Inside-to-Outside
•If IPSec then check input access list
•decryption - for CET
•check input rate limits
•input accounting
•policy routing
•routing
•redirect to web cache
•NAT inside to outside (local to global translation)
•crypto (check map and mark for encryption)
•check output access list
•inspect (Context-based Access Control (CBAC))
•TCP intercept
•encryption
•decryption - for CET
•check input rate limits
•input accounting
•policy routing
•routing
•redirect to web cache
•NAT inside to outside (local to global translation)
•crypto (check map and mark for encryption)
•check output access list
•inspect (Context-based Access Control (CBAC))
•TCP intercept
•encryption
Outside-to-Inside
•If IPSec then check input access list
•decryption - for CET or IPSec
•check input access list
•check input rate limits
•input accounting
•NAT outside to inside (global to local translation)
•policy routing
•routing
•redirect to web cache
•crypto (check map and mark for encryption)
•check output access list
•inspect CBAC
•TCP intercept
•encryption
數據報從Inside-to-Outside出去的時候是先策略路由,路由,然後纔是NAT
數據包從 Outside-to-Inside進來的時候是先NAT,策略路由,再路由
NAT執行順序
1.首先是nat 0加訪問控制列表(BYPASS)
2.然後是static加訪問控制列表
3.然後是點對點的static轉換
4.然後是nat 1 (>=1)加訪問控制列表
5.然後是nat 0或者(>=1) 加網段地址
6.global pool
7.最後是PAT
1.首先是nat 0加訪問控制列表(BYPASS)
2.然後是static加訪問控制列表
3.然後是點對點的static轉換
4.然後是nat 1 (>=1)加訪問控制列表
5.然後是nat 0或者(>=1) 加網段地址
6.global pool
7.最後是PAT
注意!如果處於同一級別就需要比較訪問控制列表的明細程度和網段地址的明細程度,如果前面都一樣則寫在前面的優先
nat的排列順序
1.nat (inside) 0 access-list nonat-host -----這裏nat 0 只能寫一句,所以這句沒寫進去
1.nat (inside) 0 access-list nonat-network
2.static (inside,outside) 1.1.1.2 access-list static-host
3.static (inside,outside) 1.1.1.3 access-list static-network 0 0
4.static (inside,outside) 1.1.1.4 2.2.2.2
5.nat (inside) 1 access-list nat-host
6.nat (inside) 1 access-list nat-network
7.nat (inside) 0 2.2.2.2 255.255.255.255--------注意!這裏nat 0和下面nat 1的比較時看後面條目的明細程度的,而不是0或者1
8.nat (inside) 1 2.2.2.0 255.255.255.0 0 0
9.global(outside) 1 1.1.1.100-1.1.1.200
10.global (outside) 1 interface
以上執行順序6.X/7.X都一樣.
在理解NAT操作順序列表之前,首先需要理解NAT本身。其最基本的形式是,NAT將一個IP地址轉換爲另一個IP地址。
1.nat (inside) 0 access-list nonat-host -----這裏nat 0 只能寫一句,所以這句沒寫進去
1.nat (inside) 0 access-list nonat-network
2.static (inside,outside) 1.1.1.2 access-list static-host
3.static (inside,outside) 1.1.1.3 access-list static-network 0 0
4.static (inside,outside) 1.1.1.4 2.2.2.2
5.nat (inside) 1 access-list nat-host
6.nat (inside) 1 access-list nat-network
7.nat (inside) 0 2.2.2.2 255.255.255.255--------注意!這裏nat 0和下面nat 1的比較時看後面條目的明細程度的,而不是0或者1
8.nat (inside) 1 2.2.2.0 255.255.255.0 0 0
9.global(outside) 1 1.1.1.100-1.1.1.200
10.global (outside) 1 interface
以上執行順序6.X/7.X都一樣.
在理解NAT操作順序列表之前,首先需要理解NAT本身。其最基本的形式是,NAT將一個IP地址轉換爲另一個IP地址。
當路由器使用該操作順序時,它將入站的包從列表的最上面向下移動。如果數據包來自NAT指定的內部接口,它使用由內向外的列表。如果數據包來自一個由外向內的接口,它使用由外向內操作順序的列表。
這是由內向外列表的操作順序:
# 如果是IPSec,檢測輸入訪問列表
# 加密-Cisco加密技術(CET)或IPSec
# 檢測輸入訪問列表
# 檢測輸入率限制
# 輸入審計
# 路由策略
# 路由
# 重定向到Web緩衝
# 由內向外NAT(本地到外部的轉換)
# 密碼系統(檢查並標識爲加密)
# 檢測輸出訪問列表
# 檢查基於上下文的訪問控制(CBAC)
# TCP截取
# 加密
# 加密-Cisco加密技術(CET)或IPSec
# 檢測輸入訪問列表
# 檢測輸入率限制
# 輸入審計
# 路由策略
# 路由
# 重定向到Web緩衝
# 由內向外NAT(本地到外部的轉換)
# 密碼系統(檢查並標識爲加密)
# 檢測輸出訪問列表
# 檢查基於上下文的訪問控制(CBAC)
# TCP截取
# 加密
有內向外時,先路由再NAT轉換。
這是由外向內操作順序的列表:
# 如果是IPSec,檢測輸入訪問列表
# 加密-Cisco加密技術(CET)或IPSec
# 檢測輸入訪問列表
# 檢測輸入率限制
# 輸入審計
# 由外向內NAT(外部到本地的轉換)
# 路由策略
# 路由
# 重定向到Web緩衝
# 密碼系統(檢查並標識爲加密)
# 檢測輸出訪問列表
# 檢查CBAC
# TCP截取
# 加密
# 加密-Cisco加密技術(CET)或IPSec
# 檢測輸入訪問列表
# 檢測輸入率限制
# 輸入審計
# 由外向內NAT(外部到本地的轉換)
# 路由策略
# 路由
# 重定向到Web緩衝
# 密碼系統(檢查並標識爲加密)
# 檢測輸出訪問列表
# 檢查CBAC
# TCP截取
# 加密
有外向內時,則先NAT轉換再路由。
我們假設收到一個來自由外向內的接口的IP包。在解析這個包時,我們希望使用一個訪問控制列表阻攔來自某個IP地址的通信。應該將哪個IP地址放入ACL中,是包解析之前的IP地址(例如公網的IP地址),還是包解析後的IP地址呢(例如私有地址)?
通過查看操作順序,可以確定“由外向內NAT”操作發生在“檢測輸入訪問列表”任務之後。因此,會在ACL中使用公網IP地址,因爲數據包沒有通過NAT。
另一方面,如果希望爲通過NAT的通信建立一個靜態路由該怎麼辦?應該使用公網(外部的)還是私有(內部的)IP地址呢?在這種情況下,因爲當通信開始“路由”操作時已經通過了NAT,所以你應當使用私有(內部的)IP地址。
(責任編輯:admin)