Cisco ASA 8.4.2 NAT配置之基於network object

原創做品，容許轉載，轉載時請務必以超連接形式標明文章 原始出處 、做者信息和本聲明。不然將追究法律責任。http://zhangjie26699.blog.51cto.com/626361/972696

 

關於network object nat的配置 

動態NAT的配置

1.配置network object和network object group------用來匹配網絡中須要轉化的地址（這裏包括須要轉換的以及地址池的配置）

     object network cisco1

     range 100.100.100.0 100.100.100.100

     object network cisco2

     subnet 2.2.2.0 255.255.255.0

這裏能夠先配置2個network object

而後配置network object-group來進行相應的匹配，把各類object進行疊加

object-group network cisco

     network-object object cisco1

     network-object object cisco2

     network-object host 101.101.101.1

這個時候能夠調用

2.再次定義一個object network 用來定義轉化後的地址，在這裏就是所謂的配置地址池

Object network my-host-obj1

3.在2中定義一個subnet的10.1.1.0 255.255.255.0用來定義真實的地址，注意subnet參數不能用在定義地址池中

4.配置NAT來配置

nat (inside,outside) source dynamic cisco mapped

實際配置和文檔有必定出入，在配置中source dynamic是關鍵字

cisco指的是你要進行轉換的地址

mapped指的是你要轉化後的地址

5.NAT轉化後XLATE的輸出

ASA# show xlate

1 in use, 1 most used

Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice

NAT from inside:2.2.2.2 to outside:1.1.1.56 flags i idle 0:00:04 timeout 3:00:00

6.特例，配置動態NAT，使用完地址後進行PAT，PAT再用完用outside接口的ip地址

     object network mapped2

     range 1.1.1.1 1.1.1.2

     object network mapped3

     host 1.1.1.9

     object-group network mapped4

     network-object object mapped2

     network-object object mapped3

------------------------------------------------------------定義地址池 1.1.1.1 1.1.1.2 先使用，用完把1.1.1.9進行PAT

     object network zhangjie

     subnet 2.2.2.0 255.255.255.0

-----------------------------------------------------------定義要轉換的地址

nat (inside,outside) source dynamic zhangjie mapped4 interface-----------------------定義NAT轉換，interface指 用完PAT後使用outside的地址

ASA# show xlate

4 in use, 4 most used

Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice

NAT from inside:2.2.2.2 to outside:1.1.1.1 flags i idle 0:01:09 timeout 3:00:00

NAT from inside:2.2.2.100 to outside:1.1.1.2 flags i idle 0:00:27 timeout 3:00:00

ICMP PAT from inside:2.2.2.101/25 to outside:1.1.1.9/37539 flags ri idle 0:00:03 timeout 0:00:30

能夠發現最後實際效果

PAT的配置和使用

 

1.和以前的ASA版本不一樣，在使用NAT的時候若是對於1-1023端口流量不少的時候，你能夠專門一個端口範圍用來對應一些特定的應用。

 

2.若是一個PAT的地址池被使用於2個rule，那個這2個rule的必須相同的選項。

 

3.若是使用了一個接口做爲PAT，那麼就不能夠使用extended pat

 

4.配置

object network PAT------定義PAT的地址池

range 1.1.1.11 1.1.1.100

object network PATUSE------定義要轉化的接口的IP地址

subnet 2.2.2.0 255.255.255.0

nat (inside,outside) source dynamic PATUSE pat-pool PAT-----這個時候定義

靜態NAT的配置

 

靜態NAT包括Ip地址；還包括ip地址和端口的靜態轉換

傳統靜態NAT的配置

object network static

host 1.1.1.101

object network staticx

host 2.2.2.101

nat (inside,outside) source static staticx static

 

基於端口的靜態NAT

object network staticx

host 2.2.2.101

object service tcp21

service tcp destination eq telnet

object service tcp23use

service tcp destination eq telnet

定義service來肯定要轉化的端口

nat (inside,outside) source static staticx interface service tcp21 tcp23use

定義了端口（服務）的轉換

Identity NAT

定義要轉換的ip地址

object network staticx

host 2.2.2.101

定義轉換後的ip地址

object network static112

host 2.2.2.101

nat (inside,outside) source static staticx static112