CCIE Security安全学习防火墙ASA NAT转换（上） -WOLFLAB网络实验室

文档提供：WOLFLAB沃尔夫CCIE培训讲师：杨广成，CCIE#29957；HCIE#12877

联系网站客服获取CCIE培训安全技术视频

只有两种NAT规则类型：

（1）Twice NAT   （二次NAT，手动NAT）

（2）Network Object NAT   （自动NAT）

特点：

（1）access-list注意要放行真实地址（与pre 8.3不同）

（2）助你记忆：Network Object NAT的命令格式中， nat 是object network的参数； Twice NAT中，object network是nat的参数

（3）你要转换什么地址，就定义这个地址的Network Object，然后加nat参数定义转换规则

一、Network Object NAT      

——要么转换源地址，要么转换目的地址

（1）一个规则只能做一项转换（要么是源，要么是目的）

（2）一个数据包只能匹配上一个转换规则，之后就不会再匹配其他规则（自上至下）

（3）规则执是有顺序的，系统会自动将所有network object nat规则进行排序，顺序：

        （a）static优于dynamic

        （b）掩码越长越优先

        （c） IP地址越小越优先

        （d）object名字字母越小越优先

（4）对于转换后地址为一个单一地址的情况下，可以直接写，也可以调用另一个定义好的object，好处是方便在不同策略中多次调用。如果是地址范围，就只能定义object了。

二、Twice NAT 

——用于策略NAT转换，既能转换源地址，也能转换目的地址

（1）一个规则内既能转换源地址，也能转换目的地址

（2）一个数据包同样只能匹配上一个转换规则，之后就不会再匹配其他规则（自上至下）

（3）Twice NAT 规则执行顺序：  手动调整（行号）

（4）定义转换前转换后各个地址，都只能通过object来定义，不能直接写地址

（5）Twice NAT可以调用object也可以调用object-group，而Network Object NAT只能在object中使用，不能在object-group中使用

三、两者之间的关系

对于系统整体而言，所有的Twice NAT和Network Object NAT策略会共同形成一套统一的NAT规则表。可以通过show nat 查看，规则表分为三个部分（Section 1 ~ 3）。分别是：

（1）Twice NAT

（2）Network Object NAT

（3）Twice NAT  with "after-auto" 参数

一般情况下都推荐使用Network Object NAT（可以满足绝大多数场景），个别情况下使用Twice NAT

1.   动态一对一转换

传统配置：

   nat (inside) 1 10.1.1.0 255.255.255.0

   global (outside) 1 202.100.1.100-202.100.1.200

 新配置（Network Object NAT）

   object network Outside-Pool

     range 202.100.1.100 202.100.1.200

   object network Inside-Network

     subnet 10.1.1.0 255.255.255.0

     nat (inside,outside) dynamic Outside-Pool

注：object network Inside-Network下两句话可以连打，但show run会看到subnet/host/range与nat会分别在两个相同的object network下显示，中间被其他配置隔开，变成：

   object network Inside-Network

     subnet 10.1.1.0 255.255.255.0

……………………

   object network Inside-Network

     nat (inside,outside) dynamic Outside-Pool

2.   动态PAT  （多对一）

传统配置：

   nat (inside) 1 10.1.1.0 255.255.255.0

   global(outside) 1 202.100.1.101

   新配置（Network Object NAT） 

  object network Outside-PAT-Address

     host 202.100.1.101

  object network Inside-Network

     subnet 10.1.1.0 255.255.255.0

   object network Inside-Network

     nat (inside,outside) dynamic Outside-PAT-Address

     或者直接写PAT地址

     nat (inside,outside) dynamic 202.100.1.101

     或直接复用接口地址  （global (outside) 1 interface ）

     nat (inside,outside) dynamic interface

注：还可以写subnet 0.0.0.0 0.0.0.0 表示内网所有地址都转换

如果是多个地址做PAT复用地址的话：

传统配置：

     global (outside) 1 202.100.1.101

     global (outside) 1 202.100.1.102

新配置：

    object network Outside-PAT-Pool

       range 202.100.1.101 202.100.1.102          //只能是连续地址， 如果不是连续地址，用obj-group做

       nat (inside,outside) dynamic pat-pool Ouside-PAT-Pool

后面还可跟round-robin参数，表示多个PAT地址轮流使用，而不是耗尽第一个才用第二个

2.5  先做动态一对一，地址不够了再做PAT

传统配置：

   nat (inside) 1 10.1.1.0 255.255.255.0

   global(outside) 1 202.100.1.101--109

   global(outside) 1 202.100.1.110

   新配置（Network Object NAT） 

   object network Inside-Network

     subnet 10.1.1.0 255.255.255.0

   object network Outside-Pool-Address

     range 202.100.1.11 202.100.1.22

    object network Outside-PAT-Pool

     host 202.100.1.110

   object network Inside-Network

     nat (inside,outside) dynamic Outside-Pool-Address pat-pool Outside-PAT-Pool

注： 或者PAT地址池也不够了，再用接口地址复用，就在后面再加interface参数

我们会陆续更新CCNA,CCNP,EI CCIE;HCIA,HCIP,HCIE Datacom等学习视频,IT技术,学习技巧等

CCIE培训 Security循环开班，联系WOLFLAB沃尔夫网络实验室，获取免费学习资料