标识NAT
控制出站连接的另一个特性是控制哪些内部ip地址在外部可见的能力,nat 0 命令可以让你关闭地址转换,这样没有经过地址转换的内部ip地址对于外部来说是可见的,当在内部网络中有NIC注册的IP地址,并且这个IP地址是要对外提拱服务的,就可以使用标NAT
ciscoasa(config)# nat (inside) 0  1.1.2.1 255.255.255.255
nat 0 1.1.2.1 will be identity translated for outbound
 
静态内部转换:
1、不要创建重叠IP地址的静态转换,一个IP应该是唯一的
2、静态转换优先于nat和global
3、如果一个全局ip已经被应用到PAT上,就不能在静态转换中再使用这个全局ip
R1#show run
!        
interface FastEthernet0/0
 ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/1
 ip address 1.1.2.1 255.255.255.0
 no keepalive
!
router ospf 1
 log-adjacency-changes
 network 1.1.1.0 0.0.0.255 area 0
 network 1.1.2.0 0.0.0.255 area 1
!
R3#show run
!        
interface FastEthernet0/0
 ip address 192.168.1.3 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.2.3 255.255.255.0
 duplex auto
 speed auto
 no keepalive
!
ip route 0.0.0.0 0.0.0.0 192.168.1.2
!
ciscoasa(config)# show run
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 1.1.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
access-list aclin extended permit icmp any any
access-group aclin in interface outside
static (inside,outside) 192.168.0.18 1.1.2.1 netmask 255.255.255.255
(上面这条命令中的第一个IP为对外全局IP,第二个IP为内部地址)
!
router ospf 1
 network 1.1.1.0 255.255.255.0 area 0
 log-adj-changes
 default-information originate
!
route outside 0.0.0.0 0.0.0.0 192.168.1.3 1
 
使用下面工具进行测试:
show xlate 可以查看转换槽的内容
clear xlate 可以消除转换槽的内容
show conn 可以查看所有处于活跃的边接
 
NAT静态内部转换测试:
在R1上扩展ping 指定1.1.2.1为源地址ping 192.168.1.3,然后查看asa转换槽的内容,如下
ciscoasa(config)# show xlate
1 in use, 3 most used
Global 192.168.0.18 Local 1.1.2.1(静态指定后就可以看到转换槽中已经有一张存在的转换了)

使用debug icmp trace可以看到:
ICMP echo request from inside:1.1.2.1 to outside:192.168.1.3 ID=14 seq=3 len=72
ICMP echo request translating inside:1.1.2.1 to outside:192.168.0.18
ICMP echo reply from outside:192.168.1.3 to inside:192.168.0.18 ID=14 seq=3 len=72
ICMP echo reply untranslating outside:192.168.0.18 to inside:1.1.2.1