一共有6种NAT,一个流量过来,匹配的顺序,优先级别从低到高依次是:动态pat,动态nat,策略nat,静态pat,静态nat,免疫nat
此实验inside表示接口安全级别高,outside表示接口安全级别低。
相关命令:
Show xlate detail显示转换槽的内容
Show connection detail说明了活跃的连接的连接的数目和信息
Show local-host 显示xlate和connection及一些详细的网络信息
注意:动态转换是流触发,必须有一个流量通过ASA,转换槽中才会出现(show xlate)
静态转换:命令一经设定,转换槽里就存在了,不属于流触发;另静态的翻译都是双向的翻译。
实验目的:验证各种nat执行的优先顺序
实验步骤:此实验按级别低的开始做,优先级别高的做好后,会覆盖掉之前低级别的nat。
小编推荐:Cisco课程全面升级【详情】
1.动态PAT
iLync(config)# nat (inside) 1 192.168.1.0 255.255.255.0
iLync(config)# global (outside) 1 10.1.1.11
INFO: Global 10.1.1.11 will be Port Address Translated
2.动态NAT
iLync (config)# nat (inside) 1 192.168.1.0 255.255.255.0
iLync (config)# global (outside) 1 10.1.1.12-10.1.1.20
动态PAT,动态NAT一起使用的情况:IP地址不够用,前一部分用NAT,最后一个IP用PAT
注意:outside被翻译的时候,条件nat(outside) x x.x.x.x outside,最后的关键字outside不能丢,少了这个关键字,这条命令不起作用
3.策略NAT
iLync(config)# access-li in-out per ip ho 1.1.1.1 ho 10.1.1.1
iLync(config)# nat (inside) 3 access-list in-out
iLync(config)# global (outside) 3 10.1.1.21
INFO: Global 10.1.1.21 will be Port Address Translated
注意1:这里如果只写nat(inside)10,不写global则认为没有地址池就会把包丢掉。
注意2:Outside被翻译的时候,条件要加关键字outside。
4.静态PAT
static (in,out) tcp 1.1.1.40 23 2.2.2.2 23
注意:不可以从inside作测试,因为inside出去的时候是随机的端口号,匹配不上这条语句,要从outside做测试;写完静态nat后不能写入静态的pat。
5.静态NAT
iLync(config)# static (inside,outside) 10.1.1.30 192.168.1.1
括号里前面的接口inside与后面的Ip192.168.1.1是一对,即一个流量从Inside过来,去往outside被翻译,源是192.168.1.1被翻译成10.1.1.30;
因为static是双向的翻译,所以Outside方向来个流量要去目的地192.168.1.1,它必须指的目的地是10.1.1.30,到了ASA上,会被翻译成192.168.1.1 。
6.NAT 免疫
Access-list 111 permit ip host 2.2.2.2 host 1.1.1.2
nat (inside) 0 access-list 111
ACL源是本地的,发起方的。好处,外面可以主动访问里面.
Access-list 100 permit ip host 1.1.1.2 host 2.2.2.2
Nat(outside)0 access-list 100 outside,此处的Outside不能丢,道理同上。
7.静态nat之间优先级
比较static(in,out) x.x.x.0 x.x.x.0 net 255.255.255.0
static(in,out) x.x.x.x x.x.x.x net 255.255.255.255
不是看掩码翻译,是靠谁写在前谁写在后
8.动态nat之间的优先级
比较nat(inside) Y x.x.x.0 net 255.255.255.0
nat(inside) Y x.x.x.x net 255.255.255.255
掩码长的优先
9.注意点:
global (outside) Y x.x.x.0 net 255.255.255.0
例:iLync (config)# global (outside) 3 10.1.2.0 net 255.255.255.0
INFO: Global 10.1.2.0 will be Port Address Translated
把10.1.2.0当成一个IP来用了,并不是一个网段,这里是PAT。
10.策略nat,掩码长度的优先次序关系
access-list acl1 extended permit ip host 192.168.1.1 host 10.1.1.1
access-list acl2 extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
nat (inside) 2 access-list acl2
nat (inside) 1 access-list acl1
global (outside) 2 10.1.2.1
global (outside) 1 10.1.1.10
测试:
r1#ping 10.1.1.1
iLync(config)# sh xlate
1 in use, 2 most used
PAT Global 10.1.2.1(1) Local 192.168.1.1 ICMP id 5 //nat条目谁在前就先翻译谁
11.地址重叠
实验目的:验证当有nat转换时,只看接口路由不考虑全局路由
实验要求:在ASA上将R1的10.0.0.0转成170.0.0.0
在ASA上将R2的10.0.0.0转成180.0.0.0
要求两个10.0.0.1互通