在ASA防火墙上配置NAT

一共有6种NAT,一个流量过来,匹配的顺序,优先级别从低到高依次是:动态pat,动态nat,策略nat,静态pat,静态nat,免疫nat

此实验inside表示接口安全级别高,outside表示接口安全级别低。

相关命令:

Show xlate detail显示转换槽的内容

Show connection detail说明了活跃的连接的连接的数目和信息

Show local-host 显示xlate和connection及一些详细的网络信息

注意:动态转换是流触发,必须有一个流量通过ASA,转换槽中才会出现(show xlate)

静态转换:命令一经设定,转换槽里就存在了,不属于流触发;另静态的翻译都是双向的翻译。

实验目的:验证各种nat执行的优先顺序

实验步骤:此实验按级别低的开始做,优先级别高的做好后,会覆盖掉之前低级别的nat。

小编推荐:Cisco课程全面升级【详情】 

1.动态PAT

iLync(config)# nat (inside) 1 192.168.1.0 255.255.255.0

iLync(config)# global (outside) 1 10.1.1.11

INFO: Global 10.1.1.11 will be Port Address Translated

2.动态NAT

iLync (config)# nat (inside) 1 192.168.1.0 255.255.255.0

iLync (config)# global (outside) 1 10.1.1.12-10.1.1.20

动态PAT,动态NAT一起使用的情况:IP地址不够用,前一部分用NAT,最后一个IP用PAT

注意outside被翻译的时候,条件nat(outside) x x.x.x.x outside,最后的关键字outside不能丢,少了这个关键字,这条命令不起作用

3.策略NAT

iLync(config)# access-li in-out per ip ho 1.1.1.1 ho 10.1.1.1

iLync(config)# nat (inside) 3 access-list in-out

iLync(config)# global (outside) 3 10.1.1.21

INFO: Global 10.1.1.21 will be Port Address Translated

注意1:这里如果只写nat(inside)10,不写global则认为没有地址池就会把包丢掉。

注意2:Outside被翻译的时候,条件要加关键字outside。

4.静态PAT

static (in,out) tcp 1.1.1.40 23 2.2.2.2 23

注意:不可以从inside作测试,因为inside出去的时候是随机的端口号,匹配不上这条语句,要从outside做测试;写完静态nat后不能写入静态的pat。

5.静态NAT

iLync(config)# static (inside,outside) 10.1.1.30 192.168.1.1

括号里前面的接口inside与后面的Ip192.168.1.1是一对,即一个流量从Inside过来,去往outside被翻译,源是192.168.1.1被翻译成10.1.1.30;

因为static是双向的翻译,所以Outside方向来个流量要去目的地192.168.1.1,它必须指的目的地是10.1.1.30,到了ASA上,会被翻译成192.168.1.1 。

6.NAT 免疫

Access-list 111 permit ip host 2.2.2.2 host 1.1.1.2

nat (inside) 0 access-list 111

ACL源是本地的,发起方的。好处,外面可以主动访问里面.

Access-list 100 permit ip host 1.1.1.2 host 2.2.2.2

Nat(outside)0 access-list 100 outside,此处的Outside不能丢,道理同上。

7.静态nat之间优先级

比较static(in,out) x.x.x.0 x.x.x.0 net 255.255.255.0

static(in,out) x.x.x.x x.x.x.x net 255.255.255.255

不是看掩码翻译,是靠谁写在前谁写在后

8.动态nat之间的优先级

比较nat(inside) Y x.x.x.0 net 255.255.255.0

nat(inside) Y x.x.x.x net 255.255.255.255

掩码长的优先

9.注意点:

global (outside) Y x.x.x.0 net 255.255.255.0

例:iLync (config)# global (outside) 3 10.1.2.0 net 255.255.255.0

INFO: Global 10.1.2.0 will be Port Address Translated

把10.1.2.0当成一个IP来用了,并不是一个网段,这里是PAT。

10.策略nat,掩码长度的优先次序关系

access-list acl1 extended permit ip host 192.168.1.1 host 10.1.1.1 

access-list acl2 extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 

nat (inside) 2 access-list acl2

nat (inside) 1 access-list acl1

global (outside) 2 10.1.2.1

global (outside) 1 10.1.1.10

测试

r1#ping 10.1.1.1

iLync(config)# sh xlate 

1 in use, 2 most used

PAT Global 10.1.2.1(1) Local 192.168.1.1 ICMP id 5 //nat条目谁在前就先翻译谁

11.地址重叠

实验目的验证当有nat转换时,只看接口路由不考虑全局路由

实验要求在ASA上将R1的10.0.0.0转成170.0.0.0

在ASA上将R2的10.0.0.0转成180.0.0.0

要求两个10.0.0.1互通

---本文档由联科教育(http://www.iLync.cn)提供,如有问题请咨询我们的专家团队!---

你可能感兴趣的:(防火墙,动态,NAT,asa,outside)