ASA防火墙 NAT新版老版的配置方法对比.doc

ASA 8.3 以后，NAT 算是发生了很大的改变，之前也看过8.4 的ASA，改变的还有VPN，加入了Ikev2 。MPF 方法加入了新的东西，QOS 和策略都加强了，这算是Cisco 把CCSP 的课程改为CCNP Security 的改革吧！无标题.jpg (27.44 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传拓扑图就是上面的，基本配置都是一样，地址每个路由器上一条默认路由指向ASA。2.jpg (45.46 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传基本通信没问题，关于8.3 以后推出了两个概念，一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object，代表服务。1、地址池的形式的NAT 配置老版本代表一个 的地址池转换成-54 一对一的转换nat (inside) 1 global (outside) 1 -54新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 54ciscoasa(config-network-object)# exitciscoasa(config)# object network insideciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool其实，刚开始接触也挺不习惯的，不过弄懂了就习惯了，它的意思是先定义两个object，一个用于代表转换前的地址范围，一个是转化后的地址范围，最后在转换前的object 进行调用转化后的object。3.jpg (22.39 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传由于地址不是一一对应的，所以这里它就自动选择了。这里为了清楚表达要在需要的地方调用这个策略，所以输入了两次object network inside， 其实我们看先创建一个地址池，然后在创建一个需要转换的范围，然后在这个object 里面调用。2、动态PAT，多对一的配置老配置里面可以根据一个地址或者直接跟interface 参数来做nat (inside) 1 global (outside) 1 or interface新版本(Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface4.jpg (23.23 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传这个策略最简单，就在需要转换的地址进行NAT 配置，这里调用interface 作为转换。如果是一个单一的地址话。ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pat 调用outside-pat 策略用 做PAT5.jpg (19.53 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传转换成 出去了3、Static NAT 一对一转换老版本，用于服务器公布出去static (inside,outside ) 新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config)# access-list 100 permit tcp any host eq telnetciscoasa(config)# access-group 100 in interface outside6.jpg (20.27 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传外部访问DMZ 没问题，但是这里注意的是在8.3 以前的版本是需要放行转换后的地址，而8.3 以后，是放行真实的地址，也就是内部地址。这里还可以用一个obejct 来单独设置一个地址，然后在调用。另外如果是http 的转换或者邮件这些依赖DNS 解析的服务话，而内部有是通过公网地址访问的话，那么就加个DNS 参数nat (dmZ,outside) static dns4、Static NAT 端口转换static (inside,outside) tcp 2323 23新版本(Network object NAT)ciscoasa(config)# object network DMZciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (dmZ,outside) static ciscoasa(config-network-object)# nat (dmZ,outside) static service tcp telnet 2323这个是格式，前面telnet 是代表内部服务的端口号，而后面的代表转换后的端口号。7.jpg (10.81 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传这里要加2323 的端口号。另外一种转换形式就是跟interface 参数的，它跟8.3 以前一样，接口地址不能作为object 的一部分，只能通过interface来表示，而不是地址形式。ciscoasa(config-network-object)# nat (dmZ,outside) static interface service tcp telnet 23238.jpg (31.17 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传这里8.3 以后放行真实地址的流量就可以了，而不关心转换后的地址。5、Identity NATnat (inside) 0 55在老版本里面有个NAT 0 的策略，分为identity 和bypass，我们通常用的deny VPN 流量不做NAT 用的是bypass，不过在8.3 以后实现方法有点不同。在这个拓扑中，inside 新增加一个 的地址，不被转换出去。ciscoasa(config)# object network insideciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) dynamic interface9.jpg (22.81 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传默认情况下是转换地址出去的，做个identity 后新版本(Network object NAT)ciscoasa(config)# object network inside1ciscoasa(config-network-object)# host ciscoasa(config-network-object)# nat (inside,outside) static 10.jpg (21.01 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传这里自己转换自己，它是优于PAT 的。6、policy NATaccess-list 100 permit ip host 关于 网段去往 的转换用nat (inside) 1 access-list 100global (outside) 1 globat (outside) 1 interface在老版本中，叫做策略NAT，根据访问不同的网段，转换成不同地址出去。新版本(Twice NAT) ，这个是两次NAT，一般加入了基于目的的元素，而之前的network object 只是基于源的，通常情况下使用object 就能解决问题了，这个只是在特殊情况下使用。一般我们把object 叫做Auto NAT ，而Twice NAT 叫做manual NAT这是outside 有个 和 的地址，当 的网段访问 的时候转换成 出去，而其余的就用接口地址转换。ciscoasa(config)# object network policy 这个代表访问ciscoasa(config-network-object)# host ciscoasa(config)# object network outside-pat 用这个地址做专门访问 的PATciscoasa(config-network-object)# host ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet ciscoasa(config-network-object)# nat (inside,outside) dynamic interface这里定义了内部网段，并且用接口地址做PAT。关于Twice NAT 是在全局下做的，而Auto NAT 是基于在Object 下做的。ciscoasa(config)# nat (inside,outside) source dynamic inside outside-pat destination static policy policy这个跟普通的Auto NAT，这里多了个destination 目的，policy policy 这是书写格式。看下效果11.jpg (21.08 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传12.jpg (19.56 KB, 下载次数: 0)下载附件 2014-8-17 23:50 上传效果出来了，访问 的时候用 转换，而访问 的时候用interface 转换出去。VPN 流量旁路在老版本里面我们用NAT 0 来解决这个问题，而在新版本里面没有NAT 0 这个概念了，它用Twice NAT+Identify 组合的使用access-list 100 permit ip host host nat (inside) 0 access-list 100object network local-vpn-traffichost object netowork remote-vpn-traffichost nat (inside,outside) source static local-vpn-traffic local-vpn-traffic destination static remote-vpn-trafficremote-vpn-traffic (全局下)执行顺序：1、manual NAT：(Twice NAT)：、Twice NAT+Identify (VPN 旁路) 、优先选择Twice NAT 有服务的转换、选择TwiceNAT关于Twice NAT 的顺序完全是谁在最前面谁最优，没有什么比较的，可以通过人为的修改顺序。2、Auto NAT :1、identify 2、static 3、dynamic 其中static 是优于dynamic 的。如果static 存在多个，那么首先比较子网掩码范围，大的优先，也就是32 位由于24 位，如果都一样，就比较网络位，小的优先，就是/24 网段比/24 优先，最后都相同比较object name，字母最前面的优先，也就是ab 是优于bc 的Dynamic 的话，顺序也跟static 一样，只是static 是优于dyanmic 的 Network Object NAT配置介绍1.Dynamic NAT（动态NAT，动态一对一） 实例一: 传统配置方法： nat (Inside) 1 global (Outside) 1 00-00 新配置方法（Network Object NAT） object network Outside-Nat-Pool range 00 00 object network Inside-Network subnet object network Inside-Network nat (Inside,Outside) dynamic Outside-Nat-Pool 实例二: object network Outside-Nat-Pool range 00 00 object network Outside-PAT-Address host 01 object-group network Outside-Address network-object object Outside-Nat-Pool network-object object Outside-PAT-Address object network Inside-Network（先100-200动态一对一，然后01动态PAT,最后使用接口地址动态PAT） nat (Inside,Outside) dynamic Outside-Address interface 教主认为这种配置方式的好处是，新的NAT命令绑定了源接口和目的接口，所以不会出现传统配置影响DMZ的问题（当时需要nat0 + acl来旁路）2.Dynamic PAT (Hide)（动态PAT，动态多对一） 传统配置方式： nat (Inside) 1 global(outside) 1 01 新配置方法（Network Object NAT） object network Inside-Network subnet object network Outside-PAT-Address host 01 object network Inside-Network nat (Inside,Outside) dynamic Outside-PAT-Address or nat (Inside,Outside) dynamic 023.Static NAT or Static NAT with Port Translation（静态一对一转换，静态端口转换） 实例一：（静态一对一转换） 传统配置方式： static (Inside,outside) 01 新配置方法（Network Object NAT） object network Static-Outside-Address host 01 object network Static-Inside-Address host object network Static-Inside-Address nat (Inside,Outside) static Static-Outside-Address or nat (Inside,Outside) static 02 实例二：（静态端口转换） 传统配置方式： static (inside,outside) tcp 02 2323 23新配置方法（Network Object NAT） object network Static-Outside-Address host 01 object network Static-Inside-Address host object network Static-Inside-Address nat (Inside,Outside) static Static-Outside-Address service tcp telnet 2323 or nat (Inside,Outside) static 01 service tcp telnet 23234.Identity NAT 传统配置方式： nat (inside) 0 55新配置方法（Network Object NAT） object network Inside-Address host object network Inside-Address nat (Inside,Outside) static Inside-Address or nat (Inside,Outside) static Twice NAT（类似于Policy NAT）实例一：传统配置:access-list inside-to-1 permit ip host access-list inside-to-202 permit ip host nat (inside) 1 access-list inside-to-1nat (inside) 2 access-list inside-to-202global(outside) 1 01global(outside) 2 02新配置方法（Twice NAT）:object network dst-1host object network dst-202host object network pat-1host 01object network pat-2host 02object network Inside-Networksubnet nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202实例二：传统配置:access-list inside-to-1 permit ip host access-list inside-to-202 permit ip host nat (inside) 1 access-list inside-to-1nat (inside) 2 access-list inside-to-202global(outside) 1 01global(outside) 2 02static (outside,inside) 01 static (outside,inside) 02 新配置方法（Twice NAT）:object network dst-1host object network dst-202host object network pat-1host 01object network pat-2host 02object network Inside-Networksubnet object network map-dst-1host 01object network map-dst-202host 02nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static map-dst-1 dst-1nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static map-dst-202 dst-202实例三：传统配置:access-list inside-to-1 permit tcp host eq 23access-list inside-to-202 permit tcp host eq 3032nat (inside) 1 access-list inside-to-1nat (inside) 2 access-list inside-to-202global(outside) 1 01global(outside) 1 02新配置方法（Twice NAT）:object network dst-1host object network dst-202host object network pat-1host 01object network pat-2host 02object network Inside-Networksubnet object service telnet23service tcp destination eq telnetobject service telnet3032service tcp destination eq 3032nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032Main Differences Between Network Object NAT and Twice NAT（Network Object NAT和Twice NAT的主要区别）How you define the real address.（从如何定义真实地址的角度来比较） Network object NATYou define NAT as a parameter for a network object; the network object definition itself provides the real address. This method lets you easily add NAT to network objects. The objects can also be used in other parts of your configuration, for example, for access rules or even in twice NAT rules. Twice NATYou identify a network object or network object group for both the real andmapped addresses. In this case, NAT is not a parameter of the network object; the network object or group is a parameter of the NAT configuration. The ability to use a network object group for the real address means that twice NAT is more scalable.How source and destination NAT is implemented.(源和目的nat被运用) Network object NAT Each rule can apply to either the source or destination of a packet. So two rules might be used, one for the source IP address, and one for the destination IP address. These two rules cannot be tied together to enforce a specific translation for a source/destination combination. Twice NATA single rule translates both the source and destination. A matching packet only matches the one rule, and further rules are not checked. Even if you do not configure the optional destination address for twice NAT, a matching packet still only matches one twice NAT rule. The source and destination are tied together, so you can enforce different translations depending on the source/destination combination. For example, sourceA/destinationA can have a different translation than sourceA/destinationB. We recommend using network object