關於network object nat的配置
動態NAT的配置
1.配置network object和network object group------用來匹配網絡中需要轉化的地址(這裏包括需要轉換的以及地址池的配置)
object network cisco1
range 100.100.100.0 100.100.100.100
object network cisco2
subnet 2.2.2.0 255.255.255.0
這裏可以先配置2個network object
然後配置network object-group來進行相應的匹配,把各種object進行疊加
object-group network cisco
network-object object cisco1
network-object object cisco2
network-object host 101.101.101.1
這個時候可以調用
2.再次定義一個object network 用來定義轉化後的地址,在這裏就是所謂的配置地址池
Object network my-host-obj1
3.在2中定義一個subnet的10.1.1.0 255.255.255.0用來定義真實的地址,注意subnet參數不能用在定義地址池中
4.配置NAT來配置
nat (inside,outside) source dynamic cisco mapped
實際配置和文檔有一定出入,在配置中source dynamic是關鍵字
cisco指的是你要進行轉換的地址
mapped指的是你要轉化後的地址
5.NAT轉化後XLATE的輸出
ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:2.2.2.2 to outside:1.1.1.56 flags i idle 0:00:04 timeout 3:00:00
6.特例,配置動態NAT,使用完地址後進行PAT,PAT再用完用outside接口的ip地址
object network mapped2
range 1.1.1.1 1.1.1.2
object network mapped3
host 1.1.1.9
object-group network mapped4
network-object object mapped2
network-object object mapped3
------------------------------------------------------------定義地址池 1.1.1.1 1.1.1.2 先使用,用完把1.1.1.9進行PAT
object network zhangjie
subnet 2.2.2.0 255.255.255.0
-----------------------------------------------------------定義要轉換的地址
nat (inside,outside) source dynamic zhangjie mapped4 interface-----------------------定義NAT轉換,interface指 用完PAT後使用outside的地址
ASA# show xlate
4 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:2.2.2.2 to outside:1.1.1.1 flags i idle 0:01:09 timeout 3:00:00
NAT from inside:2.2.2.100 to outside:1.1.1.2 flags i idle 0:00:27 timeout 3:00:00
ICMP PAT from inside:2.2.2.101/25 to outside:1.1.1.9/37539 flags ri idle 0:00:03 timeout 0:00:30
可以發現最後實際效果
PAT的配置和使用
1.和之前的ASA版本不同,在使用NAT的時候如果對於1-1023端口流量很多的時候,你可以專門一個端口範圍用來對應一些特定的應用。
2.如果一個PAT的地址池被使用於2個rule,那個這2個rule的必須相同的選項。
3.如果使用了一個接口作爲PAT,那麼就不可以使用extended pat
4.配置
object network PAT------定義PAT的地址池
range 1.1.1.11 1.1.1.100
object network PATUSE------定義要轉化的接口的IP地址
subnet 2.2.2.0 255.255.255.0
nat (inside,outside) source dynamic PATUSE pat-pool PAT-----這個時候定義
靜態NAT的配置
靜態NAT包括Ip地址;還包括ip地址和端口的靜態轉換
傳統靜態NAT的配置
object network static
host 1.1.1.101
object network staticx
host 2.2.2.101
nat (inside,outside) source static staticx static
基於端口的靜態NAT
object network staticx
host 2.2.2.101
object service tcp21
service tcp destination eq telnet
object service tcp23use
service tcp destination eq telnet
定義service來確定要轉化的端口
nat (inside,outside) source static staticx interface service tcp21 tcp23use
定義了端口(服務)的轉換
Identity NAT
定義要轉換的ip地址
object network staticx
host 2.2.2.101
定義轉換後的ip地址
object network static112
host 2.2.2.101
nat (inside,outside) source static staticx static112