1. 程式人生 > >Cisco ASA 應用NAT配置詳解

Cisco ASA 應用NAT配置詳解

out con 端口 access nat配置 都是 多對一 允許 10.10

ASA 防火墻上NAT的基本原理與路由器上一樣,只不過只用定義一下內網地址和進行轉換後的地址就可以了,不需要進入接口再應用了。基本上兩條命令即可完成一種NAT的配置。ASA上的NAT有動態NAT、動態PAT、靜態NAT和靜態PAT四種類型。

1、動態NAT(可以說是一對一,但不是靜態的,一般不使用動態NAT)的配置步驟如下:

將內網10.0.0.0/8進行NAT轉換為170.16.1.100~172.16.1.200:

ciscoasa(config)# nat (inside) 1 10.0.0.0 255.0.0.0                 #定義需要進行NAT的內網地址

ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200           #定義全局地址池,
OK了。

ciscoasa(config)# show xlate detail                     #在進行第一次通信後,
即可通過該命令來查看NAT轉換信息

上述配置中的1為nat-id,定義NAT轉換時,需要nat-id匹配,才可進行轉換。

若是要為inside區域內的所有網段實施動態NAT,配置命令如下:

ciscoasa(config)# nat (inside) 1 0 0 #0 0 表示任意網段

2、動態PAT(多對一,節省公網IP)的配置步驟如下:

動態PAT與路由器上的PAT相同,即可以多個私網地址轉換為一個公網地址,也可直接使用outside接口。配置如下:

將20.0.0.0/8網段使用動態PAT轉換為172.17.10.10

ciscoasa(config)# nat (inside) 2 20.0.0.0 255.0.0.0          #定義需要進行NAT的內網地址

ciscoasa(config)# global (outside) 2 172.17.10.10             #定義全局地址,OK了

也可以將20.0.0.0/8這個網段直接使用outside接口的IP地址進行轉換,配置命令如下:

ciscoasa(config)# global (outside) 2 interface

3、靜態NAT(一對一,常用來對DMZ區域的服務器實施這種NAT)的配置步驟如下:

ciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1        #當DMZ區域
的192.168.1.1與outside通信時,
使用的地址是172.16.1.201,也就是說,想在外網訪問192.168.1.1這個服務器上的服務,
那麽需要使用172.16.1.201作為目的地址。

需要註意的是,在進行NAT轉換時,不止需要配置地址轉換,ACL也會影響是否能夠通信成功。

下面配置一下ACL,使外網可以成功訪問到192.168.1.1的服務。


ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201          
#允許所有主機訪問映射地址172.16.1.201

ciscoasa(config)# access-group  out_to_dmz in int outside   #應用到outside接口

個人在實驗過程中,在進行以上的ACL配置後,會出現訪問不成功的時候,再繼續配置一條允許所有主機訪問服務器的真實IP即可,兩條ACL名稱一樣,同樣應用到outside接口。

4、配置靜態PAT(與路由器上的端口映射類似),配置如下:

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
#DMZ區域的192.168.1.1服務器80端口與outside進行通信時,
使用172.16.1.201的HTTP端口

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 23 192.168.1.10 23
#當DMZ區域的192.168.1.10服務器23端口與外網進行通信,
使用的是172.16.1.201地址的23端口

ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201    
#配置ACL,若對安全要求比較高,由於上述兩個服務都是使用TCP協議,
這裏ACL規則中的ip命令字,可以改為tcp。

ciscoasa(config)# access-group out_to_dmz in int outside 

靜態PAT已經配置好了,現在外網用戶在不同的軟件平臺,使用172.16.1.201作為目的地,即可訪問到不同的服務。(同理,若是無法訪問成功,那麽就再加一條ACL:允許所有主機訪問服務器的真實IP即可,兩條ACL名稱一樣,同樣應用到outside接口。)

經過以上配置可以看出,需要註意配置的語法,順序有些變化,而且,在配置靜態PAT時,可以指定服務名稱,也可以直接指定端口號,個人建議還是直接指定端口號靠譜些

Cisco ASA 應用NAT配置詳解