CISCO ASA NAT配置
思科ASA防火墙8.3版与8.4版NAT的配置方法对比
现在思科ASA防火墙已经升级到8.4,从8.3开始很多配置都有颠覆性的不同,特别是NAT配置很不一样,使用了object /object-group的新方式
场景一:内网流量访问外网时都转换为接口的公网地址,此环境适用于仅有一个公网地址的小型办公室。
object network inside_outside subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface | 原有的语法 nat (inside) 1 0 0 global (outside) 1 interface |
场景二:内网流量访问外网时都转换为特定的公网地址,此环境适用于的小型办公室或分支办公室。
object network inside_outside subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic 200.0.0.1 | 原有的语法 nat (inside) 1 0 0 global (outside) 1 200.0.0.1 |
场景三:对于有大量公网地址用户,常应用在运营商或者公司内网,动态一对一转换
object network inside-outside-pool range 200.0.0.100 200.0.0.200 object network inside-outside-all subnet 0.0.0.0 0.0.0.0 nat (inside,outside) static inside-outside-trans | 原有的语法 nat (inside) 1 0 0 global (outside) 1 200.0.0.100 200.0.0.200 |
场景四:对于有大量公网地址用户,常应用在运营商或者公司内网,为防止地址用完可以配置一个PAT和interface (推荐)
object network inside-outside-trans rRange 10.10.10.100 10.10.10.200 object network inside-outside-PAT host 10.10.10.201 object-group network nat-pat-grp network-object object inside-outside-trans network-object object inside-outside-PAT object network inside-outside-all subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic nat-pat-grp interface | 原有的语法 nat (inside) 1 0 0 global (outside) 1 10.10.10.100 10.10.10.200 global (outside) 1 interface |
场景五:内网有邮件和Web服务器为远程办公用户提供访问,静态转换
object network server-static host 192.168.0.3 object network inside-server host 200.0.0.10 nat (inside,outside) static server-static | 原有语法 static (inside,outside) 192.168.0.3 200.0.0.10 netmask 255.255.255.255 |
场景六:此环境用户的需求比较复杂,客户在低安全区域有很多提供业务服务的小型机,他需要隐藏被访问的服务器地址,同时要求对外网server的访问进行Static方式一对一的映射。
objectnetwork obj-ftp //ftp端口映射
host 192.168.1.1
objectnetwork obj-ftp
nat(dmz,outside) static interface service tcp ftp ftp
场景七
对通过防火墙的业务流量,不更改源地址,也就是将源地址NAT自己,我们称为identity NAT。
object network inside-nonat
host192.168.1.2
nat(inside,outside) static 192.168.1.2
常用排错命令:
show run nat
show run object-network
show run object-group
show nat detail
show xlate
show conn
show nat pool
debug nat 255
