拓扑说明:路由器接口IP为.1,ASA接口IP为.10,所有设备的默认路由指向ASA。
1.静态地址转换
静态一对一:
需求1:
Inside路由器使用202.100.1.10的IP访问Outside路由器
static (Inside,Outside) interface 10.1.1.1
!测试发现在指定Global地址时不能使用Outside接口配置的IP地址,必须使用interface关键字
需求2:
Inside路由器使用202.100.1.20的IP访问Outside路由器
static (Inside,Outside) 202.100.1.20 10.1.1.1
静态多对多:
需求1:
DMZ有六台服务器,IP为192.168.1.201-206,子网掩码为255.255.255.248,需要应映射到202.100.1.201-206,且对应关系为192.168.1.201对应202.100.1.201,192.168.1.202对应202.100.1.202,以此类推。
static (DMZ,Outside) 192.168.1.200 202.100.1.200 netmask 255.255.255.248
2.动态地址转换
简单内外转换:
需求1: DMZ有六台服务器,IP为192.168.1.201-206,需要子网掩码为255.255.255.248应映射到202.100.1.201-206,地址动态映射,先到先得。如192.168.1.202先访问外网,则转换为202.100.1.201。
nat (Inside) 1 192.168.1.200 255.255.255.248
global (Outside) 1 202.100.1.200 netmask 255.255.255.248
注意:转换的global地址最好多余nat地址,否则会转换枯竭而死…避免这种情况可在最后添加一条命令:
global (Outside) 1 202.100.1.208
类似与路由器的overload
多接口内外转换:
需求1:Inside区域访问Outside区域会将地址转换为202.100.1.100,Inside区域访问DMZ区域会将地址转换为192.168.1.100,DMZ区访问Outside区会将地址转换为202.100.1.100
nat (Inside) 2 10.1.1.0 255.255.255.0
nat (DMZ) 2 192.168.1.0 255.255.255.0
global (Outside) 2 202.100.1.100
global (DMZ) 2 192.168.1.100
3.静态PAT(端口映射)
23端口映射
需求1:DMZ区路由器192.168.1.1需要从外网202.100.1.1远程访问,注意流量是Inbound流量,由于Inbound流量默认deny,所以需要ACL放行。
static (DMZ,Outside) tcp 202.100.1.100 telnet 192.168.1.1 telnet netmask 255.255.255.255
access-list out permit tcp host 202.100.1.1 host 202.100.1.100 eq 23
access-group out in interface Outside
4.动态PAT(端口复用)
动态多对一(大部分上网环境)
需求1:10.1.1.0/24网段通过202.100.1.200访问Outside,使用端口复用技术
nat (Inside) 3 10.1.1.0 255.255.255.0
global (Outside) 3 202.100.1.200
注:由于端口复用技术使用的端口是非知名端口,所以能使用的端口范围65535-1024=64511,如果使用在内网使用大量BT类软件时,消耗的连接会非常快,所以尽可能多的配置IP地址用于端口转换。
global (Outside) 3 202.100.1.201
global (Outside) 3 202.100.1.202
按照如上配置,202.100.1.200的端口使用完后会依次使用201和202的。具体的消耗取决于对用户的连接数与半开连接数的限制等。
5.策略NAT/PAT
策略NAT
需求:Outside路由器f0/0接口配置两个IP,分别为202.100.1.1与202.100.1.2。当Inside路由器访问202.100.1.1时转换成IP202.100.1.100,访问202.100.1.2时转换为IP202.100.1.200。
access-list list_1 extended permit ip host 10.1.1.1 host 202.100.1.1
access-list list_2 extended permit ip host 10.1.1.1 host 202.100.1.2
static (Inside,Outside) 202.100.1.100 access-list list_1
static (Inside,Outside) 202.100.1.200 access-list list_2
策略PAT
需求:Outside路由器f0/0接口配置两个IP,分别为202.100.1.1与202.100.1.2。当10.1.1.0/24网段访问202.100.1.1时转换成IP202.100.1.100,访问202.100.1.2时转换为IP202.100.1.200。
access-list list_1 extended permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1
access-list list_2 extended permit ip 10.1.1.0 255.255.255.0 host 202.100.1.2
nat (Inside) 10 access-list list_1
nat (Inside) 20 access-list list_2
global (Outside) 10 202.100.1.100
global (Outside) 20 202.100.1.200
6.Identity NAT
适用于nat-control环境,或者在PAT中排除某些转换,注意IdentityNAT优先级没有静态NAT高,所以是无法在静态转换中排除地址的。
需求:10.1.1.1访问202.100.1.2时使用真实地址,访问202.100.1.0/24其他主机时转换为202.100.1.111
nat (Inside) 0 10.1.1.1 255.255.255.255
nat (Inside) 1 10.1.1.0 255.255.255.0
global (Outside) 1 202.100.1.111
7.NAT免除
优先级最高的nat,适用于在任意nat中排除地址。
需求:10.1.1.1访问202.100.1.2时使用真实地址,访问202.100.1.0/24其他主机时转换为202.100.1.111
access-list nonat permit ip host 10.1.1.1 host 202.100.1.2
nat (Inside) 0 access-list nonat