Cisco ASA NAT详解
NAT分类:
(1) Network Object NAT ——又名Auto NAT(自动NAT)
(2) Twice NAT ——又名Manual NAT (手动NAT)
两大类的区别,从配置命令上看:
(1) 自动NAT,在object network <Name> 模式下配置NAT规则
object network cmsk-pool
range 10.127.0.3 10.127.0.4
object network cmsk
subnet 100.64.0.0 255.192.0.0
nat (inside,outside) dynamic pat-pool cmsk-pool
(2) 手动NAT,在全局下配置NAT规则,并调用object network对
object network cmsk-100.77.22.24
host 100.77.22.24
object network nat-10.127.0.24
host 10.127.0.24
nat (inside,outside) source static cmsk-100.77.22.24 nat-10.127.0.24
执行顺序:
手动NAT----自动NAT-----After-auto手动NAT
两者关系:
不管是手动NAT还是自动NAT,自动NAT能做的手动NAT都能干的,手动NAT都能干的自动NAT未必能干。都包含(动态NAT和静态NAT)
手动和自动NAT都能配置动态NAT和静态NAT
动态NAT和静态NAT的区别
1、动态NAT当符合配置规则的流量出现时,才动态生成转换表项(记录条目),而静态NAT当转换规则配置后,立即生成转换表项,只要配置不删除,表项就一直存在。
2、动态NAT具有单向发起特性,如将源地址“私转公”的情况下,公网地址是稀缺资源,按需分配,而静态NAT具有“双向发起”特性
3、动态NAT在获取地址池资源的时候,存在随意性,而静态NAT在获取地址池资源的时候,则是必然性,这一特点被用于做“映射”(两个地址,或端口之间的一对一绑定对应关系)
动态NAT
动态NAT包含:动态一对一,动态PAT(多对一)
动态一对一:
此场景适用于私网用户上公网,且公网地址极为富裕的情况。(较少见)
动态PAT(多对一):
当地址池地址仅有一个的时候,系统会自动理解为要做PAT而不是NAT。但多于一个的时候,就必须加pat-pool参数表示,否则会被系统认为是做动态一对一。
静态NAT
静态一对一转换
此场景适用于隐藏真实地址,或内部地址冲突时免于重新规划。也可用于私网服务器对公网用户提供服务,但不推荐(服务器整体映射到公网,所有端口全部开放没有必要)
NAT查询:
1、sh conn all :查看所有的连接信息
2、sh xlate:查看nat转换信息
3、sh nat:查看手动nat和自动nat的命中信息
4、debug nat 255 debug icmp trace