ASA防火墙NAT新版老版的配置方法对比.docxVIP

ASA防火墙 NAT新版老版的配置方法对比不是最新的资料，但是觉得还是对一些朋友比较有用处，还是发布出来这里先提供在线查阅，稍后会提供PDF版给大家下载ASA 8.3 以后，NAT 算是发生了很大的改变，之前也看过8.4 的ASA，改变的还有VPN，加入了Ikev2 。MPF 方法加入了新的东西，QOS 和策略都加强了，这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧！拓扑图就是上面的，基本配置都是一样，地址每个路由器上一条默认路由指向ASA。基本通信没问题，关于8.3 以后推出了两个概念，一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object，代表服务。1、地址池的形式的NAT 配置老版本代表一个 的地址池转换成-54 一对一的转换nat (inside) 1 global (outside) 1 -54新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 54ciscoasa(config-network-object)# exitciscoasa(config)# object network insideciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool其实，刚开始接触也挺不习惯的，不过弄懂了就习惯了，它的意思是先定义两个object，一个用于代表转换前的地址范围，一个是转化后的地址范围，最后在转换前的object 进行调用转化后的object。由于地址不是一一对应的，所以这里它就自动选择了。这里为了清楚表达要在需要的地方调用这个策略，所以输入了两次object network inside， 其实我们看先创建一个地址池，然后在创建一个需要转换的范围，然后在这个object 里面调用。2、动态PAT，多对一的配置老配置里面可以根据一个地址或者直接跟interface 参数来做nat (inside) 1 global (outside) 1 or interface新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这个策略最简单，就在需要转换的地址进行NAT 配置，这里调用interface 作为转换。如果是一个单一的地址话。ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pat 调用outside-pat 策略用 做PAT转换成 出去了3、Static NAT 一对一转换老版本，用于服务器公布出去static (inside,outside ) 新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config)# access-list 100 permit tcp any host eq telnetciscoasa(config)# access-group 100 in interface outside外部访问DMZ 没问题，但是这里注意的是在8.3 以前的版本是需要放行转换后的地址，而8.3 以后，是放行真实的地址，也就是内部地址。这里还可以用一个obejct 来单独设置一个地址，然后在调用。另外如果是http 的转换或者邮件这些依赖DNS 解析的服务话，而内部有是通过公网地址访问的话，那么就加个DNS 参数nat (dmZ,outside) static dns4、Static NAT 端口转换static (inside,outside) tcp 2323 23新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config-network-object)# nat (dmZ,outside) static service tcp telnet 2323这个是格式，前面telnet 是代表内部服务的端口号，而后面的代表转换后的端口号。这里要加2323 的端口号。另外一种转换形式就是跟interface 参数的，它跟8.3 以前一样，接口地址不能作为object 的一部分，只能通过interface来表示，而不是地址形式。ciscoasa(config-network-object)# nat (dmZ,outside) static interface service tcp telnet 2323这里8.3 以后放行真实地址的流量就可以了，而不关心转换后的地址。5、Identity NATnat (inside) 0 55在老版本里面有个NAT 0 的策略，分为identity 和bypass，我们通常用的deny VPN 流量不做NAT 用的是bypass，不过在8.3 以后实现方法有点不同。在这个拓扑中，inside 新增加一个 的地址，不被转换出去。ciscoasa(config)# object network insideciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) dynamic interface默认情况下是转换地址出去的，做个identity 后新版本(Network object NAT)ciscoasa(config)# object network inside1ciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) static 这里自己转换自己，它是优于PAT 的。6、policy NATaccess-list 100 permit ip host 关于 网段去往 的转换用nat (inside) 1 access-list 100global (outside) 1 globat (outside) 1 interface在老版本中，叫做策略NAT，根据访问不同的网段，转换成不同地址出去。新版本(Twice NAT) ，这个是两次NAT，一般加入了基于目的的元素，而之前的network object 只是基于源的，通常情况下使用object 就能解决问题了，这个只是在特殊情况下使用。一般我们把object 叫做Auto NAT ，而Twice NAT 叫做manual NAT这是outside 有个 和 的地址，当 的网段访问 的时候转换成 出去，而其余的就用接口地址转换。ciscoasa(config)# object network policy 这个代表访问ciscoasa(config-network-object)# host ciscoasa(config)# object network outside-pat 用这个地址做专门访问 的PATciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这里定义了内部网段，并且用接口地址做PAT。关于Twice NAT 是在全局下做的，而Auto NAT 是基于在Object 下做的。ciscoasa(config)# nat (inside,outside) source dynamic inside outside-pat destination static policy policy这个跟普通的Auto NAT，这里多了个destination 目的，policy policy 这是书写格式。看下效果效果出来了，访问 的时候用 转换，而访问 的时候用interface 转换出去。VPN 流量旁路在老版本里面我们用NAT 0 来解决这个问题，而在新版本里面没有NAT 0 这个概念了，它用Twice NAT+Identify 组合的使用access-list 100 permit ip host host nat (inside) 0 access-list 100object network local-vpn-traffichost object netowork remote-vpn-traffichost nat (inside,outside) source static local-vpn-traffic local-vpn-traffic destination static remote-vpn-trafficremote-vpn-traffic (全局下)执行顺序：1、manual NAT：(Twice NAT)：、Twice NAT+Identify (VPN 旁路) 、优先选择Twice NAT 有服务的转换、选择TwiceNAT关于Twice NAT 的顺序完全是谁在