Static NAT
Static NAT (静态NAT):创建一个本地地址到全局地址的永久转换
1、静态转换在转换表中是持久稳固和永久存在的(转换槽位一直存在而且无法清除)
2、通常为需要对外提供服务的内部服务器做转换(inbound连通)
object network DMZ-Telnet-Server
host 192.168.1.1
nat (DMZ,Outside) static 202.100.1.101
注意:列表放行的目的地址为真实的IP地址
access-list Outside_access_in extended permit tcp any object DMZ-Telnet-Server eq telnet
access-group Outside_access_in in interface Outside
Network Static NAT:
当你想要静态转换整个本地网络到全局网络并且使用单一的NAT条目的时候可以使用网络静态NAT
需求1:
object network DMZ-Network-For-NAT
subnet 192.168.1.16 255.255.255.240
object network Inside-Network-For-NAT
subnet 10.1.1.16 255.255.255.240
nat(Inside,DMZ) static DMZ-Network-For-NAT
需求2:
object network Outside-Range-For-NAT
range 202.100.1.200 202.100.1.210
object network DMZ-Range-For-NAT
range 192.168.1.200 192.168.1.210
nat (DMZ,Outside) static Outside-Range-For-NAT
Static PAT:
为私有IP地址和端口到公有IP地址和端口做一个固定的转换
1、多种服务使用一个单一的全局地址
2、仅仅只支持inbound连接
3、支持把ASA的接口地址作为全局地址使用
需求1:
object network DMZ-Web-Server
host 192.168.1.1
nat (DMZ,Outside) static 202.100.1.101 service tcp www www
access-list Outside_access_in extended permit tcp any object DMZ-Web-Server eq www
access-group Outside_access_in in interface Outside
需求2:
object network DMZ-FTP-Server
host 192.168.1.2
nat (DMZ,Outside) static interface service tcp ftp 2121
access0list Outside_access_in extended permit tcp any object DMZ-FTP-Server eq ftp
Static NAT DNS Rewrite :
有DNS 重写功能的static NAT,能够根据转换规则,转换DNS回应内部的地址(A)记录字段
1、在ASA上必须激活DNS inspection
CLI配置
object network Inside-Web-Server
host 10.1.1.101
nat (Inside,Outside) static 202.100.1.101 dns