Cisco ASA8.4.2 nat配置---基于network object
关于network object nat的配置动态NAT的配置 1.配置network object和network object group------用来匹配网络中需要转化的地址(这里包括需要转换的以及地址池的配置)object network cisco1 range 100.100.100.0 100.100.100.100object network cisco2 subnet 2.2.2.0 255.255.255.0这里可以先配置2个network object然后配置network object-group来进行相应的匹配,把各种object进行叠加object-group network cisco network-object object cisco1 network-object object cisco2 network-object host 101.101.101.1这个时候可以调用2.再次定义一个object network 用来定义转化后的地址,在这里就是所谓的配置地址池Object network my-host-obj13.在2中定义一个subnet的10.1.1.0 255.255.255.0用来定义真实的地址,注意subnet参数不能用在定义地址池中4.配置NAT来配置nat (inside,outside) source dynamic cisco mapped实际配置和文档有一定出入,在配置中source dynamic是关键字cisco指的是你要进行转换的地址mapped指的是你要转化后的地址5.NAT转化后XLATE的输出ASA# show xlate1 in use, 1 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I ->NAT from inside:2.2.2.2 to outside:1.1.1.56 flags i> 6.特例,配置动态NAT,使用完地址后进行PAT,PAT再用完用outside接口的ip地址object network mapped2 range 1.1.1.1 1.1.1.2object network mapped3 host 1.1.1.9object-group network mapped4 network-object object mapped2 network-object object mapped3------------------------------------------------------------定义地址池 1.1.1.1 1.1.1.2 先使用,用完把1.1.1.9进行PATobject network zhangjie subnet 2.2.2.0 255.255.255.0-----------------------------------------------------------定义要转换的地址nat (inside,outside) source dynamic zhangjie mapped4 interface-----------------------定义NAT转换,interface指 用完PAT后使用outside的地址 ASA# show xlate4 in use, 4 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I ->NAT from inside:2.2.2.2 to outside:1.1.1.1 flags i>NAT from inside:2.2.2.100 to outside:1.1.1.2 flags i>ICMP PAT from inside:2.2.2.101/25 to outside:1.1.1.9/37539 flags ri>可以发现最后实际效果PAT的配置和使用1.和之前的ASA版本不同,在使用NAT的时候如果对于1-1023端口流量很多的时候,你可以专门一个端口范围用来对应一些特定的应用。2.如果一个PAT的地址池被使用于2个rule,那个这2个rule的必须相同的选项。3.如果使用了一个接口作为PAT,那么就不可以使用extended pat4.配置object network PAT------定义PAT的地址池 range 1.1.1.11 1.1.1.100object network PATUSE------定义要转化的接口的IP地址 subnet 2.2.2.0 255.255.255.0 nat (inside,outside) source dynamic PATUSE pat-pool PAT-----这个时候定义 静态NAT的配置静态NAT包括Ip地址;还包括ip地址和端口的静态转换传统静态NAT的配置object network static host 1.1.1.101object network staticx host 2.2.2.101nat (inside,outside) source static staticx static基于端口的静态NATobject network staticx host 2.2.2.101object service tcp21 service tcp destination eq telnetobject service tcp23use service tcp destination eq telnet定义service来确定要转化的端口nat (inside,outside) source static staticx interface service tcp21 tcp23use定义了端口(服务)的转换Identity NAT定义要转换的ip地址object network staticx host 2.2.2.101 定义转换后的ip地址object network static112 host 2.2.2.101nat (inside,outside) source static staticx static112
页:
[1]