思科ASA防火牆8.3版與8.4版NAT的配置方法對比
現在思科ASA防火牆已經升級到8.4,從8.3開始很多配置都有顛覆性的不同,特別是NAT配置很不一樣,使用了object /object-group的新方式
場景一:內網流量訪問外網時都轉換爲接口的公網地址,此環境適用於僅有一個公網地址的小型辦公室。
object network inside_outside subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface | 原有的語法 nat (inside) 1 0 0 global (outside) 1 interface
|
場景二:內網流量訪問外網時都轉換爲特定的公網地址,此環境適用於的小型辦公室或分支辦公室。
object network inside_outside subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic 200.0.0.1 | 原有的語法 nat (inside) 1 0 0 global (outside) 1 200.0.0.1 |
場景三:對於有大量公網地址用戶,常應用在運營商或者公司內網,動態一對一轉換
object network inside-outside-pool range 200.0.0.100 200.0.0.200 object network inside-outside-all subnet 0.0.0.0 0.0.0.0 nat (inside,outside) static inside-outside-trans | 原有的語法 nat (inside) 1 0 0 global (outside) 1 200.0.0.100 200.0.0.200
|
場景四:對於有大量公網地址用戶,常應用在運營商或者公司內網,爲防止地址用完可以配置一個PAT和interface (推薦)
object network inside-outside-trans rRange 10.10.10.100 10.10.10.200 object network inside-outside-PAT host 10.10.10.201 object-group network nat-pat-grp network-object object inside-outside-trans network-object object inside-outside-PAT object network inside-outside-all subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic nat-pat-grp interface | 原有的語法 nat (inside) 1 0 0 global (outside) 1 10.10.10.100 10.10.10.200 global (outside) 1 interface
|
場景五:內網有郵件和Web服務器爲遠程辦公用戶提供訪問,靜態轉換
object network server-static host 192.168.0.3 object network inside-server host 200.0.0.10 nat (inside,outside) static server-static | 原有語法 static (inside,outside) 192.168.0.3 200.0.0.10 netmask 255.255.255.255 |
場景六:此環境用戶的需求比較複雜,客戶在低安全區域有很多提供業務服務的小型機,他需要隱藏被訪問的服務器地址,同時要求對外網server的訪問進行Static方式一對一的映射。
objectnetwork obj-ftp //ftp端口映射
host 192.168.1.1
objectnetwork obj-ftp
nat(dmz,outside) static interface service tcp ftp ftp
場景七
對通過防火牆的業務流量,不更改源地址,也就是將源地址NAT自己,我們稱爲identity NAT。
object network inside-nonat
host192.168.1.2
nat(inside,outside) static 192.168.1.2
常用排錯命令:
show run nat
show run object-network
show run object-group
show nat detail
show xlate
show conn
show nat pool
debug nat 255