问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

ASA9.2版本-地址转换

发布网友 发布时间:2023-01-10 01:54

我来回答

1个回答

热心网友 时间:2023-10-24 16:14

一、简易实验拓扑

show xlate #查看nat转换表项,默认保持3小时

二、NAT类型
2.1、动态一对一转换(*地址足)
此场景适用于私网用户上公网, 公网地址充足的情况
传统配置(8.3前)
ciscoasa(config)# nat (in) 1 192.168.40.0 255.255.255.0 #内网IP
ciscoasa(config)# global (out) 1 202.1.1.1-202.1.1.10 #公网IP
新版本(8.4以后)
ciscoasa(config-if)# object network nat-pool
ciscoasa(config-network-object)# rang 202.1.1.1 202.1.1.10
ciscoasa(config-network-object)# object network real-src
ciscoasa(config-network-object)# subnet 192.168.40.0 255.255.255.0
ciscoasa(config-network-object)# nat (in,out) dynamic nat-pool
配置多个rang,“拼接”出一个较大的地址池
ciscoasa(config)# object network nat-pool-1
ciscoasa(config-network-object)# rang 202.1.1.1 202.1.1.10
ciscoasa(config-network-object)# object network nat-pool-2
ciscoasa(config-network-object)# rang rang 202.1.1.100 202.1.1.110
ciscoasa(config)# object-group network nat-pools
ciscoasa(config-network-object-group)# network-object object nat-pool-1
ciscoasa(config-network-object-group)# network-object object nat-pool-2
ciscoasa(config-network-object-group)# exit
ciscoasa(config)# object network real-src
ciscoasa(config-network-object)# subnet 192.168.40.0 255.255.255.0
ciscoasa(config-network-object)# nat (in,out) dynamic nat-pools #这边是转换成为object-group的
说明:
1、动态转换中,地址池的object定义,不允许使用subnet方式,是考虑到地址池必须避开已占用地址。
2、动态转换中,用到地址池的地址是随机抽取的,但多个object拼接成object-group的情况下,会用完第一个object中rang范围的全部地址,才会用第二个object中的地址。

2.2、动态PAT(多对一)
适用于私网用户上公网,公网地址稀缺。基本原理是对于TCP/UDP协议,通过端口号区分会话,对于ICMP协议,通过ID号区分。
PAT转换表项的回收时间只有30秒。原因是PAT地址本来就稀缺,闲置无流量一段时间后,应将复用资源尽快收回。
传统配置(8.3前)
nat (inside) 1 192.168.40.0 255.255.255.0
global(outside) 1 202.1.1.2 #*地址
新版本(8.4以后)
ciscoasa(config)# object network pat-1
ciscoasa(config-network-object)# host 202.1.1.2
ciscoasa(config-network-object)# object network real-src
ciscoasa(config-network-object)# subnet 192.168.40.0 255.255.255.0
ciscoasa(config-network-object)# nat (in,out) dynamic pat-1

说明:
subnet 0.0.0.0 .0.0.0.0 表示内网所有的地址
nat (inside,outside) dynamic 202.1.1.2 #当映射地址为单一地址的时候,也可以直接PAT地址
nat (inside,outside) dynamic interface #当公网地址稀缺到只有一个地址,可以直接复用接口地址

多个地址做PAT复用地址:
ciscoasa(config)# object network PAT
ciscoasa(config-network-object)# RANG 202.1.1.5 202.1.1.10
ciscoasa(config-network-object)# object network real-src
ciscoasa(config-network-object)# subnet 192.168.40.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic pat-pool PAT
说明:
nat (inside,outside) dynamic pat-pool PAT 后跟round-robin,表示多个PAT地址轮流使用,而不是耗尽第一个才用第二个

2.3、先动态一对一,地址不够再PAT
传统配置(8.3前)
ciscoasa(config)# nat (in) 1 192.168.40.0 255.255.255.0
ciscoasa(config)# global (out) 1 202.1.1.2-202.1.1.8
ciscoasa(config)# global (out) 1 202.1.1.10
新版本(8.4以后)
ciscoasa(config)# object network nat-pool
ciscoasa(config-network-object)# rang 202.1.1.2 202.1.1.8
ciscoasa(config-network-object)# object network pat-1
ciscoasa(config-network-object)# host 202.1.1.9
ciscoasa(config-network-object)# object network real-src1
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (in,out) dynamic nat-pool
ciscoasa(config-network-object)# object network real-src2
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (in,out) dynamic pat-pool pat-1
因为这里object network的名称会影响到最终排序,因此auto-nat自动排序时会将一对一转化规则排在PAT 之前,如果顺序不对,要通过修改object名字来影响。

2.4、静态一对一转换(外到内)
此场景适用于隐藏真实的内网地址,可用于私网服务器对公网用户提供服务,利用访问控制列表来控制具体的端口。
传统配置(8.3前)
ciscoasa(config)# static (dmz,out) 202.100.1.101 192.168.40.3
新版本(8.4以后)
ciscoasa(config)# object network map
ciscoasa(config-network-object)# host 202.1.1.8
ciscoasa(config-network-object)# object network real-src
ciscoasa(config-network-object)# host 192.168.40.3
ciscoasa(config-network-object)# nat (dmz,out) static map
ciscoasa(config-network-object)# access-list outside permit tcp any host 192.168.40.3 eq 23
ciscoasa(config)# access-group outside in in outside
备注:
8.4版本后都是放行原地址的流量,源端口。
公网用户通过map地址来访问到内网的server,流量始发是从outside进入,dmz离开,属于inbound流量,需要通过ACL放行。

2.5、静态端口转换
2.5.1、使用自定义公网IP
适用于私网服务器对公网用户提供具体服务,私网服务器只讲相关端口映射到公网,映射后的端口和真实端口可以相同也可以不同。
传统配置(8.3前)
static (inside,outside) tcp 202.100.1.101 2323 172.16.1.1 23
新版本(8.4以后)
ciscoasa(config)# object network map
ciscoasa(config-network-object)# host 202.100.1.101
ciscoasa(config-network-object)# object network real-src
ciscoasa(config-network-object)# host 172.16.1.1
ciscoasa(config-network-object)# nat (dmz,out) static map service tcp 23 2323 #一个object下面只能调用一条nat

2.5.2、复用公网接口地址
如果映射地址复用公网接口地址,同时占用了ASA自身的某个服务端口的话,但会报错,阻止自身服务端口被映射到内网服务器,比如:
nat(dmz,outside) static interface service tcp 23 23 #全局下敲的命令

2.5.3、多个端口映射
注:如果server有多个服务端口需要映射到公网同一个地址上,只能分别写
object network real-telnet
host 192.168.40.3
nat (dmz,outside) 202.100.1.101 service tcp 23 3023
object network real-www
host 192.168.40.3
nat (dmz,outside) 202.100.1.101 service tcp 80 3080

2.6、策略NAT
此场景适用于私网地址上公网,根据访问目的地址的不同,要翻译为不同的地址池的情况。
由于自动nat只能基于源地址做nat规则,内有能够限定目的地址的功能,所以只能手动实现。
传统配置(8.3前)
access-list inside1 permit ip 192.168.1.0 255.255.255.0 host 128.73.0.1 #匹配感兴趣流
access-list inside2 permit ip 192.168.1.0 255.255.255.0 host 128.73.0.2
nat (inside) 1 access-list inside1 #内到外的nat不写子网,写匹配的规则
nat (inside) 2 access-list inside2
global (outside) 1 202.1.1.11 #匹配inside1的下一跳指向
global (outside) 2 202.1.1.12
新版本(8.4以后)
ciscoasa(config)# object network det-1
ciscoasa(config-network-object)# host 128.73.0.1
ciscoasa(config-network-object)# object network det-2
ciscoasa(config-network-object)# host 128.73.0.2
ciscoasa(config-network-object)# object network pat-1
ciscoasa(config-network-object)# host 202.1.1.11
ciscoasa(config-network-object)# object network pat-2
ciscoasa(config-network-object)# host 202.1.1.12
ciscoasa(config-network-object)# object network real-src
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
注:手动NAT是在全局下敲的。
ciscoasa(config)# nat (in,out) source dynamic real-src pat-1 destination static det-1 det-1
ciscoasa(config)# nat (in,out) source dynamic real-src pat-2 destination static det-2 det-2
解释:当real-src去访问det-1时,源地址转换为pat-1区访问det-1
(当流量从inside接口进,outside接口出,源地址为real-src,目的地址为det-1时,将源地址动态转换为pat-1,目的地址不变)

2.7、双向NAT(源目同时NAT)
既转换源地址,也转换目的地址
传统配置(8.3前)
access-list inside1 permit ip host 192.168.1.0 host 202.100.1.10
nat (inside) 1 access-list inside1
global (outside) 1 202.100.1.11
static (outside,inside) 192.168.1.1 202.100.1.11
新版本(8.4以后)
object network dst
host 202.100.1.21
object network map-src
host 202.100.1.11
object network real-src
host 192.168.1.1
object network map-dst
host 172.16.1.1
nat (inside,outside) source static real-src map-src destination static map-dst dst
就是real-src去访问map-dst的时候
(192.168.1.1访问172.16.1.1)
转换为map-src去访问dst
(202.100.1.1访问202.100.1.21)
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
诺基亚610怎么把手机上的照片拖到电脑 我同步zune后 只显示了电脑上的... 怎么把610手机里面的拍的照片传到电脑上? 波茨坦公告简介 波茨坦会议波茨坦公告 注意:公文中易忽略的10个标点符号错误,早知道使你的材料更严谨 最近想买个笔记本主要聊天、听音乐、看电影不玩大型游戏大型软件3000左 ... ...一台笔记本,价位4000-5000,平常主要看电影,偶尔dota,有合适的推荐... 我想买台联想笔记本电脑,价格2500到3000的!主要是玩问道游戏.看看电影... 求推荐联想笔记本,只是上网,看电影,玩简单游戏,价位3000左右 我想买个笔记本,主要是玩玩游戏,聊聊天,看看电影的,没有什么要求,就是... 求助ciscoASA5525-k9 NAT问题 秋季养阴清肺茶的8种配方 润肺止咳适合喝的茶 读《我喜欢你,狐狸》有感作文 致狐狸的现代诗 高一政治必修一第一单元思维导图 河南各地区车牌号简称 洗牙价格是什么 泰康医疗保险三万自费可以报销多少 惠通学子买票优惠多少 沙棘精粹粉和普通沙棘粉的区别 沙棘粉是沙棘果苷磨出来的吗 光电两用热水器有太阳自动加热吗 卡西欧计算器可以用lr1130吗 金骏眉茶叶如何挑选 建筑力学就业方向? 立讯精密的股票分析?立讯精密东方股吧?立讯精密股票最新? gb11911和dl/t502.25-2006 的区别 有没有替代qc/t502_1999的标准 坦克世界T502学什么技能好 本人T50人员已经100 还没学技能马上出502 求各位大神指点! 有关cisco asa 5510 acl和nat的问题,请版主或是达人看看 什么是主人翁精神? 如何在同一部手机上同时登陆两个 怎样在一台手机上登录两个 一个手机怎么登录两个 关于元旦的作文关于元旦的作文700字怎么写 梦见房屋漏水了是什么寓意 装修房子不建议贴墙布 千兆网卡是国内版好,还是国际版好? 梦见开车在结冰的路面行走 对于可疑交易的管理办法 城商行支付系统处理业务的方式是 会扣什么费用 小米手机7天内可以无理由退货吗 小米能白嫖多少次七天无理由退货 小米官网买的手机第七天申请退货第八天寄快递可以吗 请问我净身高170体重114,平时穿75B,腰围72,想买维多利亚的秘密连体泳衣,该买L还是XL 维多利亚的秘密(Victoria's Secret)你们都是在哪里买到的? 你们知道在国内那些商场或者地方有销售吗? 广州哪里有卖正品维多利亚的秘密的泳衣 企业融资对企业有什么影响? 微信支付没有付款成功怎么办?
懂视IT 51dongshi.com 版权所有
Copyright © 2019-2024