作者简介:一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。
座右铭:低头赶路,敬事如仪
个人主页:网络豆的主页
目录
前言
一.NAT控制欲NAT豁免
1.禁用NAT控制
1)出站(Outbound)连接
2)入站(inbound)连接
2.启用NAT控制
1)出站(Outbound)连接
2)入站(ihbound)连接
2.NAT豁免
配置NAT命令
1)启用NAT控制并为网段10.1.1.0/24配置动态NAT
2)为网段10.2.2.0/24配置NAT豁免
前言
本章将会讲解ASA防火墙中NAT控制欲NAT豁免的作用。
一.NAT控制欲NAT豁免
ASA从7.O版本开始提供了一个NAT控制的开关,即nat-control命令,但默认是禁用NAT控制
(no nat-oontrol).NAT 控制的特性如下。
1.禁用NAT控制
这是默认的情况,之前介绍动态NAT.动态PAT.静态NAT和静态PAT时就是在禁用NAT控制
的情况下。
现在介绍禁用NAT控制的特性。
1)出站(Outbound)连接
如果NAT规则只允许网段10.1.1.0/24进行地址转换,则允许PC1出站连接并且进行地址转换。
主机PC2发起连接不匹配NAT规则,但是允许PC2的出站连接,只是不进行地址转换。
2)入站(inbound)连接
如果ASA没有配置静态NAT或静态PAT,则只要配置了ACL.主机PC4就可以访问PC3,如果
ASA配置了静态NAT或静态PAT(当然要配置ACL),则主机PC4可以访问PC3并且进行地址转换。也就是说,在禁用NAT控制时,NAT规则并不是必需的。
2.启用NAT控制
1)出站(Outbound)连接
如果NAT规则只允许10.1.1.0/24网段进行地址转换,则允许PC1出站连接并且进行地址转换。
主机PC2发起连接不匹配NAT规则,所以禁止PC2的出站连接。
2)入站(ihbound)连接
如果ASA没有配置静态NAT或静态PAT,则主机PC4就不能访问PC3,如果ASA配置了静态NAT或静态PAT(当然要配置ACL),则主机PC4可以访问PC3并且进行地址转换。也就是说,在启用NAT控制时,NAT规则是必需的。
2.NAT豁免
当启用NAT控制时,每个发起的连接都需要一个相应的NAT规则,在某些应用场合(如配置VPN)需要绕过NAT规则,绕过NAT规则有多种方法,本节将介绍NAT豁免。
NAT豁免允许双向通信。
配置NAT豁免首先需要定义一个ACL,用于指定需要绕过NAT规则的流量,然后进行配置,命
令如下。
配置NAT命令
asa(config)# nat (interface_name) 0 access-list acl_name
在ASA上启用NAT控制,要求为10.1.1.0/24网段配置动态NAT,NAT地址池为172.16.1.100~172.16.1.200.为10.2.2.0/24网段配置NAT豁免。
1)启用NAT控制并为网段10.1.1.0/24配置动态NAT
asa(config)# nat-control
asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
asa(config)# global (outside) 1 172.16.1.100-172.16.1.200
2)为网段10.2.2.0/24配置NAT豁免
asa(config)# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0
asa(config)# nat (inside) 0 access-list nonat
创作不易,求关注,点赞,收藏,谢谢~
