CiscoASA應(yīng)用NAT配置詳解-創(chuàng)新互聯(lián)

ASA 防火墻上NAT的基本原理與路由器上一樣，只不過(guò)只用定義一下內(nèi)網(wǎng)地址和進(jìn)行轉(zhuǎn)換后的地址就可以了，不需要進(jìn)入接口再應(yīng)用了?；旧蟽蓷l命令即可完成一種NAT的配置。ASA上的NAT有動(dòng)態(tài)NAT、動(dòng)態(tài)PAT、靜態(tài)NAT和靜態(tài)PAT四種類型。

專業(yè)成都網(wǎng)站建設(shè)公司，做排名好的好網(wǎng)站，排在同行前面，為您帶來(lái)客戶和效益!成都創(chuàng)新互聯(lián)公司為您提供成都網(wǎng)站建設(shè)，五站合一網(wǎng)站設(shè)計(jì)制作，服務(wù)好的網(wǎng)站設(shè)計(jì)公司，網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)負(fù)責(zé)任的成都網(wǎng)站制作公司!

1、動(dòng)態(tài)NAT（可以說(shuō)是一對(duì)一，但不是靜態(tài)的，一般不使用動(dòng)態(tài)NAT）的配置步驟如下：

將內(nèi)網(wǎng)10.0.0.0/8進(jìn)行NAT轉(zhuǎn)換為170.16.1.100~172.16.1.200：

ciscoasa(config)# nat (inside) 1 10.0.0.0 255.0.0.0                 #定義需要進(jìn)行NAT的內(nèi)網(wǎng)地址

ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200           #定義全局地址池，
OK了。

ciscoasa(config)# show xlate detail                     #在進(jìn)行第一次通信后，
即可通過(guò)該命令來(lái)查看NAT轉(zhuǎn)換信息

上述配置中的1為nat-id，定義NAT轉(zhuǎn)換時(shí)，需要nat-id匹配，才可進(jìn)行轉(zhuǎn)換。

若是要為inside區(qū)域內(nèi)的所有網(wǎng)段實(shí)施動(dòng)態(tài)NAT，配置命令如下：

ciscoasa(config)# nat (inside) 1 0 0 #0 0 表示任意網(wǎng)段

2、動(dòng)態(tài)PAT（多對(duì)一，節(jié)省公網(wǎng)IP）的配置步驟如下：

動(dòng)態(tài)PAT與路由器上的PAT相同，即可以多個(gè)私網(wǎng)地址轉(zhuǎn)換為一個(gè)公網(wǎng)地址，也可直接使用outside接口。配置如下：

將20.0.0.0/8網(wǎng)段使用動(dòng)態(tài)PAT轉(zhuǎn)換為172.17.10.10

ciscoasa(config)# nat (inside) 2 20.0.0.0 255.0.0.0          #定義需要進(jìn)行NAT的內(nèi)網(wǎng)地址

ciscoasa(config)# global (outside) 2 172.17.10.10             #定義全局地址，OK了

也可以將20.0.0.0/8這個(gè)網(wǎng)段直接使用outside接口的IP地址進(jìn)行轉(zhuǎn)換，配置命令如下：

ciscoasa(config)# global (outside) 2 interface

3、靜態(tài)NAT（一對(duì)一，常用來(lái)對(duì)DMZ區(qū)域的服務(wù)器實(shí)施這種NAT）的配置步驟如下：

ciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1        #當(dāng)DMZ區(qū)域
的192.168.1.1與outside通信時(shí)，
使用的地址是172.16.1.201，也就是說(shuō)，想在外網(wǎng)訪問192.168.1.1這個(gè)服務(wù)器上的服務(wù)，
那么需要使用172.16.1.201作為目的地址。

需要注意的是，在進(jìn)行NAT轉(zhuǎn)換時(shí)，不止需要配置地址轉(zhuǎn)換，ACL也會(huì)影響是否能夠通信成功。

下面配置一下ACL，使外網(wǎng)可以成功訪問到192.168.1.1的服務(wù)。

ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201          
#允許所有主機(jī)訪問映射地址172.16.1.201

ciscoasa(config)# access-group  out_to_dmz in int outside   #應(yīng)用到outside接口

個(gè)人在實(shí)驗(yàn)過(guò)程中，在進(jìn)行以上的ACL配置后，會(huì)出現(xiàn)訪問不成功的時(shí)候，再繼續(xù)配置一條允許所有主機(jī)訪問服務(wù)器的真實(shí)IP即可，兩條ACL名稱一樣，同樣應(yīng)用到outside接口。

4、配置靜態(tài)PAT（與路由器上的端口映射類似），配置如下：

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
#DMZ區(qū)域的192.168.1.1服務(wù)器80端口與outside進(jìn)行通信時(shí)，
使用172.16.1.201的HTTP端口

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 23 192.168.1.10 23
#當(dāng)DMZ區(qū)域的192.168.1.10服務(wù)器23端口與外網(wǎng)進(jìn)行通信，
使用的是172.16.1.201地址的23端口

ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201    
#配置ACL，若對(duì)安全要求比較高，由于上述兩個(gè)服務(wù)都是使用TCP協(xié)議，
這里ACL規(guī)則中的ip命令字，可以改為tcp。

ciscoasa(config)# access-group out_to_dmz in int outside 

靜態(tài)PAT已經(jīng)配置好了，現(xiàn)在外網(wǎng)用戶在不同的軟件平臺(tái)，使用172.16.1.201作為目的地，即可訪問到不同的服務(wù)。（同理，若是無(wú)法訪問成功，那么就再加一條ACL：允許所有主機(jī)訪問服務(wù)器的真實(shí)IP即可，兩條ACL名稱一樣，同樣應(yīng)用到outside接口。）

經(jīng)過(guò)以上配置可以看出，需要注意配置的語(yǔ)法，順序有些變化，而且，在配置靜態(tài)PAT時(shí)，可以指定服務(wù)名稱，也可以直接指定端口號(hào)，個(gè)人建議還是直接指定端口號(hào)靠譜些

5、NAT控制與NAT豁免

ASA從7.0版本開始提供了一個(gè)NAT控制開關(guān)，即nat-control命令，但默認(rèn)是禁用NAT控制（no nat-control）。若在全局模式下執(zhí)行命令nat-control，則代表開啟了NAT控制，開啟nat控制的作用大概就是只允許進(jìn)行過(guò)nat轉(zhuǎn)換的地址發(fā)送報(bào)文通過(guò)防火墻，沒有配置NAT轉(zhuǎn)換的則不允許穿越防火墻，個(gè)人感覺并不太實(shí)用，還是寫下來(lái)，做個(gè)筆記吧。

那么開啟NAT控制后，沒有配置NAT的地址想要通過(guò)防火墻來(lái)進(jìn)行通行，那么還可以配置NAT豁免。
NAT豁免的大概意思就是經(jīng)過(guò)豁免的地址不必經(jīng)過(guò)nat地址轉(zhuǎn)換即可通過(guò)防火墻進(jìn)行通信。

舉個(gè)栗子：

在ASA開啟了NAT控制時(shí)，DMZ區(qū)域有192.168.1.0網(wǎng)段，當(dāng)inside區(qū)域的10.0.0.0網(wǎng)段沒有配置nat，還要與DMZ區(qū)域的192.168.1.0進(jìn)行通信，那么，就需要用到了NAT豁免，配置命令如下：

ciscoasa(config)#access-list nonat extended permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

ciscoasa(config)#nat (inside) 0 access-list nonat

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：CiscoASA應(yīng)用NAT配置詳解-創(chuàng)新互聯(lián)
當(dāng)前URL：http://muchs.cn/article8/iccop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營(yíng)銷推廣、網(wǎng)站收錄、網(wǎng)站設(shè)計(jì)、軟件開發(fā)、網(wǎng)頁(yè)設(shè)計(jì)公司、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)