nat端口限制_Cisco ASA 防火墙 NAT - 基本概念

最新推荐文章于 2023-06-08 16:59:07 发布
最新推荐文章于 2023-06-08 16:59:07 发布
阅读量728 收藏 1
点赞数
文章标签: nat端口限制

Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3 之前的 NAT 对于数据处理的流程完全不同,本文所有的内容均是基于 version 8.3 及以后的版本。)

基本概念

ASA 里面 NAT 的基本概念和其他的厂商类似,大致上分为:

  • Static
  • Static NAT
  • Static PAT
  • Dynamic
  • Dynamic NAT
  • Dynamic PAT
  • Policy
  • Policy NAT
  • Policy PAT
  • Identity NAT

ASA 配置 NAT 的方法有两种:

  • Auto NAT
  • Manual NAT

NAT

NAT 的概念很简单,就是做地址转换。

PAT

PAT 是在 NAT 的基础上不仅做地址转换还做了端口转换,这里的端口一般是指 Source Port。

1aa6120b8418444efbce4bf3c0eb6227.png

Static NAT

静态的 NAT,允许双向通信。Static NAT 可以实现的映射关系有:

  • one-to-one
  • one-to-many
  • few-to-many
  • many-to-few
  • many-to-one

Cisco 只推荐使用 one-to-one 和 one-to-many,至于原因,官方只给了一句话 “might result in unintended consequences”。

fde7906b73ffb17090cebf7d4f2a11c9.png

Static PAT

静态的 PAT,允许双向通信。需要注意的是在 ASA 里 Static PAT 又被称为 Port Redirection (或者叫 Port Forwarding)。这和我们家用的普通无线路由器里面的端口转发是一个概念,从外部进入内部的数据会被进行端口转发。

1a6c0856b555f55b1a58d3c1ac4f96b0.png

Dynamic NAT

动态的从一个地址池里面按照先来先得原则进行 one-to-one 的 NAT 映射。只允许从里向外发起连接,在通信建立以后可以允许从外向里发起连接。

419f8dcb6db01541388a537290026393.png

Dynamic PAT

动态的将多个内部源地址 PAT 到一个单一的固定的外部源地址上。只允许从里向外发起连接,在通信建立以后可以允许从外向里发起连接。类似于 IOS 里面的 overload。

6a56868e150a832b626f31ec85069aaa.png

Policy NAT / PAT

Policy NAT / PAT 的定义是 NAT 的转换需要根据配置的 Policy 来进行,配置 Policy 是通过 Manual NAT 来实现的。所以可以说 Policy NAT = Manual NAT。Policy NAT 是定义,Manual NAT 是具体实施方法。

Identity NAT

也是一种定义,即在做 NAT 的时候不进行地址转换。也是通过 Manual NAT 来进行配置。

Auto NAT

是一种配置 NAT 的方法,又称为 Network Object NAT,因为 NAT 是配置在 Network Object 里面的。一般情况下 Auto NAT 是用来做 Source NAT的,但是通过反向配置的方式我们也可以实现 Destination NAT 甚至是 Bidirectional NAT。

Manual NAT

是另一种配置 NAT 的方法,又称为 Twice NAT,这种方法需要定义一个单独的 NAT Policy从而实现了 Policy NAT。Twice 代表可以同时执行 Source 和 Destination NAT。

其他注意事项

  • Proxy ARP 在配置了 NAT 后会自动开启。
  • 配置 ACL 的时候里面的地址全部使用真正的地址。

配置 NAT 的时候还有很多其他重要的细节比如数据包的处理流程,先做路由查询还是先做 NAT 等等,由于篇幅限制就不展开讨论了。在后续的文章中我们会进行具体的案例配置来分别对上面的概念进行验证。

weixin_39838829
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nat端口限制_[网络]NAT路由器打洞原理
weixin_39957461的博客
12-05 2411
什么是打洞,为什么要打洞由于Internet的快速发展 IPV4地址不够用,不能每个主机分到一个公网IP 所以使用NAT地址转换。下面是我在网上找到的一副图一般来说都是由私网内主机(例如上图中“电脑A-01”)主动发起连接,数据包经过NAT地址转换后送给公网上的服务器(例如上图中的“Server”),连接建立以后可双向传送数据,NAT设备允许私网内主机主动向公网内主机发送数据,但却禁止反...
nat端口限制_漫话TCP/IP:IP协议相关技术之NAT(转载)(6)
weixin_39776787的博客
12-05 1095
序言表弟:漫话TCP/IP:网络层-IP寻址(1)​zhuanlan.zhihu.com在IP寻址那一章介绍,为了解决IP不足的问题和网络安全性,在现在的网络中,IP地址分为公网IP地址和私有IP地址。公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。当私有网络内的主机要与位于公...
nat端口限制_网络工程师从入门到精通通俗易懂系列 | 网络地址转换NAT技术,每天都在用,真正懂的人有多少?...
weixin_39837352的博客
12-05 795
NAT技术使得一个私有IP地址网络可以通过合法的公网IP连接到公网,同时将内部网络的IP地址隐藏起来不被外界发现,对内部网络设备起到保护的作用,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有IP地址和私有IP地址的使用NAT优缺点NAT术语NAT转换规则·数据包从outside接口到inside接口,先转换后查路由·数据包从inside接口到outside接口,先查路由...
NAT限制子网上网端口的问题!(未解决)
I AM FANTASY
11-19 1396
今天遇到一个NAT的问题,就是限制子网端口,我已经开了TCP协议的80,5000,8080可是上浏览网页很慢,不知道是为什么!我开始认为是我的网络的原因,可是后来把限制取消了,就没有问题了!真是不知道怎么回事! 
Cisco IOS上限制NAT的单用户连接数的方法
10-01
主要为大家介绍了从技术手段,详细的向大家介绍了IOS如何去利用NAT单用户限制用户的连接数,那么我们要怎么去操作呢?相信看完此文会对你有所帮助
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
nat-pt.rar_ipv4 ipv6_linux NAT-PT_linux ipv6 natpt_linux-usermo
09-20
标题中的“nat-pt.rar_ipv4_ipv6_linux NAT-PT_linux ipv6 natpt_linux-usermode-natpt nat_pt”提到了IPv4与IPv6之间的转换技术,以及在Linux环境下实现这一转换的方法。描述中进一步指出,这是关于IPv6到IPv4的...
UDP-NAT.rar_nat_nat udp_udp 防火墙_udp打洞_打洞
07-14
UDP穿越防火墙的例子,有助于学习UDP打洞原理哦。
sort_nat.zip_sort nat_sort_nat
07-13
标题中的"sort_nat.zip_sort nat_sort_nat"可能是指一个用于整理文件名的程序或脚本,它采用了自然排序(Natural Sort)的方式,使得文件名按照人类阅读习惯进行排序。自然排序不仅考虑字符的顺序,还能理解数字序列...
NAT-P2P.rar_P2P_P2P NAT穿透_nat穿透 p2p_p2p py_防火墙
07-14
vc写的穿透NAT例子。很不错 又说明文件
nat端口限制_NAT端口受限类型和对称型有什么区别?
weixin_40004212的博客
12-05 4609
问题描述能否举例说明下?比如:内网两台机器(192.168.0.2和192.168.0.3),NAT(外网地址:1.1.1.1),外网两台机器(2.2.2.4和2.2.2.5)这样的场景下,有什么不同的?还没有阅读这篇文章的读者,请先前往阅读。看了很多人写的关于NAT的文章,感觉并没有将这个问题讲透彻,以至于中文互联网上一提到“对称型NAT”很多人人云亦云,殊不知第一个解释的人可能是正确...
思科防火墙ASA5520做NAT映射配置实例
热门推荐
sinat_41702786的博客
05-11 2万+
1、按照规划,先定义外网口、内网口,比如eth0/1为外网口,eth0/2为内网口:interface eth0/1nameif outside      //接口模式下配置nameif为outside,外网口security-level 0     //设备默认外网口的安全等级为0ip address 1.1.1.1 255.255.255.0  //配置外网口IP地址为1.1.1.1/24--...
华为防火墙natNAT NO-PAT、NATP、easy-ip)实验
Ddfgxfgg的博客
10-15 3811
华为源natNAT NO-PAT、NATP、easy-ip)实验
nat端口限制_电脑网络知识:内外网实现原理,网络地址协转换(NAT)的学习
weixin_39520199的博客
12-02 2253
一. NAT简介一. NAT简介 NAT(网络地址转换)是将专用网络地址(如企业内部网intranet)转换为公用地址(如互联网Internet)的一种技术,它对外界隐藏了内部网络的IP地址。通过在内部使用专用IP地址,并将它们转换为一小部分外部网络地址,从而减少了IP地址注册的费用以及节省了目前越来越缺乏的IP地址。同时这也隐藏了内部拓扑结构,从而降低了内部网络受到攻击的风险。 NAT功能通常被...
ASA如何配置端口映射及PAT
XMWS-IT
06-17 692
实验目标 把R1的telnet服务(端口23)映射到ASA1的外网口G0口的端口12345,使外网可以访问它;配置PAT使内网可以访问公网。
网络:地址转换NAT
最新发布
m0_70893463的博客
06-08 282
NAPT(网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率(根据IP地址对多端口复用,形成1:n的关系)静态nat:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。192.168.233.21:1024 --------10.0.0.1025 -----百度。napt:动态nat选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT。
cisco ASA防火墙NAT/PAT详解
phoenix1415的博客
11-05 5222
cisco ASA NAT大全,只针对NAT44做介绍
【静态+动态+端口NAT地址转换——Cisio
@MIKE小助手
05-31 1419
目录前言一、静态NAT二、动态NAT三、端口NAT总结 前言 提示:这里可以添加本文要记录的大概内容: 提示:以下是本篇文章正文内容,下面案例可供参考 一、静态NAT 静态NAT R0 和R1 先把路由配通 (配置静态或者动态) R0上的主要配置 Router(config)#int f0/1 Router(config-if)#ip nat inside Router(config-if)#int f0/0 Router(config-if)#ip nat outside Rou
ASA思科防火墙:地址nat转换(pat,静态转换)&& (DMZ)
鲍海超
04-10 1806
虽然他们都是转换公网ip了,但是防火墙没有记录,依旧是不让进可以使用acl让200.1.1.1 和 公网 100.1.1.3 服务器进行相互访问。static + (dmze0/2从那个区域,转换到出方向outside e0/0)+ 把那个公网ip + 转换到那个内网ip。nat + (inside接口名称e0/1)+组号+内网网段 + 子网掩码。全部配置好ip, 接口名称,安全等级,asa防火墙配置一个默认路由向外。global +(outside外网名称e0/0)+组号+DMZ区域静态转换到公网。
ASA防火墙NAT配置方法对比:老版vs新版
ASA防火墙NAT新版老版配置方法对比借鉴 ASA防火墙NAT配置方法对比借鉴是指ASA防火墙8.3以后 NAT配置方法的变化和改进。ASA防火墙NAT配置方法是网络安全中的一种重要配置,用于实现网络地址转换,保护内部网络的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值