筆者實際工作中,ASA設備8.0版本還存在很多,實際應用中還需要精益求精,所以重新學習配置。
第一篇,學習NAT。
NAT地址翻譯把實際地址用映射地址代替,在目的網絡傳輸。分爲兩步:實際地址翻譯爲映射地址;返回流量的反翻譯。ASA處理那些匹配NAT Rule的流量,如果不匹配,進行其它包處理過程。例外情況是開啓NAT Control的時候,NAT Control要求安全等級高(如Inside)的包穿越到安全等級低(如Outside)區域時匹配Rule,否則包處理結束。
1.路由模式下的NAT
思科官方配置文檔有如下例子,很容易看懂:
配置:hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.15
2.透明模式下的NAT
在透明模式下,NAT有如下要求和限制:
(1)映射地址不在同一網段時,上游路由器要添加到下游路由器的靜態路由
(2)如果實際地址沒有和ASA直連,ASA上要添加到下游路由器的靜態路由
(3)alias命令不支持
(4)接口PAT不支持
(5)ARP inspection不支持。如果ASA一邊的主機發送ARP請求到另一邊,請求主機映射到同一網段的不同地址,ARP請求仍能看到實際地址
思科官方文檔的例子如下:
配置:hostname(config)# route inside 192.168.1.0 255.255.255.0 10.1.1.3 1
hostname(config)# nat (inside) 1 10.1.1.0 255.255.255.0
hostname(config)# nat (inside) 1 192.168.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.1-209.165.201.15
第一行的靜態路由對應上面的(2)
3.NAT Control
啓用NAT Control後,從高到低的流量需要匹配NAT。配置動態NAT或PAT時,相同級別流量通信需要匹配NAT,否則不用匹配。如果outside啓用動態NAT或PAT,需要匹配NAT。
默認情況下,NAT Control是不啓用的。如果是從舊版本升級的,也許需要開啓NAT Control。