Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA 。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究 。( ASA version 8.3 之前的 NAT 对于数据处理的流程完全不同,本文所有的内容均是基于 version 8.3 及以后的版本 。)
基本概念ASA 里面 NAT 的基本概念和其他的厂商类似,大致上分为:
- Static
- Static NAT
- Static PAT
- Dynamic
- Dynamic NAT
- Dynamic PAT
- Policy
- Policy NAT
- Policy PAT
- Identity NAT
- Auto NAT
- Manual NAT
NAT 的概念很简单,就是做地址转换 。
PAT
PAT 是在 NAT 的基础上不仅做地址转换还做了端口转换,这里的端口一般是指 Source Port 。
文章插图
Static NAT静态的 NAT,允许双向通信 。Static NAT 可以实现的映射关系有:
- one-to-one
- one-to-many
- few-to-many
- many-to-few
- many-to-one
文章插图
Static PAT静态的 PAT,允许双向通信 。需要注意的是在 ASA 里 Static PAT 又被称为 Port Redirection (或者叫 Port Forwarding) 。这和我们家用的普通无线路由器里面的端口转发是一个概念,从外部进入内部的数据会被进行端口转发 。
文章插图
Dynamic NAT动态的从一个地址池里面按照先来先得原则进行 one-to-one 的 NAT 映射 。只允许从里向外发起连接,在通信建立以后可以允许从外向里发起连接 。
文章插图
Dynamic PAT动态的将多个内部源地址 PAT 到一个单一的固定的外部源地址上 。只允许从里向外发起连接,在通信建立以后可以允许从外向里发起连接 。类似于 IOS 里面的 overload 。
文章插图
Policy NAT / PATPolicy NAT / PAT 的定义是 NAT 的转换需要根据配置的 Policy 来进行,配置 Policy 是通过 Manual NAT 来实现的 。所以可以说 Policy NAT = Manual NAT 。Policy NAT 是定义,Manual NAT 是具体实施方法 。
Identity NAT也是一种定义,即在做 NAT 的时候不进行地址转换 。也是通过 Manual NAT 来进行配置 。
Auto NAT是一种配置 NAT 的方法,又称为 Network Object NAT,因为 NAT 是配置在 Network Object 里面的 。一般情况下 Auto NAT 是用来做 Source NAT的,但是通过反向配置的方式我们也可以实现 Destination NAT 甚至是 Bidirectional NAT 。
Manual NAT是另一种配置 NAT 的方法,又称为 Twice NAT,这种方法需要定义一个单独的 NAT Policy从而实现了 Policy NAT 。Twice 代表可以同时执行 Source 和 Destination NAT 。
其他注意事项
- Proxy ARP 在配置了 NAT 后会自动开启 。
- 配置 ACL 的时候里面的地址全部使用真正的地址 。
【Cisco ASA 防火墙 NAT - 基本概念】
推荐阅读
- 史上最全!CISCO网络故障排错命令大汇总
- Ubuntu 防火墙安装、启用、查看状态等常用命令
- Linux系统安全Centos 7的Firewalld防火墙基础
- 防火墙主备切换案例分析,干货值得收藏
- VRRP 华为防火墙双机热备的配置实例
- CentOS8 - 防火墙简介
- 华为防火墙NAT服务器原理是这样配置的,终于明白了
- 网络出口到底是该选择路由器还是防火墙?
- 防火墙接入互联网方式,到底有哪些呢?5分钟学会防火墙入网
- 安溪茶业标准化牢筑茶叶安全防火墙