•decryption - for CET
•check input rate limits
•input accounting
•policy routing
•routing
•redirect to web cache
•NAT inside to outside (local to global translation)
•crypto (check map and mark for encryption)
•check output access list
•inspect (Context-based Access Control (CBAC))
•TCP intercept
•encryption
Outside-to-Inside
•If IPSec then check input access list
•decryption - for CET or IPSec
•check input access list
•check input rate limits
•input accounting
•NAT outside to inside (global to local translation)
•policy routing
•routing
•redirect to web cache
•crypto (check map and mark for encryption)
•check output access list
•inspect CBAC
•TCP intercept
•encryption
數據報從Inside-to-Outside出去的時候是先策略路由,路由,然後纔是NAT
數據包從 Outside-to-Inside進來的時候是先NAT,策略路由,再路由
1.首先是nat 0加訪問控制列表(BYPASS)
2.然後是static加訪問控制列表
3.然後是點對點的static轉換
4.然後是nat 1 (>=1)加訪問控制列表
5.然後是nat 0或者(>=1) 加網段地址
6.global pool
7.最後是PAT
1.nat (inside) 0 access-list nonat-host -----這裏nat 0 只能寫一句,所以這句沒寫進去
1.nat (inside) 0 access-list nonat-network
2.static (inside,outside) 1.1.1.2 access-list static-host
3.static (inside,outside) 1.1.1.3 access-list static-network 0 0
4.static (inside,outside) 1.1.1.4 2.2.2.2
5.nat (inside) 1 access-list nat-host
6.nat (inside) 1 access-list nat-network
7.nat (inside) 0 2.2.2.2 255.255.255.255--------注意!這裏nat 0和下面nat 1的比較時看後面條目的明細程度的,而不是0或者1
8.nat (inside) 1 2.2.2.0 255.255.255.0 0 0
9.global(outside) 1 1.1.1.100-1.1.1.200
10.global (outside) 1 interface
以上執行順序6.X/7.X都一樣.
在理解NAT操作順序列表之前,首先需要理解NAT本身。其最基本的形式是,NAT將一個IP地址轉換爲另一個IP地址。
# 加密-Cisco加密技術(CET)或IPSec
# 檢測輸入訪問列表
# 檢測輸入率限制
# 輸入審計
# 路由策略
# 路由
# 重定向到Web緩衝
# 由內向外NAT(本地到外部的轉換)
# 密碼系統(檢查並標識爲加密)
# 檢測輸出訪問列表
# 檢查基於上下文的訪問控制(CBAC)
# TCP截取
# 加密
這是由外向內操作順序的列表:
# 加密-Cisco加密技術(CET)或IPSec
# 檢測輸入訪問列表
# 檢測輸入率限制
# 輸入審計
# 由外向內NAT(外部到本地的轉換)
# 路由策略
# 路由
# 重定向到Web緩衝
# 密碼系統(檢查並標識爲加密)
# 檢測輸出訪問列表
# 檢查CBAC
# TCP截取
# 加密