思科路由器和ASA防火墙的常见NAT应用和比较,最最常见的NAT应用,(多台内网机器共享一个or几个共网地址接入Internet)
路由器(R1)上主要配置:
int fa0/0
ip nat inside
int fa0/1
ip nat outside
access-list 1 permit 192.168.1.0 255.255.255.0 /**内网地址
ip nat inside source list 1 interface fa0/1 overload
总起来说就是在相应端口下设置nat的inside和outside,另外设置一ACL,再用ip nat inside source list定义动态PAT
如果R1被换成ASA防火墙:
int e0/0
nameif inside
int e0/1
nameif outside
nat (inside) 1 192.168.1.0 255.255.255.0 /**内网地址
global (outside) 1 interface
除了不用定义ACL,其它的步骤差不多。这里多了一个NAT-ID(红色标记的数字1)。ASA防火墙中用两个命令配置动态PAT, nat 命令定义源端口、源地址, global命令定义目标端口、目标地址。nat命令和global命令使用nat-id相互对应(同一nat-id的nat与global配对使用)nat-id的作用仅此而已,不作其它用途(e.g. 优先级啦,等等)。另外nat-id 0 是用来在未关闭nat-control的情况下做nat免除用的,不能随便用。
本来想一次性的对NAT做个总结,真正做起来才知道不是想像的那么简单,先写这些,下次再补充吧。作者:jung_blue。
