




已阅读5页,还剩2页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ASA防火墙 NAT新版老版的配置方法对比不是最新的资料,但是觉得还是对一些朋友比较有用处,还是发布出来这里先提供在线查阅,稍后会提供PDF版给大家下载ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4 的ASA,改变的还有VPN,加入了Ikev2 。MPF 方法加入了新的东西,QOS 和策略都加强了,这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。基本通信没问题,关于8.3 以后推出了两个概念,一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object,代表服务。1、地址池的形式的NAT 配置老版本代表一个 的地址池转换成-54 一对一的转换nat (inside) 1 global (outside) 1 -54新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 54ciscoasa(config-network-object)# exitciscoasa(config)# object network insideciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool其实,刚开始接触也挺不习惯的,不过弄懂了就习惯了,它的意思是先定义两个object,一个用于代表转换前的地址范围,一个是转化后的地址范围,最后在转换前的object 进行调用转化后的object。由于地址不是一一对应的,所以这里它就自动选择了。这里为了清楚表达要在需要的地方调用这个策略,所以输入了两次object network inside, 其实我们看先创建一个地址池,然后在创建一个需要转换的范围,然后在这个object 里面调用。2、动态PAT,多对一的配置老配置里面可以根据一个地址或者直接跟interface 参数来做nat (inside) 1 global (outside) 1 or interface新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这个策略最简单,就在需要转换的地址进行NAT 配置,这里调用interface 作为转换。如果是一个单一的地址话。ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pat 调用outside-pat 策略用 做PAT转换成 出去了3、Static NAT 一对一转换老版本,用于服务器公布出去static (inside,outside ) 新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config)# access-list 100 permit tcp any host eq telnetciscoasa(config)# access-group 100 in interface outside外部访问DMZ 没问题,但是这里注意的是在8.3 以前的版本是需要放行转换后的地址,而8.3 以后,是放行真实的地址,也就是内部地址。这里还可以用一个obejct 来单独设置一个地址,然后在调用。另外如果是http 的转换或者邮件这些依赖DNS 解析的服务话,而内部有是通过公网地址访问的话,那么就加个DNS 参数nat (dmZ,outside) static dns4、Static NAT 端口转换static (inside,outside) tcp 2323 23新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config-network-object)# nat (dmZ,outside) static service tcp telnet 2323这个是格式,前面telnet 是代表内部服务的端口号,而后面的代表转换后的端口号。这里要加2323 的端口号。另外一种转换形式就是跟interface 参数的,它跟8.3 以前一样,接口地址不能作为object 的一部分,只能通过interface来表示,而不是地址形式。ciscoasa(config-network-object)# nat (dmZ,outside) static interface service tcp telnet 2323这里8.3 以后放行真实地址的流量就可以了,而不关心转换后的地址。5、Identity NATnat (inside) 0 55在老版本里面有个NAT 0 的策略,分为identity 和bypass,我们通常用的deny VPN 流量不做NAT 用的是bypass,不过在8.3 以后实现方法有点不同。在这个拓扑中,inside 新增加一个 的地址,不被转换出去。ciscoasa(config)# object network insideciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) dynamic interface默认情况下是转换地址出去的,做个identity 后新版本(Network object NAT)ciscoasa(config)# object network inside1ciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) static 这里自己转换自己,它是优于PAT 的。6、policy NATaccess-list 100 permit ip host 关于 网段去往 的转换用nat (inside) 1 access-list 100global (outside) 1 globat (outside) 1 interface在老版本中,叫做策略NAT,根据访问不同的网段,转换成不同地址出去。新版本(Twice NAT) ,这个是两次NAT,一般加入了基于目的的元素,而之前的network object 只是基于源的,通常情况下使用object 就能解决问题了,这个只是在特殊情况下使用。一般我们把object 叫做Auto NAT ,而Twice NAT 叫做manual NAT这是outside 有个 和 的地址,当 的网段访问 的时候转换成 出去,而其余的就用接口地址转换。ciscoasa(config)# object network policy 这个代表访问ciscoasa(config-network-object)# host ciscoasa(config)# object network outside-pat 用这个地址做专门访问 的PATciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这里定义了内部网段,并且用接口地址做PAT。关于Twice NAT 是在全局下做的,而Auto NAT 是基于在Object 下做的。ciscoasa(config)# nat (inside,outside) source dynamic inside outside-pat destination static policy policy这个跟普通的Auto NAT,这里多了个destination 目的,policy policy 这是书写格式。看下效果效果出来了,访问 的时候用 转换,而访问 的时候用interface 转换出去。VPN 流量旁路在老版本里面我们用NAT 0 来解决这个问题,而在新版本里面没有NAT 0 这个概念了,它用Twice NAT+Identify 组合的使用access-list 100 permit ip host host nat (inside) 0 access-list 100object network local-vpn-traffichost object netowork remote-vpn-traffichost nat (inside,outside) source static local-vpn-traffic local-vpn-traffic destination static remote-vpn-trafficremote-vpn-traffic (全局下)执行顺序:1、manual NAT:(Twice NAT):、Twice NAT+Identify (VPN 旁路) 、优先选择Twice NAT 有服务的转换、选择TwiceNAT关于Twice NAT 的顺序完全是谁在
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 工业机器人设计与采购保密协议
- 通信工程施工安全保密协议
- 人才引进协议书
- 茶叶茶具电商直播带货合作及销售分成合同
- 高铁站建设彩钢板房拆除与安置补偿协议
- 深度解读2025年个人养老金制度对养老保障体系的投资影响报告
- 网络推广服务合同模板
- 2025年中国声波探伤仪行业市场前景预测及投资价值评估分析报告
- 2025年青少年心理健康教育能力评估试题及答案
- 2025年考研管理类联考试题及答案
- 一般状态评估(健康评估课件)
- 中型水库除险加固工程蓄水安全鉴定自检报告
- 口腔医院感染预防与控制
- YALEBROWN强迫量表完全
- 机械设备设计合同范本
- 日化品销售合同范本
- 小学生暑假户外野外生存技能
- 广西壮族自治区桂林市2023-2024学年七年级下学期期末考试数学试题
- 安徽省合肥市长丰县2022-2023学年五年级下学期期中数学试卷
- 医院超市投标经营方案(2篇)
- 2025届上海市宝山区行知中学高一数学第二学期期末统考试题含解析
评论
0/150
提交评论