ASA 第二天实验

ASA NAT类型
动态转换
–NAT + Global:动态一对一
–Identity NAT:自己转换自己
–PAT:动态多对一
–Policy NAT:特定流量的NAT
静态转换
–Static:静态一对一
–Net Static:网络静态转换
–Static PAT:端口转换
NAT bypass（NAT旁路）
–NAT 0 + ACL

一、 动态一对一
nat (Inside) 1 10.1.1.0255.255.255.0
nat (源接口) id源网段掩码
id取值范围（大于等于1）
global (Outside) 1 202.100.1.100-202.100.1.200
命令介绍:
global (转换后接口) id 地址池起始IP-地址池结束IP
注意 global id一定需要和natid匹配，表示为一对。
show xlate
1 in use, 1 most used
Global 202.100.1.100 Local 10.1.1.1

 

二、动态转换2（identity nat）
NAT 0 + address （自己转换自己）
nat (inside) 0 10.1.1.0255.255.255.0
注意: 只影响outbound流量，也就是说去往比这个接口低的安全级别接口流量起作用。
        在nat-control环境才有使用的必要。
show xlate
1 in use, 1 most used
Global 10.1.1.1 Local 10.1.1.1
注意：清除配置xlate还在，默认为3个小时。
timeout xlate 3:00:00

三、动态转换3 PAT
nat (Inside) 1 10.1.1.0 255.255.255.0
global (Outside) 1 202.100.1.101
show xlate
1 in use, 1 most used
PAT Global 202.100.1.101(1024) Local 10.1.1.1(64740)

nat (Inside) 1 10.1.1.0 255.255.255.0
global (Outside) 1 interface

nat (Inside) 1 10.1.1.0 255.255.255.0
global (Outside) 1 202.100.1.101
global (Outside) 1 202.100.1.102
注：只有但当101超过承载容量后才会使用102。

nat (Inside) 1 10.1.1.0 255.255.255.0
global (Outside) 1 202.100.1.100-202.100.1.199    
global (Outside) 1 202.100.1.200
注：首先动态一对一转换，当地址池耗光以后，才复用200做动态多对一转换（PAT），非常类似于IOS的overload。

四、动态转换4 Policy NAT
NAT + ACL （特定流量的NAT）
access-list A permit tcp 10.0.0.0 255.255.255.0 host 192.168.10.11 eq www
access-list B permit tcp 10.0.0.0 255.255.255.0 host 192.168.100.4 e qwww
nat (inside) 1 access-list A
nat (inside) 2 access-list B
global (outside) 1 192.168.0.33
global (outside) 2 192.168.0.49

五、静态转换 静态一对一
static (dmz,outside) 202.100.1.101 192.168.1.1
access-list out permit tcp 202.100.1.1 host 202.100.1.101 eq   23       
access-group out in interface Outside

六、网络静态转换
static (DMZ,Outside) 202.100.1.0 192.168.1.0 netmask255.255.255.0

七、Static PAT

static (DMZ,Outside) tcp 202.100.1.101 www 192.168.1.1 www
static (DMZ,Outside) tcp 202.100.1.101 2121 192.168.1.2 ftp
access-list out permit tcp any host 202.100.1.101 eq 2121
access-list out permit tcp any host 202.100.1.101 eq 80
access-group outininterface Outside

八、Nat bypass （nat旁路）
NAT 0 + ACL （nat旁路）
–最优先的nat类型
–匹配ACL的流量，旁路nat，不转换（没有xlate）
–ACL的协议必须为IP
–ACL的流量必须从高向低写（outbound）
–NAT 0 必须运用在高安全级别接口
–只影响outbound方向的流量
 
access-list nonat permit ip10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
nat(inside) 0 access-list nonat
没有xlate转换槽位
ASAFW(config)# shxlate
0 in use, 2 most used

                                          Nat 优先顺序
• Nat 0 + ACL （NAT bypass）
• Static （静态一对一）
• Static PAT （端口转换）
• Policy NAT （ID大于等于1 + ACL）
• NAT （动态NAT，ID大于等于0，Best match）

 

 

转载于:https://blog.51cto.com/skybird/614778