ASA的NAT配置
1.nat-control命令解释
pix7.0版本前默认为nat-control,并且不可以更改
pix7.0版本后默认为nonat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与pix7.0版本前同。
2.配置动态nat
把内部网段:172.16.25.0/24 转换成为一个外部的地址池
200.1.1.1-200.1.1.99
NAT配置命令
ASA(config)#nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段)
ASA(config)#global (outside) 1 200.1.1.1-200.1.1.99(定义地址池)
注意:id必须匹配,并且大于1,这里先使用1
检测命令:
ASA(config)#show run nat
ASA(config)#show runglobal
ASA(config)#showxlate
ASA(config)#showconnect
3.配置PAT
把内部网段:172.16.26.0/24 转换成为一个外部的一个地址:200.1.1.149
NAT配置命令
ASA(config)#nat (inside) 2 172.16.26.0 255.255.255.0(定义源网段)
ASA(config)#global (outside) 2 200.1.1.149(定义地址)
ASA(config)#global (outside) 2 interface(或者直接转换为外网接口地址)
注意:id必须匹配,并且大于2,这里先使用2
4.配置staticNAT
把内部网段:172.16.27.27/24 转换成为一个外部的一个地址:200.1.1.100
NAT配置命令
ASA(config)#static (inside,outside) 200.1.1.100 172.16.27.27
命令格式是内外对应的,红色的接口和红色的地址对应。
实际工作中的应用:
static主要是为内部服务器提供服务,如:web、ftp、telnet、mail等等。
access-list WEBpermint tcp any host 200.1.1.100 eq80
access-list WEBin interface outside 应用ACL
ASA(config)#static (inside,outside) tcp200.1.1.100 80 172.16.27.2780
ASA(config)#static (inside,outside) tcpinterface 80 172.16.27.2780
5.防止DOS攻击
防止外部对172.16.27.27/24 的攻击
ASA(config)#static (inside,outside) 200.1.1.100 172.16.27.27 tcp100 1000 udp1000
tcp 100 1000:表示正常tcp连接最大数量为100,半开连接最大的数量为1000。
udp 1000:表示正常udp连接最大的数量为1000,具体值设置为多少需要按工作中而定。
6.route配置
网关:200.1.1.254LAN的网关:172.16.25.2/24
ASA(config)# route outside 0 0200.1.1.254
ASA(config)# route inside 0 0172.16.25.25.2
ASA(config)# show route
ASA(config)# show runrout
7.有关NAT转换的匹配顺序
(1).nat 0
(2).static(inside,outside)
(3).static (inside,outside) tcp xxx.xxx.xxx.xxx 80xxx.xxx.xxx.xxx 80
(4).nat 1、2、3、4、、、