2 ASA上的NAT配置

ASA上的NAT配置

一 ASA上的NAT類型

ASA上的NAT有四種類型：動態NAT、動態PAT、靜態NAT、靜態PAT

·動態NAT

1概念

動態NAT將一組IP地址轉換爲指定地址池中的IP地址，是動態一對一的輪詢的關係；適合擁有多個公網IP、多個內網PC要訪問互聯網的環境使用（單向）

2配置步驟

a指定須要進行地址轉換的內網網段

asa(config)# nat (interface_name) nat-id local-ip mask

其中nat-id這裏必須大於等於1；網卡名爲後面所跟地址的邏輯名稱

如：asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0

其中nat (inside) 1 0 0 表示轉換全部內網地址

b定義全局地址池

asa(config)# global (interface_name) nat-id [global-ip]-[global-ip]

如：asa(config)# global (outside) 1 172.16.1.100-172.16.1.200

·動態PAT（經常使用）

1概述

動態PAT使用IP和源端口號建立一個惟一的會話，是動態多對一的關係；適合只有一個公網IP、多個內網PC要訪問互聯網的環境使用（單向）

2配置步驟

與動態PAT惟一不一樣的就是全局地址只有一個

a略

b定義全局地址池

asa(config)# global (interface_name) nat-id [global-ip]

如：asa(config)# global (outside) 1 172.16.1.100

·靜態NAT

1概述

靜態NAT建立了一個從真實地址到映射地址的一對一的固定轉換，可用於雙向通訊；適合有多個公網IP且有多個內網服務器須要發佈的環境使用（雙向）

2配置步驟

a配置ACL

實際環境中是容許全部地址訪問內網服務器的

asa(config)# access-list out_to_dmz permit ip any host global-ip

asa(config)# access-group out_to_dmz in int outside

b配置靜態NAT

asa(config)# static (local_if_name,global_if_name) global-ip local-ip [netmask mask]

如：asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1

·靜態PAT（經常使用）

1概述

靜態PAT容許爲真實和映射地址指定TCP或UDP端口號；適合只有一個公網IP且要發佈多個內網服務器的環境使用（雙向）

2配置步驟

a配置ACL

實際環境中是容許全部地址訪問內網服務器的

asa(config)# access-list out_to_dmz permit ip any host global-ip

asa(config)# access-group out_to_dmz in int outside

b配置靜態NAT

asa(config)# static (local_if_name,global_if_name) {tcp |udp} {global-ip | interface} global-port local-ip local-port [netmask mask]

如：

asa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http

asa(config)# static (dmz,outside) tcp 172.16.1.201 8080 192.168.1.1 80

二 NAT控制與豁免

如圖所示

若是簡單的配置完上圖全部設備的IP和路由，咱們知道，默認高安全級別是能夠訪問低安全級別的，也就是說，即便咱們不作NAT，PC1也能夠訪問PC3；而在真實環境中，PC3至關於互聯網中的PC機，PC1訪問PC3時，能夠經過ASA將源地址是本身IP的請求包發送出去，可是確不會接收到迴應包，由於私網地址在互聯網上是不合法的，所以咱們仍是須要作NAT，將私網地址映射爲公網地址來訪問互聯網或被互聯網訪問

ASA從7.0開始提供了一個NAT控制的開關，即當咱們開啓NAT後，簡單的配置中，PC1不能再訪問PC3了，必須作NAT轉換才能進行訪問

·NAT控制

1概念

ASA從7.0版本開始提供了一個NAT控制的開關；在實際環境中，咱們通常啓用NAT控制方便管理；在啓用NAT    控制時，NAT規則是必須的；即發起的每個鏈接都須要一個相應的NAT規則

2配置步驟

默認狀況下NAT控制是關閉的；使用一下命令啓用和禁用NAT控制

啓用：nat-control

禁用：no nat-control

·NAT豁免

1概念

當啓用NAT控制時，每一個發起的鏈接都須要一個相應的NAT規則，可是在某些應用場合（例如配置×××）須要繞過NAT規則；繞過NAT規則有不少種方法，NAT豁免就是其中一種

2配置步驟

NAT豁免容許雙向通訊

a定義一個ACL，用於指定須要繞過NAT規則的流量（地址）

如：

asa(config)# access-list nonat extended permit ip 192.168.10.0 255.255.255.0 172.16.1.0 255.255.255.0

b配置NAT豁免

asa(config)# nat (interface_name) 0 access-list acl_name

如：網段192.168.10.0/24中的主機能夠訪問網段172.16.1.0/24中的主機，且不作NAT轉換

asa(config)# nat (inside) 0 access-list nonat

·NAT經常使用命令

1查看NAT轉換表（包含動態和靜態）

Show xlate    查看摘要

Show xlate detail    查看詳細信息

Show run nat        查看指定NAT

Show run global    查看指定全局地址

2刪除定義的全局地址池（使動態NAT和PAT轉換失效）

在定義全局命令前加no便可；如

No global (outside) 1 172.16.1.200

3刪除動態NAT和PAT（不能刪除靜態）

Clear xlate

4刪除靜態NAT

Clear configure stat

Clear configure nat

Clear configure global

四 NAT模擬實驗

實驗目的：配置NAT，實現企業網絡需求

實驗環境：如圖，環境中只有一個公網IP

實驗要求：

1啓用NAT控制，讓內網客戶機能夠訪問互聯網PC3,其中PC1使用NAT轉換訪問，PC2使用NAT豁免訪問，並查看NAT轉換表進行驗證

2讓互聯網客戶機PC3能夠訪問內網服務器R5

實驗步驟：

1配置基礎網絡環境（ip、網關、路由器的路由條目）

R5和PC3開啓telnet，便於測試（配置基本類似）

R5

PC3

PC1和PC2的配置類似，PC2略

R3的配置

2 ASA的基本配置（IP、邏輯名稱、路由等）

3開啓NAT控制，配置動態PAT，讓PC1使用NAT轉換後的地址訪問PC3

驗證（此時PC2不能訪問PC3）

3配置NAT豁免，讓PC2使用本身的地址訪問PC3

驗證，NAT表中並無PC2的條目，可是PC2能夠訪問PC3了

4配置靜態PAT，發佈內網服務器，使PC3能夠訪問R5

驗證（最後測試能夠訪問）