设为首页 收藏本站

运维网

查看: 217|回复: 0

[经验分享] 在防火墙(ASA)上配置四种类型的NAT

[复制链接]

累计签到:1 天
连续签到:1 天
发表于 2017-9-18 09:38:28 | 显示全部楼层 |阅读模式
动态NAT
    动态NAT将一组IP地址转换为指定地址池中的IP地址,是动态一对一的轮询的关系;适合拥有多个公网IP、多个内网PC要访问互联网的环境使用(单向)
配置命令如下:
1.指定需要进行地址转换的内网网段
1
2
asa(config)# nat (interface_name) nat-id local-ip mask
asa(config)# nat (inside) 1 0 0           //表示转换所有内网地址



    其中nat-id这里必须大于等于1
2.定义全局地址池
1
asa(config)# global (interface_name) nat-id [global-ip]-[global-ip]



3.使用命令查看NAT转换表
1
asa# show xlate detail



案例:inside区域有两个网段,要求配置动态NAT实现网段192.168.1.0访问Internet时,进行地址转换,NAT地址池为202.106.2.100-202.106.2.200
QQ截图20170918093712.png
1
2
asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
asa(config)# global (outside) 1 202.106.2.100-202.106.2.200




动态PAT
    动态PAT使用IP和源端口号创建一个唯一的会话,是动态多对一的关系;适合只有一个公网IP、多个内网PC要访问互联网的环境使用(单向),与动态NAT唯一不同的就是全局地址只有一个
    在上图的案例中,如果要配置动态PAT,用于转换的IP地址是202.106.2.200,则配置命令如下:
1
2
asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
asa(config)# global (outside) 1 202.106.2.200



    如果在配置动态PAT时直接使用outside接口的IP地址进行转换,则配置命令如下:
1
2
asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
asa(config)# global (outside) 1 interface




静态NAT
    静态NAT创建了一个从真实地址到映射地址的一对一的固定转换,可用于双向通信;适合有多个公网IP且有多个内网服务器需要发布的环境使用(双向)
案例:在上图的案例中,DMZ内的服务器默认可以访问Internet,而在实际环境中,是允许所有地址访问内网服务器192.168.3.1,需要配置静态NAT,配置命令如下:
1
2
3
asa(config)# static (dmz,outside) 202.106.2.111 192.168.3.1        //配置静态NAT
asa(config)# access-list out_to_dmz permit ip any host 202.106.2.111
asa(config)# access-group out_to_dmz in int outside                //配置ACL



    注意:ACL中的目的地址应配置为映射地址202.106.2.111,而不是真实的地址192.168.3.1


静态PAT
    静态PAT允许为真实和映射地址指定TCP或UDP端口号;适合只有一个公网IP且要发布多个内网服务器的环境使用(双向)
静态PAT的命令语法如下:
1
asa(config)# static (local_if_name,global_if_name) {tcp |udp} {global-ip | interface} global-port local-ip local-port [netmask mask]



案例:如下图所示,DMZ有两台服务器,要求使用一个单一的映射地址202.106.2.111提供不同的服务
QQ截图20170918093726.png
配置命令如下:
1
2
3
4
asa(config)# static (dmz,outside) tcp 202.106.2.111 http 192.168.3.1 http     //配置静态PAT
asa(config)# static (dmz,outside) tcp 202.106.2.111 smtp 192.168.3.2 smtp
asa(config)# access-list out_to_dmz permit ip any host 202.106.2.111
asa(config)# access-group out_to_dmz in int outside                //配置ACL




NAT控制
   我们知道,默认高安全级别是可以访问低安全级别的,也就是说,即使我们不做NAT,PC1也可以访问Internet;而在真实环境中,PC1访问Internet时,可以通过ASA将源地址是自己IP的请求包发送出去,但是确不会接收到回应包,因为私网地址在互联网上是不合法的,因此我们还是需要做NAT,将私网地址映射为公网地址来访问互联网或被互联网访问
    ASA从7.0开始提供了一个NAT控制的开关,即nat-control命令,当我们开启NAT后,简单的配置中,PC1不能再访问Internet了,必须做NAT转换才能进行访问
   默认情况下,是禁用NAT控制(no nat-control),但在实际环境中,我们一般启用NAT控制方便管理;在启用NAT控制时,NAT规则是必须的;即发起的每一个连接都需要一个相应的NAT规则

禁用NAT控制:no nat-control
    这是默认的情况,在禁用NAT控制是,NAT规则并不是必须的:它允许匹配NAT规则的网段进行地址转换通信;也允许不匹配NAT规则的网段通信,只是不经过地址转换
启用NAT控制:nat-control
    如果启用了NAT控制,NAT的规则就是必须的:它允许匹配NAT规则的网段进行地址转换通信;禁止不匹配NAT规则的网段通信

NAT豁免
    当启用NAT控制时,每个发起的连接都需要一个相应的NAT规则,但是在某些应用场合(例如配置VPN)需要绕过NAT规则。绕过NAT规则有很多种方法,NAT豁免就是其中一种,NAT豁免允许双向通信
配置NAT豁免首先需要定义一个ACL,用于指定需要绕过NAT规则的流量,然后进行配置,配置命令如下:
1
asa(config)# nat (interface_name) 0 access-list acl_name



案例:如下图所示,在ASA上启用NAT控制,要求为192.168.1.0网段配置动态PAT,映射地址为outside接口地址,为192.168.2.0网段配置NAT豁免
QQ截图20170918093737.png
配置命令如下:
1
2
3
4
5
6
asa(config)# nat-control            //启用NAT控制
asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0        //配置动态PAT
asa(config)# global (outside) 1 interface

asa(config)# access-list nonat extended permit ip 192.168.2.0 255.255.255.0 202.106.2.0 255.255.255.0
asa(config)# nat (inside) 0 access-list nonat           //启用NAT豁免




查看和删除NAT的命令
1
2
3
4
5
6
7
8
9
asa# show xlate           //查看NAT转换表摘要
asa#show xlate detail          //查看NAT转换表详细信息
asa#show run nat           // 查看指定NAT
asa#show run global           //查看指定全局地址
asa(config)# no global (outside) 1 172.16.1.200      //删除指定的全局地址池,在定义全局命令前加no
asa(config)# clear xlate         //清除NAT转换表
asa(config)# clear configure stat         //删除静态NAT
asa(config)# clear configure nat           //删除动态NAT
asa(config)# clear configure global        //清空全局地址池






运维网声明 1、欢迎大家加入本站运维交流群:群①:263444886群②:197202523群③:485755530群④:201730672群⑤:202807635运维网交流群⑥:281548029
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须注明原文的出处
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、运维网 - 服务您的运维操作管理专家!
6、联系人Email:[email protected] 网址:www.iyunv.com

点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

关注运维网官方微信X

关注运维网官方微信

扫描二维码关注运维网官方微信,最新一手资源尽在官方微信!快快关注我们吧...

扫描微信二维码查看详情

客服 E-mail:[email protected]

本站由安畅网络和青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2017

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up !


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


合作伙伴: 青云cloud 安畅网络

快速回复 返回顶部 返回列表