中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Cisco ASA 應用NAT配置詳解

發布時間:2020-07-29 23:13:12 來源:網絡 閱讀:2222 作者:warrent 欄目:安全技術

ASA 防火墻上NAT的基本原理與路由器上一樣,只不過只用定義一下內網地址和進行轉換后的地址就可以了,不需要進入接口再應用了。基本上兩條命令即可完成一種NAT的配置。ASA上的NAT有動態NAT、動態PAT、靜態NAT和靜態PAT四種類型。

1、動態NAT(可以說是一對一,但不是靜態的,一般不使用動態NAT)的配置步驟如下:

將內網10.0.0.0/8進行NAT轉換為170.16.1.100~172.16.1.200:

ciscoasa(config)# nat (inside) 1 10.0.0.0 255.0.0.0                 #定義需要進行NAT的內網地址

ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200           #定義全局地址池,
OK了。

ciscoasa(config)# show xlate detail                     #在進行第一次通信后,
即可通過該命令來查看NAT轉換信息

上述配置中的1為nat-id,定義NAT轉換時,需要nat-id匹配,才可進行轉換。

若是要為inside區域內的所有網段實施動態NAT,配置命令如下:

ciscoasa(config)# nat (inside) 1 0 0 #0 0 表示任意網段

2、動態PAT(多對一,節省公網IP)的配置步驟如下:

動態PAT與路由器上的PAT相同,即可以多個私網地址轉換為一個公網地址,也可直接使用outside接口。配置如下:

將20.0.0.0/8網段使用動態PAT轉換為172.17.10.10

ciscoasa(config)# nat (inside) 2 20.0.0.0 255.0.0.0          #定義需要進行NAT的內網地址

ciscoasa(config)# global (outside) 2 172.17.10.10             #定義全局地址,OK了

也可以將20.0.0.0/8這個網段直接使用outside接口的IP地址進行轉換,配置命令如下:

ciscoasa(config)# global (outside) 2 interface

3、靜態NAT(一對一,常用來對DMZ區域的服務器實施這種NAT)的配置步驟如下:

ciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1        #當DMZ區域
的192.168.1.1與outside通信時,
使用的地址是172.16.1.201,也就是說,想在外網訪問192.168.1.1這個服務器上的服務,
那么需要使用172.16.1.201作為目的地址。

需要注意的是,在進行NAT轉換時,不止需要配置地址轉換,ACL也會影響是否能夠通信成功。

下面配置一下ACL,使外網可以成功訪問到192.168.1.1的服務。


ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201          
#允許所有主機訪問映射地址172.16.1.201

ciscoasa(config)# access-group  out_to_dmz in int outside   #應用到outside接口

個人在實驗過程中,在進行以上的ACL配置后,會出現訪問不成功的時候,再繼續配置一條允許所有主機訪問服務器的真實IP即可,兩條ACL名稱一樣,同樣應用到outside接口。

4、配置靜態PAT(與路由器上的端口映射類似),配置如下:

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
#DMZ區域的192.168.1.1服務器80端口與outside進行通信時,
使用172.16.1.201的HTTP端口

ciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 23 192.168.1.10 23
#當DMZ區域的192.168.1.10服務器23端口與外網進行通信,
使用的是172.16.1.201地址的23端口

ciscoasa(config)# access-list out_to_dmz permit ip any host 172.16.1.201    
#配置ACL,若對安全要求比較高,由于上述兩個服務都是使用TCP協議,
這里ACL規則中的ip命令字,可以改為tcp。

ciscoasa(config)# access-group out_to_dmz in int outside 

靜態PAT已經配置好了,現在外網用戶在不同的軟件平臺,使用172.16.1.201作為目的地,即可訪問到不同的服務。(同理,若是無法訪問成功,那么就再加一條ACL:允許所有主機訪問服務器的真實IP即可,兩條ACL名稱一樣,同樣應用到outside接口。)

經過以上配置可以看出,需要注意配置的語法,順序有些變化,而且,在配置靜態PAT時,可以指定服務名稱,也可以直接指定端口號,個人建議還是直接指定端口號靠譜些

5、NAT控制與NAT豁免

ASA從7.0版本開始提供了一個NAT控制開關,即nat-control命令,但默認是禁用NAT控制(no nat-control)。若在全局模式下執行命令nat-control,則代表開啟了NAT控制,開啟nat控制的作用大概就是只允許進行過nat轉換的地址發送報文通過防火墻,沒有配置NAT轉換的則不允許穿越防火墻,個人感覺并不太實用,還是寫下來,做個筆記吧。

那么開啟NAT控制后,沒有配置NAT的地址想要通過防火墻來進行通行,那么還可以配置NAT豁免。
NAT豁免的大概意思就是經過豁免的地址不必經過nat地址轉換即可通過防火墻進行通信。

舉個栗子:

在ASA開啟了NAT控制時,DMZ區域有192.168.1.0網段,當inside區域的10.0.0.0網段沒有配置nat,還要與DMZ區域的192.168.1.0進行通信,那么,就需要用到了NAT豁免,配置命令如下:

ciscoasa(config)#access-list nonat extended permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

ciscoasa(config)#nat (inside) 0 access-list nonat
向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

桐乡市| 普定县| 法库县| 呈贡县| 泗水县| 手游| 东兰县| 布尔津县| 图们市| 娄底市| 裕民县| 克拉玛依市| 高邮市| 珲春市| 津市市| 龙南县| 姜堰市| 湘西| 黔西县| 古蔺县| 甘南县| 双桥区| 盱眙县| 隆回县| 华坪县| 曲沃县| 桃源县| 德安县| 武定县| 平山县| 绥滨县| 云梦县| 长顺县| 巧家县| 仁化县| 青浦区| 收藏| 渭源县| 新源县| 东乡| 彭山县|