asa 防火牆上nat的基本原理與路由器上一樣,只不過只用定義一下內網位址和進行轉換後的位址就可以了,不需要進入介面再應用了。基本上兩條命令即可完成一種nat的配置。asa上的nat有動態nat、動態pat、靜態nat和靜態pat四種型別。
1、動態nat(可以說是一對一,但不是靜態的,一般不使用動態nat)的配置步驟如下:
將內網10.0.0.0/8進行nat轉換為170.16.1.100~172.16.1.200:
ciscoasa(config)# nat (inside) 1 10.0.0.0 255.0.0.0 #定義需要進行nat的內網位址
ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200 #定義全域性位址池,
ok了。
ciscoasa(config)# show xlate detail #在進行第一次通訊後,
即可通過該命令來檢視nat轉換資訊
若是要為inside區域內的所有網段實施動態nat,配置命令如下:
ciscoasa(config)# nat (inside) 1 0 0 #0 0 表示任意網段
2、動態pat(多對一,節省公網ip)的配置步驟如下:
將20.0.0.0/8網段使用動態pat轉換為172.17.10.10
ciscoasa(config)# nat (inside) 2 20.0.0.0 255.0.0.0 #定義需要進行nat的內網位址
ciscoasa(config)# global (outside) 2 172.17.10.10 #定義全域性位址,ok了
ciscoasa(config)# global (outside) 2 inte***ce
3、靜態nat(一對一,常用來對dmz區域的伺服器實施這種nat)的配置步驟如下:
ciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1 #當dmz區域
的192.168.1.1與outside通訊時,
使用的位址是172.16.1.201,也就是說,想在外網訪問192.168.1.1這個伺服器上的服務,
那麼需要使用172.16.1.201作為目的位址。
下面配置一下acl,使外網可以成功訪問到192.168.1.1的服務。
ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201
#允許所有主機訪問對映位址172.16.1.201
ciscoasa(config)# access-group out_to_dmz in int outside #應用到outside介面
4、配置靜態pat(與路由器上的埠對映類似),配置如下:
#dmz區域的192.168.1.1伺服器80埠與outside進行通訊時,
使用172.16.1.201的http埠
ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 23 192.168.1.10 23
#當dmz區域的192.168.1.10伺服器23埠與外網進行通訊,
使用的是172.16.1.201位址的23埠
ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201
#配置acl,若對安全要求比較高,由於上述兩個服務都是使用tcp協議,
這裡acl規則中的ip命令字,可以改為tcp。
ciscoasa(config)# access-group out_to_dmz in int outside靜態pat已經配置好了,現在外網使用者在不同的軟體平台,使用172.16.1.201作為目的地,即可訪問到不同的服務。(同理,若是無法訪問成功,那麼就再加一條acl:允許所有主機訪問伺服器的真實ip即可,兩條acl名稱一樣,同樣應用到outside介面。)
經過以上配置可以看出,需要注意配置的語法,順序有些變化,而且,在配置靜態pat時,可以指定服務名稱,也可以直接指定埠號,個人建議還是直接指定埠號靠譜些
5、nat控制與nat豁免
asa從7.0版本開始提供了乙個nat控制開關,即nat-control命令,但預設是禁用nat控制(no nat-control)。若在全域性模式下執行命令nat-control,則代表開啟了nat控制,開啟nat控制的作用大概就是只允許進行過nat轉換的位址傳送報文通過防火牆,沒有配置nat轉換的則不允許穿越防火牆,個人感覺並不太實用,還是寫下來,做個筆記吧。
那麼開啟nat控制後,沒有配置nat的位址想要通過防火牆來進行通行,那麼還可以配置nat豁免。
nat豁免的大概意思就是經過豁免的位址不必經過nat位址轉換即可通過防火牆進行通訊。
舉個栗子:
在asa開啟了nat控制時,dmz區域有192.168.1.0網段,當inside區域的10.0.0.0網段沒有配置nat,還要與dmz區域的192.168.1.0進行通訊,那麼,就需要用到了nat豁免,配置命令如下:
ciscoasa(config)#access-list nonat extended permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
ciscoasa(config)#nat (inside) 0 access-list nonat
CISCO ASA8 3 之後的NAT配置對比
cisco asa8.3之後使用 network object 來配置nat 一.dynamic nat 動態nat,動態一對一 傳統配置方法,如 nat inside 1 172.16.86.0 255.255.255.0 global outside 1 200.1.1.3 200.1.1.99...
開啟Cisco ASA的ssh管理配置
配置cisco asa開啟ssh管理 ciscoasa config crypto key generate rsa modulus 1024 生成金鑰對,預設長度為1024,指定rsa係數的大小,這個值越大,產生rsa的時間越長。ciscoasa config ssh 0.0.0.0 0.0.0....
NAT原理與配置 靜態 NAT
驗證與測試 配置nat之前,在r1的 gi0 0 1 介面抓包 pc 1 ping 200.1.1.1 不通 抓取的 icmp 報文中,源ip位址為 10.1.1.1 配置nat之後,在r1的 gi0 0 1 介面抓包 pc 1 ping 200.1.1.1 通 抓取的 icmp 報文中,源ip位址...