请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 340|回复: 4

ASA Twice Nat

[复制链接]
发表于 2018-1-11 09:15:07 | 显示全部楼层 |阅读模式
两次 NAT 可供您在单一规则中同时确定源和目标地址。如果同时指定源和目标地址,则可指定以
下情况:例如,在进入目标 X 时源地址应转换为 A,但在进入目标 Y 时转换为 B。

对于静态 NAT,规则是双向的,因此,请注意,整个本指南中命令和描述中使用的“ 源” 和“ 目
标”,即便是给定的连接,也可能源自“ 目标” 地址。例如,如果使用端口地址转换配置静态
NAT,将源地址指定为 Telnet 服务器,且您想要进入该 Telnet 服务器的所有流量将端口从 2323 转
换为 23,则在命令中,必须指定将要转换的 source 端口(real: 23,mapped: 2323)。您指定源端
口是因为您将 Telnet 服务器地址指定为源地址。

目标地址是可选的。如果指定目标地址,可以将它映射到其本身(身份标识 NAT),或者将它映
射到不同的地址。目标映射始终是静态映射。
两次 NAT 还可供您将服务对象用于带有端口转换的静态 NAT ;网络对象 NAT 仅接受内联定义。
有关两次 NAT 和网络对象 NAT 之间的差异的详细信息

取决于目标的不同转换(动态 PAT)
图 展示了 10.1.2.0/24 网络上的主机访问两个不同的服务器。当主机访问处于 209.165.201.11
的服务器时,真实地址将转换为 209.165.202.129:port。当主机访问处于 209.165.200.225 的服务
器时,真实地址将转换为 209.165.202.130:port。




步骤 1 为内部网络添加网络对象:
hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
步骤 2 为 DMZ 网络 1 添加网络对象:
hostname(config)# object network DMZnetwork1
hostname(config-network-object)# subnet 209.165.201.0 255.255.255.224
步骤 3 为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
步骤 4 配置第一条两次 NAT 规则:
hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination
static DMZnetwork1 DMZnetwork1
由于您不想转换目标地址,因此,需要为其配置标识 NAT,只需为真实和映射目标地址指定相同
的地址。
步骤 5 为 DMZ 网络 2 添加网络对象:
hostname(config)# object network DMZnetwork2
hostname(config-network-object)# subnet 209.165.200.224 255.255.255.224
步骤 6 为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
步骤 7 配置第二条两次 NAT 规则:
hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress2 destination
static DMZnetwork2 DMZnetwork2




取决于目标地址和端口的不同转换(动态 PAT)
图 展示了源和目标端口的使用。10.1.2.0/24 网络上的主机同时因为网络服务和 Telnet 服务访
问单个主机。当主机因为 Telnet 服务访问服务器时,真实地址将转换为 209.165.202.129:port。当
主机因为网络服务访问相同服务器时,真实地址将转换为 209.165.202.130:port。


步骤 1 为内部网络添加网络对象:
hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
步骤 2 为 Telnet/ 网络服务器添加网络对象:
hostname(config)# object network TelnetWebServer
hostname(config-network-object)# host 209.165.201.11
步骤 3 使用 Telnet 时为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
步骤 4 为 Telnet 添加服务对象:
hostname(config)# object service TelnetObj
hostname(config-network-object)# service tcp destination eq telnet
步骤 5 配置第一条两次 NAT 规则:
hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress1
destination static TelnetWebServer TelnetWebServer service TelnetObj TelnetObj
由于您不想要转换目标地址或端口,因此需要为其配置标识 NAT,只需为真实和映射目标地址指
定相同的地址,为真实和映射服务指定相同的端口。
默认情况下,NAT 规则将添加至 NAT 表第 1 部分的末尾,请参阅第 6-10 页上的配置动态 PAT
(隐藏)了解有关如何为 NAT 规则指定部分和行号的详细信息。
步骤 6 使用 HTTP 时为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
步骤 7 为 HTTP 添加服务对象:
hostname(config)# object service HTTPObj
hostname(config-network-object)# service tcp destination eq http
步骤 8 配置第二条两次 NAT 规则:
hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress2
destination static TelnetWebServer TelnetWebServer service HTTPObj HTTPObj












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (4 评价)
发表于 2018-1-12 06:48:51 | 显示全部楼层
取决于目标的不同转换(动态 PAT) 这个案例,如 将 10.1.2.27 访问  SERVER 1 PORT: 9999 或  SERVER 2 port : 8888 时 只转成一个 地址:  209.165.202.131 ,并且 是双向的 都能PING 通 咋实现。我这只能实现 server1 与 server 2 ping 通 10.1.2.27 ,但10.1.2.27 ping 不通对方 ,端口到可以能通
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-1-14 10:17:19 | 显示全部楼层
最近很活跃,支持一下版主,
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-1-14 10:48:10 | 显示全部楼层
很好很强大,支持一下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-13 10:06:17 | 显示全部楼层
感谢分享!学习一下!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-4-23 09:27 , Processed in 0.102195 second(s), 36 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表