分享
分销 收藏 举报 申诉 / 7
立即下载 开通VIP
播放页_导航下方通栏广告
当前位置: 首页 > 包罗万象 > 大杂烩 > CISCO防火墙ASA8.3nat.doc

类型CISCO防火墙ASA8.3nat.doc

  • 上传人:w****g
  • 文档编号:7376998
  • 上传时间:2025-01-01
  • 格式:DOC
  • 页数:7
  • 大小:158.54KB
  • 下载积分:6 金币
    • 播放页_非在线预览资源立即下载上方广告
    举报
    举报     申诉
    申诉     本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请申请举报、认领或删除 立即下载
    配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    CISCO 防火墙 ASA8 nat
    资源描述:
    (完整版)CISCO防火墙ASA8.3nat Network Object NAT配置介绍 1。Dynamic NAT(动态NAT,动态一对一)     实例一:    传统配置方法:    nat (Inside) 1 10。1。1.0 255.255.255.0    global (Outside) 1 202。100。1.100-202.100。1。200      新配置方法(Network Object NAT)    object network Outside-Nat-Pool      range 202.100。1。100 202.100.1。200    object network Inside-Network      subnet 10.1.1。0 255.255.255。0      nat (Inside,Outside) dynamic Outside—Nat—Pool       实例二:    object network Outside-Nat-Pool      range 202。100。1.100 202。100.1。200    object network Outside—PAT-Address      host 202.100。1。201    object-group network Outside—Address      network-object object Outside—Nat—Pool      network—object object Outside-PAT—Address     object network Inside—Network (先100—200动态一对一,然后202.100。1.201动态PAT,最后使用接口地址动态PAT)     nat (Inside,Outside) dynamic Outside—Address interface     教主认为这种配置方式的好处是,新的NAT命令绑定了源接口和目的接口,所以不会出现传统配置影响DMZ的问题(当时需要nat0 + acl来旁路)   2.Dynamic PAT (Hide)(动态PAT,动态多对一)    传统配置方式:    nat (Inside) 1 10.1。1。0 255.255。255.0    global(outside) 1 202。100。1。101      新配置方法(Network Object NAT)      object network Outside-PAT-Address      host 202.100.1。101    object network Inside-Network subnet 10。1.1。0 255。255。255。0      nat (Inside,Outside) dynamic Outside—PAT-Address      or      nat (Inside,Outside) dynamic 202.100。1.102   3。Static NAT or Static NAT with Port Translation(静态一对一转换,静态端口转换)    实例一:(静态一对一转换)    传统配置方式:    static (Inside,outside) 202。100.1.101 10.1.1.1      新配置方法(Network Object NAT)      object network Static-Outside—Address      host 202。100.1.101    object network Static—Inside-Address   host 10。1。1。1      nat (Inside,Outside) static Static-Outside-Address      or      nat (Inside,Outside) static 202。100。1.102 〈dns>      实例二:(静态端口转换)    传统配置方式:    static (inside,outside) tcp 202.100.1.102 2323 10.1.1。1 23    新配置方法(Network Object NAT)    object network Static-Outside—Address      host 202.100。1。101    object network Static-Inside-Address host 10。1.1。1       nat (Inside,Outside) static Static—Outside-Address service tcp telnet 2323       or      nat (Inside,Outside) static 202.100。1.101 service tcp telnet 2323   4。Identity NAT =no nat    传统配置方式:    nat (inside) 0 10.1。1。1 255。255.255.255    新配置方法(Network Object NAT)    object network Inside—Address      host 10。1。1.1      nat (Inside,Outside) static Inside-Address      or      nat (Inside,Outside) static 10.1。1.1   Twice NAT(类似于Policy NAT) 实例一: 传统配置: access—list inside—to-1 permit ip 10。1。1。0 255。255.255.0 host 1。1.1.1 access-list inside-to-202 permit ip 10.1.1。0 255.255。255。0 host 202.100。1。1 nat (inside) 1 access—list inside-to-1 nat (inside) 2 access-list inside—to—202 global(outside) 1 202。100。1。101 global(outside) 2 202.100。1。102     新配置方法(Twice NAT): object network dst—1  host 1。1.1。1 object network dst-202  host 202。100.1。1 object network pat-1  host 202.100。1.101 object network pat—2  host 202。100.1。102 object network Inside-Network  subnet 10。1。1。0 255.255。255.0   nat (Inside,Outside) source dynamic Inside—Network pat—1 destination static dst—1 dst—1 nat (Inside,Outside) source dynamic Inside-Network pat—2 destination static dst—202 dst-202         实例二: 传统配置: access-list inside—to-1 permit ip 10.1。1.0 255。255。255。0 host 1。1。1.1 access-list inside-to—202 permit ip 10.1。1.0 255。255。255。0 host 202。100.1。1 nat (inside) 1 access—list inside—to-1 nat (inside) 2 access-list inside—to-202 global(outside) 1 202.100。1.101 global(outside) 2 202。100.1。102   static (outside,inside) 10。1。1.101 1。1。1.1 static (outside,inside) 10。1.1。102 202。100。1.1     新配置方法(Twice NAT): object network dst—1  host 1。1。1。1 object network dst—202  host 202。100.1.1 object network pat—1  host 202。100.1。101 object network pat-2  host 202.100.1.102 object network Inside—Network  subnet 10.1。1。0 255。255.255.0 object network map-dst-1  host 10。1.1。101 object network map—dst—202  host 10.1。1.102   nat (Inside,Outside) source dynamic Inside—Network pat—1 destination static map-dst-1 dst—1 nat (Inside,Outside) source dynamic Inside—Network pat—2 destination static map-dst-202 dst—202   实例三: 传统配置: access-list inside-to—1 permit tcp 10.1。1.0 255.255.255.0 host 1。1。1。1 eq 23 access—list inside—to—202 permit tcp 10.1。1.0 255。255.255。0 host 202。100。1。1 eq 3032 nat (inside) 1 access—list inside—to-1 nat (inside) 2 access-list inside-to—202 global(outside) 1 202。100.1。101 global(outside) 1 202.100。1。102   新配置方法(Twice NAT): object network dst-1  host 1.1。1。1 object network dst—202  host 202.100.1。1 object network pat-1  host 202.100.1。101 object network pat—2  host 202。100.1。102 object network Inside—Network  subnet 10。1。1。0 255。255。255.0 object service telnet23  service tcp destination eq telnet object service telnet3032  service tcp destination eq 3032   nat (Inside,Outside) source dynamic Inside-Network pat—1 destination static dst-1 dst-1 service telnet23 telnet23 nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032     Main Differences Between Network Object NAT and Twice NAT(Network Object NAT和Twice NAT的主要区别)   How you define the real address.(从如何定义真实地址的角度来比较) – Network object NAT—You define NAT as a parameter for a network object; the network object definition itself provides the real address. This method lets you easily add NAT to network objects。 The objects can also be used in other parts of your configuration, for example, for access rules or even in twice NAT rules。 <NAT是network object的一个参数,network object定义自己为真实地址。这种配置方式,让你轻松的为network object 添加nat.这个object能够被用在配置的其它部分,例如:访问控制列表或者twice nat策略。> – Twice NAT—You identify a network object or network object group for both the real and mapped addresses. In this case, NAT is not a parameter of the network object; the network object or group is a parameter of the NAT configuration。 The ability to use a network object group for the real address means that twice NAT is more scalable. 〈为真实和映射后地址定义network object或者network object group.在twice nat中,NAT不是network object的一个参数,network object或者group是NAT配置的一个参数。能够为真实地址使用network object group,也体现了twice nat的可扩展性. 〉   How source and destination NAT is implemented。(源和目的nat被运用) – Network object NAT— Each rule can apply to either the source or destination of a packet。 So two rules might be used, one for the source IP address, and one for the destination IP address. These two rules cannot be tied together to enforce a specific translation for a source/destination combination。 〈每一个策略只能运用到数据包的源或者目的,如果要转换一个包的源和目的,需要使用两个策略,这两个策略不能绑定到一起来做实现特殊的源和目的的转换.〉 – Twice NAT-A single rule translates both the source and destination。 A matching packet only matches the one rule, and further rules are not checked。 Even if you do not configure the optional destination address for twice NAT, a matching packet still only matches one twice NAT rule。 The source and destination are tied together, so you can enforce different translations depending on the source/destination combination。 For example, sourceA/destinationA can have a different translation than sourceA/destinationB.   <一个单一策略,既能转换源也能转换目的.一个包只能匹配上一个策略,并且不再做进一步检查了。就算你没有配置twice nat的目的地址选项,一个数据包也只能匹配一个twice nat策略,目的和源被绑定到一起,因此你能够基于不同的源和目的做转换,例如:源A/目的A与源A/目的B转换不同〉 We recommend using network object NAT unless you need the extra features that twice NAT provides。 Network object NAT is easier to configure, and might be more reliable for applications such as Voice over IP (VoIP)。 <我们推荐使用network object NAT,除非你明确需要twice nat所提供的特性.Network object nat非常容易配置,并且对语音等运用更加可靠>   NAT Rule Order   排序实例: 192。168.1。1/32 (static) 10.1.1。0/24 (static) 192。168.1.0/24 (static) 172。16.1.0/24 (dynamic) (object abc) 172.16.1.0/24 (dynamic) (object def) 192.168.1.0/24 (dynamic)   查看NAT顺序的命令: ASA(config)# sh run nat nat (Inside,Outside) source dynamic Inside—Network pat—2 destination static dst—202 dst-202 service telnet3032 telnet3032 ! object network Inside—Network  nat (Inside,Outside) dynamic 202.100。1.105 ! nat (Inside,Outside) after—auto source dynamic Inside—Network pat—1 destination static dst—1 dst—1 service telnet23 telnet23   ASA(config)# sh nat Manual NAT Policies (Section 1) 1 (Inside) to (Outside) source dynamic Inside—Network pat-2 destination static dst—202 dst-202 service telnet3032 telnet3032     translate_hits = 1, untranslate_hits = 0   Auto NAT Policies (Section 2) 1 (Inside) to (Outside) source dynamic Inside-Network 202。100.1.105     translate_hits = 0, untranslate_hits = 0   Manual NAT Policies (Section 3) 1 (Inside) to (Outside) source dynamic Inside-Network pat—1 destination static dst—1 dst-1 service telnet23 telnet23 translate_hits = 0, untranslate_hits = 0       如何调整和插入NAT nat (Inside,Outside) 1 source dynamic Inside—Network pat-1 destination static dst—1 dst-1 service telnet23 telnet23
    展开阅读全文
    提示  咨信网温馨提示:
    1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
    2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
    3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
    5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
    6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

    开通VIP折扣优惠下载文档

    自信AI创作助手
    关于本文
    本文标题:CISCO防火墙ASA8.3nat.doc
    链接地址:https://www.zixin.com.cn/doc/7376998.html
    页脚通栏广告
    关于我们 - 网站声明 - 诚招英才 - 知识之旅 - 便捷服务 - 联系我们 - 成长足迹

    Copyright ©2010-2026   All Rights Reserved  宁波自信网络信息技术有限公司 版权所有   |  客服电话:0574-28810668    微信客服:咨信网客服    投诉电话:18658249818   

    违法和不良信息举报邮箱:help@zixin.com.cn    文档合作和网站合作邮箱:fuwu@zixin.com.cn    意见反馈和侵权处理邮箱:1219186828@qq.com   | 证照中心

    12321jubao.png12321网络举报中心 电话:010-12321  jubao.png中国互联网举报中心 电话:12377   gongan.png浙公网安备33021202000488号  icp.png浙ICP备2021020529号-1 浙B2-20240490   


    关注我们 :微信公众号  抖音  微博  LOFTER               

    自信网络  |  ZixinNetwork