君，已阅读到文档的结尾了呢~~
cisco asa cisco asa 5505 cisco asa5510 k8 cisco 2960 cisco vpn cisco nat cisco cisco tftp server cisco 3750 cisco 3560
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
CISCO ASA 8.4 NAT配置示例
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口基本ASA NAT配置：在DMZ的Web服务器在ASA版本8.3和以上 - Cisco
基本ASA NAT配置：在DMZ的Web服务器在ASA版本8.3和以上
(237.8 KB)
在各种设备上使用 Adobe Reader 查看
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
(108.4 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
文档 ID:115904
关于此翻译
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。
请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。
Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。
本文如何提供一简单和直接的示例给configure network地址转换(NAT)和访问控制列表(ACL)在ASA防火墙为了允许出站以及入站连接。本文比运行ASA代码版本9.1(1)写入与一可适应安全工具(ASA) 5510防火墙，但是这能容易地应用到其他ASA防火墙平台。如果使用一个平台例如ASA 5505，使用VLAN而不是物理接口，您需要更改接口类型如适当。
本文档没有任何特定的要求。
使用的组件
本文档中的信息根据运行ASA代码版本9.1(1)的ASA 5510防火墙。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。
在此配置示例中，您能查看什么NAT和ACL配置将是需要的为了提供对一Web服务器的入站访问在ASA防火墙的DMZ，并且允许从内部和DMZ主机的出站连接。这可以汇总作为两个目标：
允许在里面和DMZ出站连接的主机到互联网。
允许在互联网的主机访问在DMZ的一Web服务器用192.168.1.100的IP地址。
在达到必须完成为了实现这两个目标的步骤前，本文在新版本的方式ACL和NAT工作简要地去ASA代码(版本8.3和以上)。
访问控制表概述
访问控制列表(访问列表或ACL简称)是ASA防火墙确定的方法流量是否允许或拒绝。默认情况下，从更低通过到更高安全级别的流量拒绝。这可以由ACL改写应用对该较低安全性接口。默认情况下，并且ASA允许从更加高的流量到较低安全性接口。此行为可能也改写与ACL。
在ASA代码中更早版本(8.2和更加早期)， ASA对在接口的ACL比较一流入连接或数据包，无需首先取消转译数据包。换句话说， ACL必须允许数据包，好象您将获取在接口的该数据包。用版本8.3和以上代码，在检查接口ACL前， ASA取消转译该数据包。这为8.3意味着那及以后代码，并且本文，对主机的实时IP的流量允许而不是主机的转换后的IP。
请参阅图书消毒关于ACL的更多信息。
在ASA的NAT在版本8.3和以上分成叫作自动的两个类型NAT (对象NAT)和手工的NAT (两次NAT)。第一两个，对象NAT，在网络对象定义之内配置。此的示例是提供的以后在本文。此NAT方法一个主要的优点是ASA为处理自动地指令规则为了避免冲突。这是NAT最容易的表，但是与该方便来在配置粒度的一个限制。例如，您不能做出根据在数据包的目的地的转换决策，因为您可能与NAT的第二种类型，手工nat。手工的NAT是稳健在其粒度，但是要求线路按正确顺序配置，以便能达到正确行为。这复杂化此NAT类型，结果，并且不会用于此配置示例。
请参阅图书消毒的关于NAT的更多信息。
基本ASA配置设置是三个接口连接对三个网段。ISP网段连接对Ethernet0/0接口并且从外部标志安全等级0。内部网络连接对Ethernet0/1并且被标记了作为里面与安全等级100。DMZ分段， Web服务器驻留，连接对Ethernet0/2并且被标记作为与安全等级的DMZ 50。
接口配置和IP地址示例的被看到此处：
interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0!interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0!interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0!route outside 0.0.0.0 0.0.0.0 198.51.100.1
您能看到ASA的内部接口设置与192.168.0.1的IP地址，并且它是内部主机的默认网关。ASA的外部接口配置与从ISP获取的IP地址。有到位默认路由，设置下一跳是ISP网关。如果使用DHCP自动地提供这。DMZ接口配置用192.168.1.1的IP地址，并且它是主机的默认网关在DMZ网段。
这是一视觉查看在这如何被缚住并且配置：
Step1 -配置NAT允许主机出去到互联网
对于此示例对象NAT，亦称AutoNAT，使用。配置的第一件事是允许在内部的主机的NAT规则和DMZ分段连接对互联网。由于这些主机使用专用IP地址，您需要翻译他们到是可路由的在互联网的事。在这种情况下，请转换地址，以便他们看起来象ASA的外部接口IP地址。如果您的外部IP频繁地更改(或许由于DHCP)这是最直接的方式设置此。
为了配置此NAT，您需要创建表示里面子网以及一个表示DMZ子网的网络对象。在这些对象中的每一个，请配置端口地址转换(PAT)这些客户端的一个动态nat规则，因为他们从他们的各自的接口将通过到外部接口。
此配置看似类似于此：
object network inside-subnet subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface!object network dmz-subnet subnet 192.168.1.0 255.255.255.0 nat (dmz,outside) dynamic interface
如果这时查看运行的配置(与输出show run命令)，您看到对象定义拆分到输出的两部分。第一部分只指示什么在对象(主机/子网， IP地址，等等)，而第二部分显示NAT规则附加对该对象。如果在上一个输出中采取首先进入：
当匹配从内部接口的192.168.0.0/24子网横断到外部接口的主机，您要动态地翻译他们到外部接口。
步骤2 -配置NAT访问从互联网的Web服务器
即然在内部和DMZ接口的主机能出去到互联网，您需要修改配置，以便互联网的用户能访问我们的在TCP端口80的Web服务器。在本例中，设置是，以便互联网的人们能连接到ISP提供的另一个IP地址，我们拥有的一个另外的IP地址。对于此示例，请使用198.51.100.101。使用此配置，互联网的用户能通过访问在TCP端口80的198.51.100.101到达DMZ Web服务器。请使用对象NAT此任务，并且ASA Web服务器的(192.168.1.100) translate tcp端口80将看起来象在TCP端口80的198.51.100.101在外部。同样于什么以前执行，定义了对象并且定义了该对象的翻译规则。并且，请定义第二个对象代表您将翻译此主机的IP。
此配置看似类似于此：
object network webserver-external-ip host 198.51.100.101!object network webserver host 192.168.1.100 nat (dmz,outside) static webserver-external-ip service tcp www www
汇总什么该NAT规则在本例中含义：
当匹配IP地址192.168.1.100在DMZ分段的主机建立从TCP端口来源的连接80 (www)，并且连接出去外部接口，您要翻译那是TCP端口80 (www)在外部接口和翻译该IP地址是198.51.100.101。
那似乎一少许多…“从TCP端口80 (www)来源”，但是Web流量被注定到端口80。请注意这些NAT规则是双向本质上。结果，您能翻转字词为了改变措辞此句子。结果更大量有意义：
当外部的主机建立对198.51.100.101的连接在目的地TCP端口80 (www)，您将翻译目的IP地址是192.168.1.100，并且目的地端口将是TCP端口80 (www)并且发送它DMZ。
这有更多意义，当措辞这样。其次，您需要设置ACL。
步骤3 -配置ACL
NAT配置，并且此配置结尾近。切记，在ASA的ACL允许您改写如下的默认安全行为：
从较低安全性接口去的流量拒绝，当去更高安全性接口时。
从更高安全性接口去的流量允许，当去较低安全性接口时。
因此没有所有ACL的新增内容对配置的，在示例的此流量工作：
在里面(安全等级100)的主机能连接到在DMZ (安全等级50)的主机。
在里面(安全等级100)的主机能连接到在外部(安全等级0)的主机。
在DMZ (安全等级50)的主机能连接到在外部(安全等级0)的主机。
然而，此流量拒绝：
在外部(安全等级0)的主机不能连接到在里面(安全等级100)的主机。
在外部(安全等级0)的主机不能连接到在DMZ (安全等级50)的主机。
在DMZ (安全等级50)的主机不能连接到在里面(安全等级100)的主机。
由于流量从自DMZ网络的外面由与其当前配置的ASA拒绝，互联网的用户不能到达尽管NAT配置的Web服务器在步骤2。您需要明确地允许此流量。用8.3及以后代码您在ACL而不是转换后的IP必须使用主机的雷亚尔德蒙特罗伊IP。这意味着配置需要允许而不是流量被注定对192.168.1.100流量被注定对在端口80的198.51.100.101。For simplicity的缘故，在步骤定义的对象2将使用此ACL。一旦ACL创建，您需要应用它入站在外部接口。
这是什么那些配置命令看上去象：
access-list outside_acl extended permit tcp any object webserver eq www!access-group outside_acl in interface outside
access-list线路状态：
从any(where)的Permit流量到对象网络服务器代表的主机(192.168.1.100)在端口80。
是重要配置使用所有关键字这里。由于客户端源IP地址没有叫作它到达您的网站，请指定所有含义‘任何IP地址’。
怎么样从DMZ分段的流量被注定了对在网络内部分段的主机？例如，在网络内部的一个服务器在DMZ需要的主机连接。ASA如何能准许只特定的流量被注定对内部的服务器和块一切别的东西被注定对从DMZ的里面分段？
在本例中假设，有在网络内部的一个DNS服务器在DMZ需要的主机为DNS解析访问的IP地址192.168.0.53。您创建需要的ACL并且应用它对DMZ接口，因此ASA能改写该默认安全行为，前面提到，为进入该接口的流量。
这是什么那些配置命令看上去象：
object network dns-server host 192.168.0.53!access-list dmz_acl extended permit udp any object dns-server eq domainaccess-list dmz_acl extended deny ip any object inside-subnetaccess-list dmz_acl extended permit ip any any!access-group dmz_acl in interface dmz
ACL比允许该流量复杂对在UDP端口53的DNS服务器。如果我们的所有是首先‘permit’线路，则所有流量从DMZ将阻塞到在互联网的主机。ACL有隐式‘deny ip any any’在ACL结束时。结果，您的DMZ主机不能出去到互联网。默认情况下即使从DMZ的流量到外部允许，与ACL的应用程序对DMZ接口的，那些默认DMZ接口的安全行为实际上不再是，并且您必须明确地允许在接口ACL的流量。
步骤4 -与数据包跟踪程序功能的测验配置
即然配置完成，您需要测试它为了确保它工作。(如果这是您的网络)，最容易的方法将使用实际主机。然而，为了测试此从CLI和更加进一步测试某些ASA的工具，请使用数据包跟踪程序为了测试和潜在调试遇到的所有问题。
数据包跟踪程序工作在模拟根据一系列的参数的数据包旁边，并且注入该数据包对接口数据路径，类似于一真实生活数据包会的方式，如果被拾起电线。此数据包通过完成检查和进程的无数被跟随，当穿过防火墙，并且数据包跟踪程序注释结果。模拟出去对在互联网的一台主机的内部主机。下面的命令提示防火墙对：
模拟来自在内部接口的TCP数据包在源端口12345的IP地址192.168.0.125被注定对203.0.113.1的IP地址在端口80的。
ciscoasa# packet-tracer input inside tcp 192.168.0.125 .113.1 80Phase: 1Type: ACCESS-LISTSubtype:Result: ALLOWConfig:Implicit RuleAdditional Information:MAC Access listPhase: 2Type: ROUTE-LOOKUPSubtype: inputResult: ALLOWConfig:
Additional Information:in
Phase: 3Type: NATSubtype:Result: ALLOWConfig:object network inside-subnet nat (inside,outside) dynamic interfaceAdditional Information:Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345Phase: 4Type: NATSubtype: per-sessionResult: ALLOWConfig:Additional Information:Phase: 5Type: IP-OPTIONSSubtype:Result: ALLOWConfig:Additional Information:Phase: 6Type: NATSubtype: per-sessionResult: ALLOWConfig:Additional Information:Phase: 7Type: IP-OPTIONSSubtype:Result: ALLOWConfig:Additional Information:Phase: 8Type: FLOW-CREATIONSubtype:Result: ALLOWConfig:Additional Information:New flow created with id 1, packet dispatched to next moduleResult:input-interface: insideinput-status: upinput-line-status: upoutput-interface: outsideoutput-status: upoutput-line-status: upAction: allow
最终结果从外部是流量允许，通过所有NAT和ACL登记配置和被派出出口接口的whichmeans。注意数据包在相位3翻译，并且该相位详细信息显示什么规则点击。主机192.168.0.125动态地翻译对198.51.100.100根据配置。
现在，为一连接请运行它从互联网到Web服务器。切记，在互联网的主机将通过连接访问Web服务器对在外部接口的198.51.100.101。再次，此下一条命令翻译对：
模拟来自在外部接口的TCP数据包在源端口12345的IP地址192.0.2.123被注定对198.51.100.101的IP地址在端口80的。
ciscoasa# packet-tracer input outside tcp 192.0.2.123 .100.101 80Phase: 1Type: UN-NATSubtype: staticResult: ALLOWConfig:object network webserver nat (dmz,outside) static webserver-external-ip service tcp www wwwAdditional Information:NAT divert to egress interface dmzUntranslate 198.51.100.101/80 to 192.168.1.100/80Phase: 2Type: ACCESS-LISTSubtype: logResult: ALLOWConfig:access-group outside_acl in interface outsideaccess-list outside_acl extended permit tcp any object webserver eq wwwAdditional Information:Phase: 3Type: NATSubtype: per-sessionResult: ALLOWConfig:Additional Information:Phase: 4Type: IP-OPTIONSSubtype:Result: ALLOWConfig:Additional Information:
Phase: 5Type: NATSubtype: rpf-checkResult: ALLOWConfig:object network webserver nat (dmz,outside) static webserver-external-ip service tcp www wwwAdditional Information:Phase: 6Type: NATSubtype: per-sessionResult: ALLOWConfig:Additional Information:Phase: 7Type: IP-OPTIONSSubtype:Result: ALLOWConfig:Additional Information:Phase: 8Type: FLOW-CREATIONSubtype:Result: ALLOWConfig:Additional Information:New flow created with id 3, packet dispatched to next moduleResult:input-interface: outsideinput-status: upinput-line-status: upoutput-interface: dmzoutput-status: upoutput-line-status: upAction: allow
再次，结果是数据包允许。ACL优良检查，配置查找，并且互联网的用户(从外部)应该能访问有外部IP的该Web服务器。
验证程序在步骤4包括-测试与数据包跟踪程序功能的配置。
目前没有针对此配置的故障排除信息。
要执行基本NAT的ASA的配置不是那威吓任务。如果更换用于配置示例，和端口的IP地址在本文的示例可以适应您的特定方案。此的最终ASA配置，当结合，为ASA 5510查找类似于此：
ASA Version 9.1(1)!interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0!interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0!interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0!object network inside-subnet subnet 192.168.0.0 255.255.255.0object network dmz-subnet subnet 192.168.1.0 255.255.255.0object network webserver host 192.168.1.100object network webserver-external-ip host 198.51.100.101object network dns-server host 192.168.0.53!access-list outside_acl extended permit tcp any object webserver eq wwwaccess-list dmz_acl extended permit udp any object dns-server eq domainaccess-list dmz_acl extended deny ip any object inside-subnetaccess-list dmz_acl extended permit ip any any!object network inside-subnet nat (inside,outside) dynamic interfaceobject network dmz-subnet nat (dmz,outside) dynamic interfaceobject network webserver nat (dmz,outside) static webserver-external-ip service tcp www wwwaccess-group outside_acl in interface outsideaccess-group dmz_acl in interface dmz!route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
在当接口的ASA 5505，例如，连接如以前显示(外部连接自Ethernet0/0，在已连接对Ethernet0/1和DMZ里面连接对Ethernet0/2) ：
ASA Version 9.1(1)!interface Ethernet0/0 description Connected to Outside Segment switchport access vlan 2!interface Ethernet0/1 description Connected to Inside Segment switchport access vlan 1!interface Ethernet0/2 description Connected to DMZ Segment switchport access vlan 3!interface Vlan2 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0!interface Vlan1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0!interface Vlan3 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0!object network inside-subnet subnet 192.168.0.0 255.255.255.0object network dmz-subnet subnet 192.168.1.0 255.255.255.0object network webserver host 192.168.1.100object network webserver-external-ip host 198.51.100.101object network dns-server host 192.168.0.53!access-list outside_acl extended permit tcp any object webserver eq wwwaccess-list dmz_acl extended permit udp any object dns-server eq domainaccess-list dmz_acl extended deny ip any object inside-subnetaccess-list dmz_acl extended permit ip any any!object network inside-subnet nat (inside,outside) dynamic interfaceobject network dmz-subnet nat (dmz,outside) dynamic interfaceobject network webserver nat (dmz,outside) static webserver-external-ip service tcp www wwwaccess-group outside_acl in interface outsideaccess-group dmz_acl in interface dmz!route outside 0.0.0.0 0.0.0.0 198.51.100.1 1
马格纳斯MortensenCisco TAC工程师
此文档是否有帮助?
本文档适用于以下产品用户名：ljx6761
文章数：12
评论数：19
访问量：22124
注册日期：
阅读量：1297
阅读量：3317
阅读量：452011
阅读量：1136609
51CTO推荐博文
发一个cisco asa5505 nat上网的基本配置.: Saved
: ASA Version 7.2(2)
! hostname ASA5505
enable password STypWFenN9FPWnMW
! interface Vlan1
//默认vlan
security-level 100
ip address 192.168.1.1 255.255.255.0
! interface Vlan2
//内网192.168.5.0/24
nameif inside
security-level 0
ip address 192.168.5.1 255.255.255.0
! interface Vlan3
nameif outside
security-level 0
ip address 10.156.20.132 255.255.255.240
! interface Ethernet0/0
switchport access vlan 2
! interface Ethernet0/1
switchport access vlan 3
! interface Ethernet0/2
switchport access vlan 2
! interface Ethernet0/3
! interface Ethernet0/4
! interface Ethernet0/5
! interface Ethernet0/6
! interface Ethernet0/7
! passwd Q0j7JX5x9Y4w16J6 encrypted
ftp mode passive
same-security-traffic permit inter-interface
access-list 101 extended permit ip 192.168.5.0 0.0.0.255 any //匹配192.168.5.0/25这个网段到any
access-list 101 extended permit icmp any any //匹配icmp,any to any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
//全局转换地址outside
nat (inside) 1 0.0.0.0 0.0.0.0 //转换全部inside地址
access-group 101 in interface inside //将ACL101应用到inside区域
route outside 0.0.0.0 0.0.0.0 10.156.20.129 1 //默认路由
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username admin-fir password 2RjJaGjOpINC.T4R encrypted privilege 15
http server enable
no snmp-server location
no snmp-server
snmp-server enable traps snmp authentication linkup linkdown coldstart
no service password-recovery
telnet 0.0.0.0 0.0.0.0 inside
//允许inside区域any telnet
telnet timeout 60
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
console timeout 0
dhcpd auto_config outside
! dhcpd address 192.168.5.10-192.168.5.100 inside //dhcp服务配置
dhcpd dns 202.96.209.5 210.22.70.3 interface inside
dhcpd enable inside
! ! class-map inspection_default
match default-inspection-traffic
! ! policy-map type inspect dns preset_dns_map
parameters
message-length maximum 51
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
! service-policy global_policy global
prompt hostname context
Cryptochecksum:a25cde3f4cffdd2c71caacbc20c80e79
本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)用户名：iLync
文章数：135
评论数：47
访问量：84168
注册日期：
阅读量：1297
阅读量：3317
阅读量：452011
阅读量：1136609
51CTO推荐博文
650) this.width=650;" border="0" src="/photos/attached/fcd10f17e2ff295ff143.jpg" height="313" />一共有6种NAT,一个流量过来，匹配的顺序，优先级别从低到高依次是：动态pat,动态nat，策略nat，静态pat,静态nat，免疫nat此实验inside表示接口安全级别高，outside表示接口安全级别低。相关命令：Show&xlate&detail显示转换槽的内容Show&connection&detail说明了活跃的连接的连接的数目和信息Show&local-host&显示xlate和connection及一些详细的网络信息注意：动态转换是流触发，必须有一个流量通过ASA，转换槽中才会出现（show&xlate）静态转换:命令一经设定，转换槽里就存在了，不属于流触发；另静态的翻译都是双向的翻译。实验目的：验证各种nat执行的优先顺序实验步骤：此实验按级别低的开始做，优先级别高的做好后，会覆盖掉之前低级别的nat。小编推荐：【】&1.动态PATiLync(config)#&nat&(inside)&1&192.168.1.0&255.255.255.0iLync(config)#&global&(outside)&1&10.1.1.11INFO:&Global&10.1.1.11&will&be&Port&Address&Translated2.动态NATiLync&(config)#&nat&(inside)&1&192.168.1.0&255.255.255.0iLync&(config)#&global&(outside)&1&10.1.1.12-10.1.1.20动态PAT,动态NAT一起使用的情况：IP地址不够用，前一部分用NAT,最后一个IP用PAT注意：outside被翻译的时候，条件nat(outside)&x&x.x.x.x&outside，最后的关键字outside不能丢，少了这个关键字，这条命令不起作用3.策略NATiLync(config)#&access-li&in-out&per&ip&ho&1.1.1.1&ho&10.1.1.1iLync(config)#&nat&(inside)&3&access-list&in-outiLync(config)#&global&(outside)&3&10.1.1.21INFO:&Global&10.1.1.21&will&be&Port&Address&Translated注意1：这里如果只写nat(inside)10，不写global则认为没有地址池就会把包丢掉。注意2：Outside被翻译的时候，条件要加关键字outside。4.静态PATstatic&(in,out)&tcp&1.1.1.40&23&2.2.2.2&23注意：不可以从inside作测试，因为inside出去的时候是随机的端口号，匹配不上这条语句，要从outside做测试；写完静态nat后不能写入静态的pat。5.静态NATiLync(config)#&static&(inside,outside)&10.1.1.30&192.168.1.1括号里前面的接口inside与后面的Ip192.168.1.1是一对，即一个流量从Inside过来，去往outside被翻译，源是192.168.1.1被翻译成10.1.1.30；因为static是双向的翻译，所以Outside方向来个流量要去目的地192.168.1.1，它必须指的目的地是10.1.1.30，到了ASA上，会被翻译成192.168.1.1&。6.NAT&免疫Access-list&111&permit&ip&host&2.2.2.2&host&1.1.1.2nat&(inside)&0&access-list&111ACL源是本地的，发起方的。好处，外面可以主动访问里面.Access-list&100&permit&ip&host&1.1.1.2&host&2.2.2.2Nat（outside）0&access-list&100&outside,此处的Outside不能丢，道理同上。7.静态nat之间优先级比较static(in,out)&x.x.x.0&x.x.x.0&net&255.255.255.0static(in,out)&x.x.x.x&x.x.x.x&net&255.255.255.255不是看掩码翻译，是靠谁写在前谁写在后8.动态nat之间的优先级比较nat(inside)&Y&x.x.x.0&net&255.255.255.0nat(inside)&Y&x.x.x.x&net&255.255.255.255掩码长的优先9.注意点：global&(outside)&Y&x.x.x.0&net&255.255.255.0例：iLync&(config)#&global&(outside)&3&10.1.2.0&net&255.255.255.0INFO:&Global&10.1.2.0&will&be&Port&Address&Translated把10.1.2.0当成一个IP来用了，并不是一个网段，这里是PAT。10.策略nat，掩码长度的优先次序关系access-list&acl1&extended&permit&ip&host&192.168.1.1&host&10.1.1.1&access-list&acl2&extended&permit&ip&192.168.1.0&255.255.255.0&10.1.1.0&255.255.255.0&nat&(inside)&2&access-list&acl2nat&(inside)&1&access-list&acl1global&(outside)&2&10.1.2.1global&(outside)&1&10.1.1.10测试：r1#ping&10.1.1.1iLync(config)#&sh&xlate&1&in&use,&2&most&usedPAT&Global&10.1.2.1(1)&Local&192.168.1.1&ICMP&id&5&//nat条目谁在前就先翻译谁11.地址重叠实验目的：验证当有nat转换时，只看接口路由不考虑全局路由实验要求：在ASA上将R1的10.0.0.0转成170.0.0.0在ASA上将R2的10.0.0.0转成180.0.0.0要求两个10.0.0.1互通---本文档由联科教育（）提供，如有问题请咨询我们的专家团队！---本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)