 表示 nat-id 

   asa(config)#global(outside)  1  172.16.1.100

           //配置转换出去的公网地址， nat-id 要和 内网地址段中的一致

   asa#show  xlate  detail                                           

           //验证测试后，可以用这个命令来查看转换过程

四.静态NAT 配置

   asa(config)#static  (dmz,outside)  172.16.1.201  192.168.1.1                  

//配置静态nat 将 dmz 内网地址 192.168.1.1 转换为 outside 区域外部的 172.16.1.201

   asa(config)#access-list  abc  permit  ip  host  172.16.1.1  host  172.16.1.201

           //因为低安全级别的访问高安全级别的所以配置acl  允许 172.16.1.1  访问转换之后的地址 172.16.1.201

   asa(config)#access-group  abc  in  int  outside

          //将 acl 应用到 外端口的入口

   asa#show  xlate  detail                                           

           //验证测试后，可以用这个命令来查看转换过程

五.静态PAT 配置

   asa(config)#static  (dmz,outside)  tcp  172.16.1.201  80  192.168.1.1  80                 

//配置静态pat 将 dmz 内网地址 192.168.1.1  80端口 转换为 outside 区域外部的 172.16.1.201  80 端口上

   asa(config)#static  (dmz,outside)  tcp  172.16.1.201  23  192.168.1.2  23                 

//配置静态pat 将 dmz 内网地址 192.168.2.1  23端口 转换为 outside 区域外部的 172.16.1.201  23 端口上

   asa(config)#access-list  abc  permit  ip  host  172.16.1.1  host  172.16.1.201

           //因为低安全级别的访问高安全级别的所以配置acl  允许 172.16.1.1  访问转换之后的地址 172.16.1.201

   asa(config)#access-group  abc  in  int  outside

          //将 acl 应用到 外端口的入口

   asa#show  xlate  detail                                           

           //验证测试后，可以用这个命令来查看转换过程

六.NAT控制和 NAT 豁免

NAT 控制 是一个开关， 可以再ASA 7.0之后版本上使用

默认防火墙禁用 NAT 控制

   禁用NAT 控制时，nat 转换并不是必须的，高安全级别的做不做nat 都可以访问低安全级别的

启用 nat 命令

   asa(config)#nat-control

   启用nat 控制之后，那么nat 转换是必须的，只有配置的nat的才能访问，没有则不允许

但是有些情况下 不能使用nat 实现通信如    那么需要对nat 做豁免

  nat 豁免，意思是在 nat 控制之下，没有做nat 转换的也可以通信

nat 豁免命令

   asa(config)#access-list  nonat  extended  permit  ip  10.2.2.0  255.255.255.0   172.16.1.0  255.255.255.0

       //配置 扩展命名的acl  指定允许需要豁免的网段 

   asa(config)#nat(inside)  0  access-list  nonat

       //配置 允许豁免

♥️关注，就是我创作的动力

♥️点赞，就是对我最大的认可

♥️这里是小刘，励志用心做好每一篇文章，谢谢大家