ASA上的NAT配置

一 ASA上的NAT类型

ASA上的NAT有四种类型:动态NAT、动态PAT、静态NAT、静态PAT

·动态NAT

1概念

动态NAT将一组IP地址转换为指定地址池中的IP地址,是动态一对一的轮询的关系;适合拥有多个公网IP、多个内网PC要访问互联网的环境使用(单向)

2配置步骤

a指定需要进行地址转换的内网网段

asa(config)# nat (interface_name) nat-id local-ip mask

其中nat-id这里必须大于等于1;网卡名为后面所跟地址的逻辑名称

如:asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

其中nat (inside) 1 0 0 表示转换所有内网地址

b定义全局地址池

asa(config)# global (interface_name) nat-id [global-ip]-[global-ip]

如:asa(config)# global (outside) 1 172.16.1.100-172.16.1.200

·动态PAT(常用)

1概述

动态PAT使用IP和源端口号创建一个唯一的会话,是动态多对一的关系;适合只有一个公网IP、多个内网PC要访问互联网的环境使用(单向)

2配置步骤

与动态PAT唯一不同的就是全局地址只有一个

a略

b定义全局地址池

asa(config)# global (interface_name) nat-id [global-ip]

如:asa(config)# global (outside) 1 172.16.1.100

·静态NAT

1概述

静态NAT创建了一个从真实地址到映射地址的一对一的固定转换,可用于双向通信;适合有多个公网IP且有多个内网服务器需要发布的环境使用(双向)

2配置步骤

a配置ACL

实际环境中是允许所有地址访问内网服务器的

asa(config)# access-list out_to_dmz permit ip any host global-ip

asa(config)# access-group out_to_dmz in int outside

b配置静态NAT

asa(config)# static (local_if_name,global_if_name) global-ip local-ip [netmask mask]

如:asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1

·静态PAT(常用)

1概述

静态PAT允许为真实和映射地址指定TCP或UDP端口号;适合只有一个公网IP且要发布多个内网服务器的环境使用(双向)

2配置步骤

a配置ACL

实际环境中是允许所有地址访问内网服务器的

asa(config)# access-list out_to_dmz permit ip any host global-ip

asa(config)# access-group out_to_dmz in int outside

b配置静态NAT

asa(config)# static (local_if_name,global_if_name) {tcp |udp} {global-ip | interface} global-port local-ip local-port [netmask mask]

如:

asa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http

asa(config)# static (dmz,outside) tcp 172.16.1.201 8080 192.168.1.1 80

二 NAT控制与豁免

如图所示

如果简单的配置完上图所有设备的IP和路由,我们知道,默认高安全级别是可以访问低安全级别的,也就是说,即使我们不做NAT,PC1也可以访问PC3;而在真实环境中,PC3相当于互联网中的PC机,PC1访问PC3时,可以通过ASA将源地址是自己IP的请求包发送出去,但是确不会接收到回应包,因为私网地址在互联网上是不合法的,因此我们还是需要做NAT,将私网地址映射为公网地址来访问互联网或被互联网访问

ASA从7.0开始提供了一个NAT控制的开关,即当我们开启NAT后,简单的配置中,PC1不能再访问PC3了,必须做NAT转换才能进行访问

·NAT控制

1概念

ASA从7.0版本开始提供了一个NAT控制的开关;在实际环境中,我们一般启用NAT控制方便管理;在启用NAT    控制时,NAT规则是必须的;即发起的每一个连接都需要一个相应的NAT规则

2配置步骤

默认情况下NAT控制是关闭的;使用一下命令启用和禁用NAT控制

启用:nat-control

禁用:no nat-control

·NAT豁免

1概念

当启用NAT控制时,每个发起的连接都需要一个相应的NAT规则,但是在某些应用场合(例如配置×××)需要绕过NAT规则;绕过NAT规则有很多种方法,NAT豁免就是其中一种

2配置步骤

NAT豁免允许双向通信

a定义一个ACL,用于指定需要绕过NAT规则的流量(地址)

如:

asa(config)# access-list nonat extended permit ip 192.168.10.0 255.255.255.0 172.16.1.0 255.255.255.0

b配置NAT豁免

asa(config)# nat (interface_name) 0 access-list acl_name

如:网段192.168.10.0/24中的主机可以访问网段172.16.1.0/24中的主机,且不做NAT转换

asa(config)# nat (inside) 0 access-list nonat

·NAT常用命令

1查看NAT转换表(包含动态和静态)

Show xlate    查看摘要

Show xlate detail    查看详细信息

Show run nat        查看指定NAT

Show run global    查看指定全局地址

2删除定义的全局地址池(使动态NAT和PAT转换失效)

在定义全局命令前加no即可;如

No global (outside) 1 172.16.1.200

3删除动态NAT和PAT(不能删除静态)

Clear xlate

4删除静态NAT

Clear configure stat

Clear configure nat

Clear configure global

四 NAT模拟实验

实验目的:配置NAT,实现企业网络需求

实验环境:如图,环境中只有一个公网IP

实验要求:

1启用NAT控制,让内网客户机可以访问互联网PC3,其中PC1使用NAT转换访问,PC2使用NAT豁免访问,并查看NAT转换表进行验证

2让互联网客户机PC3可以访问内网服务器R5

实验步骤:

1配置基础网络环境(ip、网关、路由器的路由条目)

R5和PC3开启telnet,便于测试(配置基本相似)

R5

PC3

PC1和PC2的配置相似,PC2略

R3的配置

2 ASA的基本配置(IP、逻辑名称、路由等)

3开启NAT控制,配置动态PAT,让PC1使用NAT转换后的地址访问PC3

验证(此时PC2不能访问PC3)

3配置NAT豁免,让PC2使用自己的地址访问PC3

验证,NAT表中并没有PC2的条目,但是PC2可以访问PC3了

4配置静态PAT,发布内网服务器,使PC3可以访问R5

验证(最后测试可以访问)