Cisco ASA 应用NAT配置详解

ASA 防火墙上NAT的基本原理与路由器上一样,只不过只用定义一下内网地址和进行转换后的地址就可以了,不需要进入接口再应用了。基本上两条命令即可完成一种NAT的配置。ASA上的NAT有动态NAT、动态PAT、静态NAT和静态PAT四种类型。

1、动态NAT(可以说是一对一,但不是静态的,一般不使用动态NAT)的配置步骤如下:

将内网10.0.0.0/8进行NAT转换为170.16.1.100~172.16.1.200:

ciscoasa(config)# nat (inside) 1 10.0.0.0 255.0.0.0                 #定义需要进行NAT的内网地址

ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200           #定义全局地址池,
OK了。

ciscoasa(config)# show xlate detail                     #在进行第一次通信后,
即可通过该命令来查看NAT转换信息

上述配置中的1为nat-id,定义NAT转换时,需要nat-id匹配,才可进行转换。

若是要为inside区域内的所有网段实施动态NAT,配置命令如下:

ciscoasa(config)# nat (inside) 1 0 0 #0 0 表示任意网段

2、动态PAT(多对一,节省公网IP)的配置步骤如下:

动态PAT与路由器上的PAT相同,即可以多个私网地址转换为一个公网地址,也可直接使用outside接口。配置如下:

将20.0.0.0/8网段使用动态PAT转换为172.17.10.10

ciscoasa(config)# nat (inside) 2 20.0.0.0 255.0.0.0          #定义需要进行NAT的内网地址

ciscoasa(config)# global (outside) 2 172.17.10.10             #定义全局地址,OK了

也可以将20.0.0.0/8这个网段直接使用outside接口的IP地址进行转换,配置命令如下:

ciscoasa(config)# global (outside) 2 interface

3、静态NAT(一对一,常用来对DMZ区域的服务器实施这种NAT)的配置步骤如下:

ciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1        #当DMZ区域
的192.168.1.1与outside通信时,
使用的地址是172.16.1.201,也就是说,想在外网访问192.168.1.1这个服务器上的服务,
那么需要使用172.16.1.201作为目的地址。

需要注意的是,在进行NAT转换时,不止需要配置地址转换,ACL也会影响是否能够通信成功。

下面配置一下ACL,使外网可以成功访问到192.168.1.1的服务。


ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201
#允许所有主机访问映射地址172.16.1.201

ciscoasa(config)# access-group  out_to_dmz in int outside   #应用到outside接口

个人在实验过程中,在进行以上的ACL配置后,会出现访问不成功的时候,再继续配置一条允许所有主机访问服务器的真实IP即可,两条ACL名称一样,同样应用到outside接口。

4、配置静态PAT(与路由器上的端口映射类似),配置如下:

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
#DMZ区域的192.168.1.1服务器80端口与outside进行通信时,
使用172.16.1.201的HTTP端口

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 23 192.168.1.10 23
#当DMZ区域的192.168.1.10服务器23端口与外网进行通信,
使用的是172.16.1.201地址的23端口

ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201
#配置ACL,若对安全要求比较高,由于上述两个服务都是使用TCP协议,
这里ACL规则中的ip命令字,可以改为tcp。

ciscoasa(config)# access-group out_to_dmz in int outside

静态PAT已经配置好了,现在外网用户在不同的软件平台,使用172.16.1.201作为目的地,即可访问到不同的服务。(同理,若是无法访问成功,那么就再加一条ACL:允许所有主机访问服务器的真实IP即可,两条ACL名称一样,同样应用到outside接口。)

经过以上配置可以看出,需要注意配置的语法,顺序有些变化,而且,在配置静态PAT时,可以指定服务名称,也可以直接指定端口号,个人建议还是直接指定端口号靠谱些

原文地址:https://blog.51cto.com/14154700/2385798

时间: 2024-10-09 03:27:59

Cisco ASA 应用NAT配置详解的相关文章

华为,NAT配置详解

实验拓扑 PC1属于VLAN10,PC2属于VLAN20 PC1 IP:192.168.10.254/24                 R1 G0/0/0 IP:12.0.0.1/24 PC2 IP:192.168.20.254/24                 R2 G0/0/0 IP: 12.0.0.2/24 SW1 VLAN1 IP:192.168.1.10/24 SW2 VLAN1 IP:192.168.1.20/24 实验内容 R1模拟内网出口路由,R2模拟运营商设备 1.在R

使用LVS实现负载均衡原理及安装配置详解

转:http://www.cnblogs.com/liwei0526vip/p/6370103.html 使用LVS实现负载均衡原理及安装配置详解 负载均衡集群是 load balance 集群的简写,翻译成中文就是负载均衡集群.常用的负载均衡开源软件有nginx.lvs.haproxy,商业的硬件负载均衡设备F5.Netscale.这里主要是学习 LVS 并对其进行了详细的总结记录. 一.负载均衡LVS基本介绍 LB集群的架构和原理很简单,就是当用户的请求过来时,会直接分发到Director

LVS配置详解

一.LVS系统组成 前端:负载均衡层 –      由一台或多台负载调度器构成 中间:服务器群组层 –      由一组实际运行应用服务的服务器组成 底端:数据共享存储层 –      提供共享存储空间的存储区域 二.LVS术语 Director Server:调度服务器,将负载分发到RealServer的服务器 Real Server:真实服务器,真正提供应用服务的服务器 VIP:虚拟IP地址,公布给用户访问的IP地址 RIP:真实IP地址,集群节点上使用的IP地址 DIP:Director连

keepalived的配置详解(非常详细)

keepalived的配置详解(非常详细) 2017-01-22 15:24 2997人阅读 评论(0) 收藏 举报  分类: 运维学习(25)  转载自:http://blog.csdn.net/u010391029/article/details/48311699 1. 前言 VRRP(Virtual Router Redundancy Protocol)协议是用于实现路由器冗余的协议,最新协议在RFC3768中定义,原来的定义RFC2338被废除,新协议相对还简化了一些功能. 2. 协议说

PPPOE配置详解

PPPOE配置: vpdn enable    //开启虚拟专用拨号网络(vpdn) vpdn-group 10    //建立一个vpdn组10 request-dialin    //初始化一个vpnd ! interface f4    //配置路由器ADSL MODEM接口 no ip address pppoe enable    //允许以太接口运行pppoe pppoe-client dial-pool-number 10    //将以太接口的pppoe客户端加入拨号池 10(不

iptables防火墙配置详解

iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. filter负责过滤数据包,包括的规则链有,input,output和forward: nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output: mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING: inpu

使用 LVS 实现负载均衡原理及安装配置详解

使用 LVS 实现负载均衡原理及安装配置详解 来源:肖邦linux 发布时间:2017-02-19 阅读次数:106 0 负载均衡集群是 load balance 集群的简写,翻译成中文就是负载均衡集群.常用的负载均衡开源软件有nginx.lvs.haproxy,商业的硬件负载均衡设备F5.Netscale.这里主要是学习 LVS 并对其进行了详细的总结记录. 一.负载均衡LVS基本介绍 LB集群的架构和原理很简单,就是当用户的请求过来时,会直接分发到Director Server上,然后它把用

ASA LAB-ASA NAT配置大全

ASA LAB-ASA NAT配置大全 两种NAT配置方式 : 1- Auto(object)NAT 2- Twice NAT NAT分类 : Static nat Dynamic nat Static PAT Dynamic PAT Nat exmption 今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步 实验: 先看下 ASA的基本配置和环境 ciscoasa# sh run : Saved : ASA Version 8.4(2) ! hostname ciscoasa

Linux学习之路-DNS原理-BIND配置详解

DNS原理-BIND配置详解 DNS系统概述 DNS系统作用     a) DNS,简单地说,就是Domain Name System,翻成中文就是"域名系统".主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换.      b) DNS提供正向解析和反向解析          正向解析:根据主机名称(域名)查找对应的IP地址.          反向解析:根据IP地址查找对应的主机域名 DNS系统结构  系统结构原理  目前DNS采用的是分布