99热在线精品一区二区三区_国产伦精品一区二区三区女破破_亚洲一区二区三区无码_精品国产欧美日韩另类一区

前面已經(jīng)介紹了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的原理和基于路由器的配置，ASA上的NAT配置相對(duì)于路由器來(lái)說(shuō)要復(fù)制一些，ASA上的NAT有動(dòng)態(tài)NAT、動(dòng)態(tài)PAT、靜態(tài)NAT、靜態(tài)PAT。下面的鏈接是我以前寫的NAT原理，在路由器上配置NAT的命令http://yangshufan.blog.51cto.com/13004230/1959448

在豐澤等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站 網(wǎng)站設(shè)計(jì)制作定制開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站建設(shè),全網(wǎng)營(yíng)銷推廣,外貿(mào)營(yíng)銷網(wǎng)站建設(shè),豐澤網(wǎng)站建設(shè)費(fèi)用合理。

動(dòng)態(tài)NAT

  動(dòng)態(tài)NAT將一組IP地址轉(zhuǎn)換為指定地址池中的IP地址，是動(dòng)態(tài)一對(duì)一的輪詢的關(guān)系；適合擁有多個(gè)公網(wǎng)IP、多個(gè)內(nèi)網(wǎng)PC要訪問(wèn)互聯(lián)網(wǎng)的環(huán)境使用（單向）

配置命令如下：

1.指定需要進(jìn)行地址轉(zhuǎn)換的內(nèi)網(wǎng)網(wǎng)段

asa(config)# nat (interface_name) nat-id local-ip mask
asa(config)# nat (inside) 1 0 0           //表示轉(zhuǎn)換所有內(nèi)網(wǎng)地址

  其中nat-id這里必須大于等于1

2.定義全局地址池

asa(config)# global (interface_name) nat-id [global-ip]-[global-ip]

3.使用命令查看NAT轉(zhuǎn)換表

asa# show xlate detail

案例：inside區(qū)域有兩個(gè)網(wǎng)段，要求配置動(dòng)態(tài)NAT實(shí)現(xiàn)網(wǎng)段192.168.1.0訪問(wèn)Internet時(shí)，進(jìn)行地址轉(zhuǎn)換，NAT地址池為202.106.2.100-202.106.2.200

asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
asa(config)# global (outside) 1 202.106.2.100-202.106.2.200

動(dòng)態(tài)PAT

  動(dòng)態(tài)PAT使用IP和源端口號(hào)創(chuàng)建一個(gè)唯一的會(huì)話，是動(dòng)態(tài)多對(duì)一的關(guān)系；適合只有一個(gè)公網(wǎng)IP、多個(gè)內(nèi)網(wǎng)PC要訪問(wèn)互聯(lián)網(wǎng)的環(huán)境使用（單向），與動(dòng)態(tài)NAT唯一不同的就是全局地址只有一個(gè)

  在上圖的案例中，如果要配置動(dòng)態(tài)PAT，用于轉(zhuǎn)換的IP地址是202.106.2.200，則配置命令如下：

asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
asa(config)# global (outside) 1 202.106.2.200

  如果在配置動(dòng)態(tài)PAT時(shí)直接使用outside接口的IP地址進(jìn)行轉(zhuǎn)換，則配置命令如下：

asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
asa(config)# global (outside) 1 interface

靜態(tài)NAT

  靜態(tài)NAT創(chuàng)建了一個(gè)從真實(shí)地址到映射地址的一對(duì)一的固定轉(zhuǎn)換，可用于雙向通信；適合有多個(gè)公網(wǎng)IP且有多個(gè)內(nèi)網(wǎng)服務(wù)器需要發(fā)布的環(huán)境使用（雙向）

案例：在上圖的案例中，DMZ內(nèi)的服務(wù)器默認(rèn)可以訪問(wèn)Internet，而在實(shí)際環(huán)境中，是允許所有地址訪問(wèn)內(nèi)網(wǎng)服務(wù)器192.168.3.1，需要配置靜態(tài)NAT，配置命令如下：

asa(config)# static (dmz,outside) 202.106.2.111 192.168.3.1        //配置靜態(tài)NAT
asa(config)# access-list out_to_dmz permit ip any host 202.106.2.111
asa(config)# access-group out_to_dmz in int outside                //配置ACL

  注意：ACL中的目的地址應(yīng)配置為映射地址202.106.2.111，而不是真實(shí)的地址192.168.3.1

靜態(tài)PAT

  靜態(tài)PAT允許為真實(shí)和映射地址指定TCP或UDP端口號(hào)；適合只有一個(gè)公網(wǎng)IP且要發(fā)布多個(gè)內(nèi)網(wǎng)服務(wù)器的環(huán)境使用（雙向）

靜態(tài)PAT的命令語(yǔ)法如下：

asa(config)# static (local_if_name,global_if_name) {tcp |udp} {global-ip | interface} global-port local-ip local-port [netmask mask]

案例：如下圖所示，DMZ有兩臺(tái)服務(wù)器，要求使用一個(gè)單一的映射地址202.106.2.111提供不同的服務(wù)

配置命令如下：

asa(config)# static (dmz,outside) tcp 202.106.2.111 http 192.168.3.1 http     //配置靜態(tài)PAT
asa(config)# static (dmz,outside) tcp 202.106.2.111 smtp 192.168.3.2 smtp
asa(config)# access-list out_to_dmz permit ip any host 202.106.2.111
asa(config)# access-group out_to_dmz in int outside                //配置ACL

NAT控制

  我們知道，默認(rèn)高安全級(jí)別是可以訪問(wèn)低安全級(jí)別的，也就是說(shuō)，即使我們不做NAT，PC1也可以訪問(wèn)Internet；而在真實(shí)環(huán)境中，PC1訪問(wèn)Internet時(shí)，可以通過(guò)ASA將源地址是自己IP的請(qǐng)求包發(fā)送出去，但是確不會(huì)接收到回應(yīng)包，因?yàn)樗骄W(wǎng)地址在互聯(lián)網(wǎng)上是不合法的，因此我們還是需要做NAT，將私網(wǎng)地址映射為公網(wǎng)地址來(lái)訪問(wèn)互聯(lián)網(wǎng)或被互聯(lián)網(wǎng)訪問(wèn)

  ASA從7.0開始提供了一個(gè)NAT控制的開關(guān)，即nat-control命令，當(dāng)我們開啟NAT后，簡(jiǎn)單的配置中，PC1不能再訪問(wèn)Internet了，必須做NAT轉(zhuǎn)換才能進(jìn)行訪問(wèn)

  默認(rèn)情況下，是禁用NAT控制（no nat-control）,但在實(shí)際環(huán)境中，我們一般啟用NAT控制方便管理；在啟用NAT控制時(shí)，NAT規(guī)則是必須的；即發(fā)起的每一個(gè)連接都需要一個(gè)相應(yīng)的NAT規(guī)則

禁用NAT控制：no nat-control

  這是默認(rèn)的情況，在禁用NAT控制是，NAT規(guī)則并不是必須的：它允許匹配NAT規(guī)則的網(wǎng)段進(jìn)行地址轉(zhuǎn)換通信；也允許不匹配NAT規(guī)則的網(wǎng)段通信，只是不經(jīng)過(guò)地址轉(zhuǎn)換

啟用NAT控制：nat-control

  如果啟用了NAT控制，NAT的規(guī)則就是必須的：它允許匹配NAT規(guī)則的網(wǎng)段進(jìn)行地址轉(zhuǎn)換通信；禁止不匹配NAT規(guī)則的網(wǎng)段通信

NAT豁免

  當(dāng)啟用NAT控制時(shí)，每個(gè)發(fā)起的連接都需要一個(gè)相應(yīng)的NAT規(guī)則，但是在某些應(yīng)用場(chǎng)合（例如配置×××）需要繞過(guò)NAT規(guī)則。繞過(guò)NAT規(guī)則有很多種方法，NAT豁免就是其中一種，NAT豁免允許雙向通信

配置NAT豁免首先需要定義一個(gè)ACL，用于指定需要繞過(guò)NAT規(guī)則的流量，然后進(jìn)行配置，配置命令如下：

asa(config)# nat (interface_name) 0 access-list acl_name

案例：如下圖所示，在ASA上啟用NAT控制，要求為192.168.1.0網(wǎng)段配置動(dòng)態(tài)PAT，映射地址為outside接口地址，為192.168.2.0網(wǎng)段配置NAT豁免

配置命令如下：

asa(config)# nat-control            //啟用NAT控制
asa(config)# nat (inside) 1 192.168.1.0 255.255.255.0        //配置動(dòng)態(tài)PAT
asa(config)# global (outside) 1 interface

asa(config)# access-list nonat extended permit ip 192.168.2.0 255.255.255.0 202.106.2.0 255.255.255.0
asa(config)# nat (inside) 0 access-list nonat           //啟用NAT豁免

查看和刪除NAT的命令

asa# show xlate           //查看NAT轉(zhuǎn)換表摘要
asa#show xlate detail          //查看NAT轉(zhuǎn)換表詳細(xì)信息
asa#show run nat           // 查看指定NAT
asa#show run global           //查看指定全局地址
asa(config)# no global (outside) 1 172.16.1.200      //刪除指定的全局地址池，在定義全局命令前加no
asa(config)# clear xlate         //清除NAT轉(zhuǎn)換表
asa(config)# clear configure stat         //刪除靜態(tài)NAT
asa(config)# clear configure nat           //刪除動(dòng)態(tài)NAT
asa(config)# clear configure global        //清空全局地址池

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞名稱：在防火墻（ASA）上配置四種類型的NAT-創(chuàng)新互聯(lián)
URL鏈接：http://ef60e0e.cn/article/dhddjg.html