Cisco PIX NAT（地址转换）详解

最新推荐文章于 2023-06-08 19:36:49 发布

weixin_34195142

最新推荐文章于 2023-06-08 19:36:49 发布

阅读量490

点赞数

文章标签：运维网络

原文链接：http://blog.51cto.com/cisco130/1371647

版权

nat和global命令总是一起使用。nat命令定义可以转换地址以访问低安全级网络的本地主机；global命令定义了用于转换的全局地址池。 nat命

令的nat_id标示符指定了nat命令使用的地址池。
语法：
Pix(config)#global (if_name) nat_id {global_ip[global_ip] [netmask global_mask]|interface}
Pix(config)#nat (if_name) nat_id local_ip [netmask]
例：
Pix(config)# global (outside) 1 215.1.2.0
Pix(config)# global (outside) 1 1.1.1.1-1.1.1.30 netmask 255.255.255.224
Pix(config)# nat (inside) 1 192.168.1.0 255.255.255.0
***
改变或删除一个nat命令语句后，使用clear xlate命令。
最多可以定义256个全局地址池。
不要用全局地址池指定了的地址来做静态映射。
静态映射拥有比nat命令创建的映射有更高的优先级。
***

指定内部所有主机的选项
Pix(config)#nat (inside) 1 0 0
0 0是local_ip/netmask 0.0.0.0 0.0.0.0的组合。

更多的NAT选项
nat命令能够使能或禁止一个或更多的地址转换，还有很多其他的选项
Pix(config)# nat (if_name) nat_id ip_address [netmask] [outside] [dns] [norandomseq]
[timeout hh:mm:ss] [conn_limit] [em_limit]
Pix(config)# no nat (if_name) nat_id address [netmask] [outside]

NAT_ID选项
NAT 0
nat 0关闭特定地址的NAT转换，这个结果称为identity

translation，这种转换映射到它自身的地址。这个命令假定主机地址是一个可在Internet上使用的有效的全局地址。
与static命令不同的是，nat要求连接从内部发起。
Pix(config)# nat (dmz) 0 1.1.1.15 //该主机可访问外部网络
Pix(config)# static (dmz, outside) 1.1.1.15 1.1.1.15 //地址对外部可见

下面例子使用一个C类地址
Pix(config)# nat (dmz) 0 1.1.2.0 255.255.255.0
Pix(config)# static (dmz, outside) 1.1.2.0 1.1.2.0 netmask 255.255.255.0

NAT 0 Access-List ACL Name
使用访问控制列表设置旁路，使特定的传输跳过NAT转换进程。
这个命令假定主机地址是一个可在Internet上使用的有效的全局地址。
Pix(config)# access-list skip-nat permit ip host 1.1.1.15 host 1.1.2.19
Pix(config)# nat (inside) 0 access-list skip-nap

NAT_ID 大于0
正常的NAT地址转换。
Pix(config)# global (outside) 9 1.1.2.1 - 1.1.2.254
Pix(config)# global (outside) 9 1.1.3.0 netmask 255.255.255.0
Pix(config)# nat (inside) 9 192.168.1.0 255.255.255.0

不使用网络地址和广播地址
如下例：
Pix(config)# global (outside) 1 10.1.1.0 netmask 255.255.255.240
Pix(config)# nat (inside) 1 192.168.1.0 255.255.255.0
网络地址10.1.1.0和广播地址10.1.1.15都被包括在地址池中，要想不包括他们
Pix(config)# global (outside) 1 10.1.1.1 - 10.1.1.14
Pix(config)# nat (inside) 1 192.168.1.0 255.255.255.0

检查NAT/Global配置
show global
show nat
write terminal
show xlate

PAT
Pix(config)# global (if_name) nat_id {global_ip [-global_ip] [netmask global_mask] |interface}
指定一个地址做PAT
Pix(config)# global (outside) 5 1.1.1.25
Pix(config)# nat (inside) 5 0 0
使用外网接口地址做PAT
Pix(config)# global (outside) 7 interface
Pix(config)# nat (inside) 7 0 0
***
改变或删除nat命令语句后，应执行 clear xlate命令。
作PAT的地址，不能用到另一个global或static地址池
PAT不支持H.323应用和名称服务的 caching
当多媒体应用需要穿过防火墙时，不能使用PAT。多媒体应用会与PAT的端口映射冲突。
PAT不支持TCP ACL "established"选项。
PAT does work with DNS, HTTP, URL filtering, e-mail, FTP, passive FTP, Telnet,outbound traceroute, and the UNIX RPC and

rshell protocols.

结合使用NAT和PAT
Pix(config)# global (outside) 3 1.1.3.0 netmask 255.255.255.0
Pix(config)# global (outside) 3 interface
Pix(config)# nat (inside)3 0 0

转载于:https://blog.51cto.com/cisco130/1371647

weixin_34195142

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
Cisco PIX NAT（地址转换）详解

nat和global命令总是一起使用。nat命令定义可以转换地址以访问低安全级网络的本地主机；global命令定义了用于转换的全局地址池。 nat命令的nat_id标示符指定了nat命令使用的地址池。语法：Pix(config)#global (if_name) nat_id {global_ip[global_ip] [netmask global_mask]|inter...
复制链接

扫一扫