拓撲說明:路由器接口IP爲.1,ASA接口IP爲.10,所有設備的默認路由指向ASA。
1.靜態地址轉換
靜態一對一:
需求1:
Inside路由器使用202.100.1.10的IP訪問Outside路由器
static (Inside,Outside) interface 10.1.1.1
!測試發現在指定Global地址時不能使用Outside接口配置的IP地址,必須使用interface關鍵字
需求2:
Inside路由器使用202.100.1.20的IP訪問Outside路由器
static (Inside,Outside) 202.100.1.20 10.1.1.1
靜態多對多:
需求1:
DMZ有六臺服務器,IP爲192.168.1.201-206,子網掩碼爲255.255.255.248,需要應映射到202.100.1.201-206,且對應關係爲192.168.1.201對應202.100.1.201,192.168.1.202對應202.100.1.202,以此類推。
static (DMZ,Outside) 192.168.1.200 202.100.1.200 netmask 255.255.255.248
2.動態地址轉換
簡單內外轉換:
需求1: DMZ有六臺服務器,IP爲192.168.1.201-206,需要子網掩碼爲255.255.255.248應映射到202.100.1.201-206,地址動態映射,先到先得。如192.168.1.202先訪問外網,則轉換爲202.100.1.201。
nat (Inside) 1 192.168.1.200 255.255.255.248
global (Outside) 1 202.100.1.200 netmask 255.255.255.248
注意:轉換的global地址最好多餘nat地址,否則會轉換枯竭而死...避免這種情況可在最後添加一條命令:
global (Outside) 1 202.100.1.208
類似與路由器的overload
多接口內外轉換:
需求1:Inside區域訪問Outside區域會將地址轉換爲202.100.1.100,Inside區域訪問DMZ區域會將地址轉換爲192.168.1.100,DMZ區訪問Outside區會將地址轉換爲202.100.1.100
nat (Inside) 2 10.1.1.0 255.255.255.0
nat (DMZ) 2 192.168.1.0 255.255.255.0
global (Outside) 2 202.100.1.100
global (DMZ) 2 192.168.1.100
3.靜態PAT(端口映射)
23端口映射
需求1:DMZ區路由器192.168.1.1需要從外網202.100.1.1遠程訪問,注意流量是Inbound流量,由於Inbound流量默認deny,所以需要ACL放行。
static (DMZ,Outside) tcp 202.100.1.100 telnet 192.168.1.1 telnet netmask 255.255.255.255
access-list out permit tcp host 202.100.1.1 host 202.100.1.100 eq 23
access-group out in interface Outside
4.動態PAT(端口複用)
動態多對一(大部分上網環境)
需求1:10.1.1.0/24網段通過202.100.1.200訪問Outside,使用端口複用技術
nat (Inside) 3 10.1.1.0 255.255.255.0
global (Outside) 3 202.100.1.200
注:由於端口複用技術使用的端口是非知名端口,所以能使用的端口範圍65535-1024=64511,如果使用在內網使用大量BT類軟件時,消耗的連接會非常快,所以儘可能多的配置IP地址用於端口轉換。
global (Outside) 3 202.100.1.201
global (Outside) 3 202.100.1.202
按照如上配置,202.100.1.200的端口使用完後會依次使用201和202的。具體的消耗取決於對用戶的連接數與半開連接數的限制等。
5.策略NAT/PAT
策略NAT
需求:Outside路由器f0/0接口配置兩個IP,分別爲202.100.1.1與202.100.1.2。當Inside路由器訪問202.100.1.1時轉換成IP202.100.1.100,訪問202.100.1.2時轉換爲IP202.100.1.200。
access-list list_1 extended permit ip host 10.1.1.1 host 202.100.1.1
access-list list_2 extended permit ip host 10.1.1.1 host 202.100.1.2 static (Inside,Outside) 202.100.1.100 access-list list_1
static (Inside,Outside) 202.100.1.200 access-list list_2
策略PAT
需求:Outside路由器f0/0接口配置兩個IP,分別爲202.100.1.1與202.100.1.2。當10.1.1.0/24網段訪問202.100.1.1時轉換成IP202.100.1.100,訪問202.100.1.2時轉換爲IP202.100.1.200。
access-list list_1 extended permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1
access-list list_2 extended permit ip 10.1.1.0 255.255.255.0 host 202.100.1.2
nat (Inside) 10 access-list list_1
nat (Inside) 20 access-list list_2
global (Outside) 10 202.100.1.100
global (Outside) 20 202.100.1.200
global (Outside) 20 202.100.1.200
6.Identity NAT
適用於nat-control環境,或者在PAT中排除某些轉換,注意IdentityNAT優先級沒有靜態NAT高,所以是無法在靜態轉換中排除地址的。
需求:10.1.1.1訪問202.100.1.2時使用真實地址,訪問202.100.1.0/24其他主機時轉換爲202.100.1.111
nat (Inside) 0 10.1.1.1 255.255.255.255
nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.111
7.NAT免除
優先級最高的nat,適用於在任意nat中排除地址。
需求:10.1.1.1訪問202.100.1.2時使用真實地址,訪問202.100.1.0/24其他主機時轉換爲202.100.1.111
access-list nonat permit ip host 10.1.1.1 host 202.100.1.2
nat (Inside) 0 access-list nonat