WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

思科CCIE安全培训学习笔记ASA NAT (after 8.3)超详细

发布日期:2022-09-06 浏览次数:1905 来源:WOLF-LAB(沃尔夫)实验室

思科 CCIE安全ASA  NAT  (after 8.3)

 关注WOLFLAB网络实验室,了解更多CCIE安全相关培训技术

CCIE安全咨询WOLFLAB官方客服微信:shwolf-lab

以下是超详细的思科CCIE安全培训学习笔记ASA  NAT  (after 8.3)

从ASA 8.31开始(习惯称为8.3开始,其实还有个8.30是老NAT),改为新的NAT设计。

 

只有两种NAT规则类型:

(1)Twice NAT   (二次NAT,手动NAT)

(2)Network Object NAT   (自动NAT)

 

特点:

(1)access-list注意要放行真实地址(与pre 8.3不同)

(2)助你记忆:Network Object NAT的命令格式中, nat 是object network的参数; Twice NAT中,object network是nat的参数

(3)你要转换什么地址,就定义这个地址的Network Object,然后加nat参数定义转换规则

 

一、Network Object NAT       

——要么转换源地址,要么转换目的地址

(1)一个规则只能做一项转换(要么是源,要么是目的)

(2)一个数据包只能匹配上一个转换规则,之后就不会再匹配其他规则(自上至下)

(3)规则执行是有顺序的,系统会自动将所有network object nat规则进行排序,顺序:

        (a)static优于dynamic

        (b)掩码越长越优先

        (c) IP地址越小越优先

        (d)object名字字母越小越优先

(4)对于转换后地址为一个单一地址的情况下,可以直接写,也可以调用另一个定义好的object,好处是方便在不同策略中多次调用。如果是地址范围,就只能定义object了。

 

二、Twice NAT  

——用于策略NAT转换,既能转换源地址,也能转换目的地址

(1)一个规则内既能转换源地址,也能转换目的地址

(2)一个数据包同样只能匹配上一个转换规则,之后就不会再匹配其他规则(自上至下)

(3)Twice NAT 规则执行顺序:  手动调整(行号)

(4)定义转换前转换后各个地址,都只能通过object来定义,不能直接写地址

(5)Twice NAT可以调用object也可以调用object-group,而Network Object NAT只能在object中使用,不能在object-group中使用

 

三、两者之间的关系

image.png

对于系统整体而言,所有的Twice NAT和Network Object NAT策略会共同形成一套统一的NAT规则表。可以通过show nat 查看,规则表分为三个部分(Section 1 ~ 3)。分别是:

(1)Twice NAT 

(2)Network Object NAT

(3)Twice NAT  with "after-auto" 参数

一般情况下都推荐使用Network Object NAT(可以满足绝大多数场景),个别情况下使用Twice NAT

等同转换和NAT免除都取消了,改为使用twiceNAT完成:

nat (inside,outside) source dynamic NONAT-Network NONAT-Network destination static DST-Network DST-Network        //mapped 和 real 相同,等于不翻译,或是等同翻译。 加之twiceNAT可以指定源地址和目的地址,即是可以匹配特定流量


篇幅限制

完整文档向WOLFLAB网站客服获取

PDF文档10页内容,文档一共1930文字

感谢关注WOLFLAB网络实验室,CCIE安全培训客服循环开班,联系网站客服预约免费试听,和领取免费学习资料!

返回目录
在线咨询