ASA上的NAT配置及互联网接入(动态NAT、动态PAT、静态NAT、静态PAT以及NAT豁免、使用思科TFTP服务器上传ASDM模块)

最新推荐文章于 2023-05-27 20:15:04 发布
最新推荐文章于 2023-05-27 20:15:04 发布
阅读量4.6k 收藏 16
点赞数 2
分类专栏: 路由交换防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37077262/article/details/104024624
版权
本文详细介绍了ASA设备上的NAT配置,包括动态NAT、动态PAT、静态NAT和静态PAT的配置步骤,并讲解了NAT控制的启用与禁用对出站和入站连接的影响。此外,还提到了NAT豁免的配置,以允许特定流量绕过NAT规则,并提供了远程管理ASA的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ASA上的NAT类型

动态NAT

动态PAT

静态NAT

静态PAT

 

动态NAT

配置步骤:

1)指定需要进行地址转换的网段

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

2)定义全局地址池

asa(config)# global (outside/dmz) 1 172.16.1.100-172.16.1.200

使用 show xlate detail命令查看NAT转换表:

asa# show xlate detail

1 in use. 1 most

Flags: D-DNS, d-dump, I-identity, i-dynamic, n-no random

r- portmap, s-static

NAT from inside: 10.1.1.1 to outside: 172.16.1.100 flags

PC2可以访问PC4 但是没有进行地址转化

动态PAT

配置命令:

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

asa(config)# global (outside) 1 172.16.1.200

直接使用outside接口的IP地址进行转换的配置命令:

asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

asa(config)# global (outside) 1 interface

使用show xlate detail命令查看xlatet表:

asa# show xlate detail

1 in use, 1 most used

Flags: D - DNS, d- dump, I identity,t-dynamic, n - no random,

r portmap, s - static

TCP PAT from inside:10.1.1.112989 to outside:172.16.1.2001024 flags ri

 

静态NAT

PC3默认可以访问PC4,而PC4要访问PC3,需要配置ACL:

asa(config)# access-list out_to_dmz permit ip host 172.16.1.1host 192.168.1.1

asa(config)# access-group out to_ dmz in int outside

PC3和PC4之间互相访问都是使用自身的IP地址

 

配置静态NAT,将192.168.1.1/24映射为172.16.1.201/24 ,可以隐藏PC3的IP地址

静态NAT创建了一个从真实地址到映射地址的一对一的固定转换,可用于双向通信

静态NAT的命令语法:

asa(config)# static (local if name,global if name) global-iplocal-ip [netmask mask]

配置静态NAT:

asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1

配置ACL

最低0.47元/天 解锁文章
思科防火墙ASA Version 9.1(1) 怎么配置静态NAT,把内网ip192.168.1.10 端口1000映射到公网端口1000上?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-29 557
思科防火墙5520。
ASA防火墙高级配置——NAT控制欲NAT豁免
yj11290301的博客
12-09 1198
本章将会讲解ASA防火墙中NAT控制欲NAT豁免的作用。
asa防火墙启用nat控制与豁免
2202_75328505的博客
05-27 395
asa启用nat控制与豁免防火墙
ASA NAT
weixin_33847182的博客
09-27 233
ASANAT配置1.nat-control命令解释pix7.0版本前默认为nat-control,并且不可以更改pix7.0版本后默认为nonat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与pix7.0版本前同。2.配置动态nat把内部网段:172.16.25.0/24 转换成为一个外部的地址池...
19-思科防火墙:ASA静态NAT
weixin_33964094的博客
07-07 1193
一、实验拓扑:二、实验要求:前提:R1、R2、R3分别有默认路由指向ASA对应的接口地址1、R1直接Telnet R3转化后的地址,就可以成功进入R3界面;2、这时候流量放行是不需要放行R3转换后的流量的,因为已经放行了主机R1访问真实主机R3地址的流量;3、部署好以后即使干掉R1到ASA的默认路由,R1依然可以Telnet到R3三、命令部署:1、清除上个实验的Object并查看:ASA(conf...
在防火墙(ASA)上配置四种类型的NAT
weixin_33800593的博客
09-17 1828
前面已经介绍了网络地址转换(NAT)的原理和基于路由器的配置ASA上的NAT配置相对于路由器来说要复制一些,ASA上的NAT动态NAT动态PAT静态NAT静态PAT。下面的链接是我以前写的NAT原理,在路由器上配置NAT的命令http://yangshufan.blog.51cto.com/13004230/1959448动态NAT 动态NAT将一组I...
ASA防火墙配置NAT
weixin_33935505的博客
05-28 2461
ASA防火墙配置NAT分为4种类型:动态NAT动态PAT静态NAT静态PAT。结合实验拓补来了解如何配置这四种NAT类型:基本配置已经配置完成动态PAT转换配置方法: ASA(config)# nat (×××ide) 1 10.1.1.0 255.255.255.0 #声明内部地址,nat-id为1 ASA(config)# global (outside) 1 30.1.1.100-3...
ASA LAB-ASA NAT配置大全
weixin_33982670的博客
10-08 381
ASA LAB-ASA NAT配置大全两种NAT配置方式 :1- Auto(object)NAT2- Twice NATNAT分类 :Static natDynamic natStatic PATDynamic PATNat exmption今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步实验:先看下 ASA的基本配置和环境ciscoasa# sh run:...
ASA入门实验之NAT
GhostRaven的博客
01-04 1587
NAT分类 动态NAT 动态PAT 静态NAT 静态PAT 实验拓扑 拓扑和上次一样。基础的配置和上次一样,我这里就不多说了。请查看:https://blog.csdn.net/GhostRaven/article/details/85568626 。10.1.1.0/24 为inside van2 ;192.168.1.0/24为DMZ vlan 3; 202.1.1.0/24为outsi...
思科ASA防火墙之NAT
weixin_34198797的博客
12-02 868
实验拓扑软件版本GN3 0.8.6 ASA镜像8.0(2)实验环境R1和R2模拟公司内网,R3模拟互联网设备。ASA作为公司出口,实现NAT地址转换实验需求在ASA上做动态NAT实现对R1 loopback 0 网段的地址转换在ASA上做动态PAT实现对R1 loopback 1 网段的地址转换在ASA上做静态NAT实现对R2 loopback 0 地址经行转换在ASA上做...
关于Cisco ASDM配置STATIC NAT顺序的问题-By 年糕泰迪
qq_38461724的博客
06-29 709
使用ASDM配置外网到内网的STATIC NAT时需要注意其配置的顺序,否则配置的该NAT策略不会生效,具体参看下图,测试结论在文末说明。 上图中的NAT配置只有三条,先配置了内网到外网的NAT(1),再配置了DMZ到外网的NAT(2),最后配置了外网到DMZ的NAT(3)。 以上NAT配置后,测试内网到外网,DMZ到外网的的连通性均正常,只有DMZ映射出去的www服务在外网无法测试访问(排除outside ACL和路由问题,已放行)。 在外网测试结果如下,无法联通。 接下来将外网到DMZ的映射条目调
CISCO ASA防火墙ASDM安装和配置
05-16
CISCO ASA防火墙ASDM安装和配置,比较详细!
NAT (ASA 8.2之前和升级8.3之后的巨大改变)
07-15
NAT (ASA 8.2之前和升级8.3之后的巨大改变)
NAT静态配置方法
12-21
进行网络配置及路由器的NAT配置,使“内网主机”可以通过NAT访问外网。
cisco ASA防火墙NAT/PAT详解
phoenix1415的博客
11-05 6297
cisco ASA NAT大全,只针对NAT44做介绍
ASA防火墙之NAT的实例配置
Stephen_jj的博客
04-30 9925
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT动态NAT(dynami...
Cisco ASA 5505 (Version 9.X)的 LAN上网和NAT配置
fumobilemail的博客
11-24 3428
这里写 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 提示:
21-思科防火墙:ASA端口PAT
weixin_33916256的博客
07-07 485
一、实验拓扑:二、实验要求:1、外网去访问内网,只需要访问相应的NAT带上端口号,就可以访问相应的主机。2、将InsideR2主机转换为Outside地址202.100.1.101并携带端口号:2323;三、命令部署:1、清除上个实验的Object配置,并查看验证:ASA(config)# clear configure objectASA(config)# show run natASA(con...
思科ASA防火墙配置
weixin_33929309的博客
05-05 467
要想配置思科的防火墙得先了解这些命令: 常用命令有:nameif、interface、ip address、nat、global、route、static等。 global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [n...
请详细说明如何在CISCO ASA 5510防火墙上配置接口IP地址、安全级别以及设置静态动态NAT
最新发布
11-25
根据《CISCO ASA 5510 防火墙配置详解与步骤》的内容,这里将详细介绍在CISCO ASA 5510防火墙上配置接口IP地址、安全级别以及静态动态NAT的方法。 参考资源链接:[CISCO ASA 5510 防火墙配置详解与步骤](https://wenku.csdn.net/doc/6412b537be7fbd1778d425ba?spm=1055.2569.3001.10343) 首先,对于接口IP地址的配置,你需要进入到接口的配置模式。例如,为E0/0接口分配IP地址,你可以使用以下命令: ``` Ciscoasa(config)# interface e0/0 Ciscoasa(config-if)# ip address 219.139.X.X 255.255.255.0 Ciscoasa(config-if)# no shutdown ``` 在这些命令中,219.139.X.X是分配给E0/0接口的IP地址,子网掩码255.255.255.0定义了网络的范围。使用no shutdown命令是为了启用接口。 接下来,设置接口的安全级别,这可以控制接口间的访问权限。例如,将E0/0接口的安全级别设置为100,可以使用以下命令: ``` Ciscoasa(config-if)# security-level 100 ``` 安全级别越高,意味着该接口对外部网络的访问控制越严格。 对于静态NAT配置,它允许你将内网的一个私有IP地址静态映射到一个公有IP地址。这可以通过以下命令实现: ``` Ciscoasa(config)# object network内网IP地址 Ciscoasa(config-network-object)# host内网IP地址 Ciscoasa(config-network-object)# nat (接口名) 公有IP地址 ``` 这里,`接口名`是连接到外部网络的接口,通常是outside接口。 动态NAT配置则涉及到从内网IP池中动态分配IP地址给外网访问。配置动态NAT的基本命令如下: ``` Ciscoasa(config)# object network 内网IP池名 Ciscoasa(config-network-object)# range 内网IP范围 Ciscoasa(config-network-object)# nat (接口名) dynamic 内网IP池名 ``` 这里的`内网IP池名`是你定义的一个名称,`内网IP范围`指定了内网IP地址池的范围。 最后,配置PAT(端口地址转换)是为了实现多个内部用户共享一个外部IP地址,每个用户通过不同的端口号来区分。这可以通过修改动态NAT配置,允许对端口进行转换来实现: ``` Ciscoasa(config)# object network 内网IP池名 Ciscoasa(config-network-object)# range 内网IP范围 Ciscoasa(config-network-object)# nat (接口名) dynamic 内网IP池名 port-object ``` 完成这些配置后,记得使用write memory命令保存配置。 以上步骤结合了《CISCO ASA 5510 防火墙配置详解与步骤》中的关键知识点,以确保你能够全面地掌握接口配置NAT配置等技术。一旦你完成了这些配置,你的网络将更加安全,并且能够有效地利用有限的IP地址资源。为了进一步提升你对CISCO ASA 5510防火墙的理解和配置能力,建议深入研读这份手册中的其他章节内容,包括密码设置、接口命名以及高级网络功能。 参考资源链接:[CISCO ASA 5510 防火墙配置详解与步骤](https://wenku.csdn.net/doc/6412b537be7fbd1778d425ba?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值