ASA上的NAT配置
一 ASA上的NAT類型
ASA上的NAT有四種類型:動態NAT、動態PAT、靜態NAT、靜態PAT
·動態NAT
1概念
動態NAT將一組IP地址轉換爲指定地址池中的IP地址,是動態一對一的輪詢的關係;適合擁有多個公網IP、多個內網PC要訪問互聯網的環境使用(單向)
2配置步驟
a指定需要進行地址轉換的內網網段
asa(config)# nat (interface_name) nat-id local-ip mask
其中nat-id這裏必須大於等於1;網卡名爲後面所跟地址的邏輯名稱
如:asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
其中nat (inside) 1 0 0 表示轉換所有內網地址
b定義全局地址池
asa(config)# global (interface_name) nat-id [global-ip]-[global-ip]
如:asa(config)# global (outside) 1 172.16.1.100-172.16.1.200
·動態PAT(常用)
1概述
動態PAT使用IP和源端口號創建一個唯一的會話,是動態多對一的關係;適合只有一個公網IP、多個內網PC要訪問互聯網的環境使用(單向)
2配置步驟
與動態PAT唯一不同的就是全局地址只有一個
a略
b定義全局地址池
asa(config)# global (interface_name) nat-id [global-ip]
如:asa(config)# global (outside) 1 172.16.1.100
·靜態NAT
1概述
靜態NAT創建了一個從真實地址到映射地址的一對一的固定轉換,可用於雙向通信;適合有多個公網IP且有多個內網服務器需要發佈的環境使用(雙向)
2配置步驟
a配置ACL
實際環境中是允許所有地址訪問內網服務器的
asa(config)# access-list out_to_dmz permit ip any host global-ip
asa(config)# access-group out_to_dmz in int outside
b配置靜態NAT
asa(config)# static (local_if_name,global_if_name) global-ip local-ip [netmask mask]
如:asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1
·靜態PAT(常用)
1概述
靜態PAT允許爲真實和映射地址指定TCP或UDP端口號;適合只有一個公網IP且要發佈多個內網服務器的環境使用(雙向)
2配置步驟
a配置ACL
實際環境中是允許所有地址訪問內網服務器的
asa(config)# access-list out_to_dmz permit ip any host global-ip
asa(config)# access-group out_to_dmz in int outside
b配置靜態NAT
asa(config)# static (local_if_name,global_if_name) {tcp |udp} {global-ip | interface} global-port local-ip local-port [netmask mask]
如:
asa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
asa(config)# static (dmz,outside) tcp 172.16.1.201 8080 192.168.1.1 80
二 NAT控制與豁免
如圖所示
如果簡單的配置完上圖所有設備的IP和路由,我們知道,默認高安全級別是可以訪問低安全級別的,也就是說,即使我們不做NAT,PC1也可以訪問PC3;而在真實環境中,PC3相當於互聯網中的PC機,PC1訪問PC3時,可以通過ASA將源地址是自己IP的請求包發送出去,但是確不會接收到迴應包,因爲私網地址在互聯網上是不合法的,因此我們還是需要做NAT,將私網地址映射爲公網地址來訪問互聯網或被互聯網訪問
ASA從7.0開始提供了一個NAT控制的開關,即當我們開啓NAT後,簡單的配置中,PC1不能再訪問PC3了,必須做NAT轉換才能進行訪問
·NAT控制
1概念
ASA從7.0版本開始提供了一個NAT控制的開關;在實際環境中,我們一般啓用NAT控制方便管理;在啓用NAT
2配置步驟
默認情況下NAT控制是關閉的;使用一下命令啓用和禁用NAT控制
啓用:nat-control
禁用:no nat-control
·NAT豁免
1概念
當啓用NAT控制時,每個發起的連接都需要一個相應的NAT規則,但是在某些應用場合(例如配置***)需要繞過NAT規則;繞過NAT規則有很多種方法,NAT豁免就是其中一種
2配置步驟
NAT豁免允許雙向通信
a定義一個ACL,用於指定需要繞過NAT規則的流量(地址)
如:
asa(config)# access-list nonat extended permit ip 192.168.10.0 255.255.255.0 172.16.1.0 255.255.255.0
b配置NAT豁免
asa(config)# nat (interface_name) 0 access-list acl_name
如:網段192.168.10.0/24中的主機可以訪問網段172.16.1.0/24中的主機,且不做NAT轉換
asa(config)# nat (inside) 0 access-list nonat
·NAT常用命令
1查看NAT轉換表(包含動態和靜態)
Show xlate
Show xlate detail
Show run nat
Show run global
2刪除定義的全局地址池(使動態NAT和PAT轉換失效)
在定義全局命令前加no即可;如
No global (outside) 1 172.16.1.200
3刪除動態NAT和PAT(不能刪除靜態)
Clear xlate
4刪除靜態NAT
Clear configure stat
Clear configure nat
Clear configure global
四 NAT模擬實驗
實驗目的:配置NAT,實現企業網絡需求
實驗環境:如圖,環境中只有一個公網IP
實驗要求:
1啓用NAT控制,讓內網客戶機可以訪問互聯網PC3,其中PC1使用NAT轉換訪問,PC2使用NAT豁免訪問,並查看NAT轉換表進行驗證
2讓互聯網客戶機PC3可以訪問內網服務器R5
實驗步驟:
1配置基礎網絡環境(ip、網關、路由器的路由條目)
R5和PC3開啓telnet,便於測試(配置基本相似)
R5
PC3
PC1和PC2的配置相似,PC2略
R3的配置
2 ASA的基本配置(IP、邏輯名稱、路由等)
3開啓NAT控制,配置動態PAT,讓PC1使用NAT轉換後的地址訪問PC3
驗證(此時PC2不能訪問PC3)
3配置NAT豁免,讓PC2使用自己的地址訪問PC3
驗證,NAT表中並沒有PC2的條目,但是PC2可以訪問PC3了
4配置靜態PAT,發佈內網服務器,使PC3可以訪問R5
驗證(最後測試可以訪問)