asa上的nat配置
一 asa上的nat型別
asa上的nat有四種型別:動態nat、動態pat、靜態nat、靜態pat
·動態nat
1概念動態nat將一組ip位址轉換為指定位址池中的ip位址,是動態一對一的輪詢的關係;適合擁有多個公網ip、多個內網pc要訪問網際網路的環境使用(單向)
2配置步驟
a指定需要進行位址轉換的內網網段
asa(config)# nat (inte***ce_name) nat-id local-ip mask
其中nat-id這裡必須大於等於1;網絡卡名為後面所跟位址的邏輯名稱
如:asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0
其中nat (inside) 1 0 0 表示轉換所有內網位址
b定義全域性位址池
asa(config)# global (inte***ce_name) nat-id [global-ip]-[global-ip]
如:asa(config)# global (outside) 1 172.16.1.100-172.16.1.200
·動態pat(常用)
1概述動態pat使用ip和源埠號建立乙個唯一的會話,是動態多對一的關係;適合只有乙個公網ip、多個內網pc要訪問網際網路的環境使用(單向)
2配置步驟
與動態pat唯一不同的就是全域性位址只有乙個
a略b定義全域性位址池
asa(config)# global (inte***ce_name) nat-id [global-ip]
如:asa(config)# global (outside) 1 172.16.1.100
·靜態nat
1概述靜態nat建立了乙個從真實位址到對映位址的一對一的固定轉換,可用於雙向通訊;適合有多個公網ip且有多個內網伺服器需要發布的環境使用(雙向)
2配置步驟
a配置acl
實際環境中是允許所有位址訪問內網伺服器的
asa(config)# access-list out_to_dmz permit ip any host global-ip
asa(config)# access-group out_to_dmz in int outside
b配置靜態nat
asa(config)# static (local_if_name,global_if_name) global-ip local-ip [netmask mask]
如:asa(config)# static (dmz,outside) 172.16.1.201 192.168.1.1
·靜態pat(常用)
1概述靜態pat允許為真實和對映位址指定tcp或udp埠號;適合只有乙個公網ip且要發布多個內網伺服器的環境使用(雙向)
2配置步驟
a配置acl
實際環境中是允許所有位址訪問內網伺服器的
asa(config)# access-list out_to_dmz permit ip any host global-ip
asa(config)# access-group out_to_dmz in int outside
b配置靜態nat
asa(config)# static (local_if_name,global_if_name) global-port local-ip local-port [netmask mask]
如:asa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.1.1 http
asa(config)# static (dmz,outside) tcp 172.16.1.201 8080 192.168.1.1 80
二 nat控制與豁免
如圖所示
如果簡單的配置完上圖所有裝置的ip和路由,我們知道,預設高安全級別是可以訪問低安全級別的,也就是說,即使我們不做nat,pc1也可以訪問pc3;而在真實環境中,pc3相當於網際網路中的pc機,pc1訪問pc3時,可以通過asa將源位址是自己ip的請求包傳送出去,但是確不會接收到回應包,因為私網位址在網際網路上是不合法的,因此我們還是需要做nat,將私網位址對映為公網位址來訪問網際網路或被網際網路訪問
asa從7.0開始提供了乙個nat控制的開關,即當我們開啟nat後,簡單的配置中,pc1不能再訪問pc3了,必須做nat轉換才能進行訪問
·nat控制
1概念asa從7.0版本開始提供了乙個nat控制的開關;在實際環境中,我們一般啟用nat控制方便管理;在啟用nat 控制時,nat規則是必須的;即發起的每乙個連線都需要乙個相應的nat規則
2配置步驟
預設情況下nat控制是關閉的;使用一下命令啟用和禁用nat控制
啟用:nat-control
禁用:no nat-control
·nat豁免
1概念當啟用nat控制時,每個發起的連線都需要乙個相應的nat規則,但是在某些應用場合(例如配置vpn)需要繞過nat規則;繞過nat規則有很多種方法,nat豁免就是其中一種
2配置步驟
nat豁免允許雙向通訊
a定義乙個acl,用於指定需要繞過nat規則的流量(位址)
如:asa(config)# access-list nonat extended permit ip 192.168.
10.0 255.255.
255.0 172.16.
1.0 255.255.
255.0
b配置nat豁免
asa(config)# nat (inte***ce_name) 0 access-list acl_name
如:網段192.168.10.0/24中的主機可以訪問網段172.16.1.0/24中的主機,且不做nat轉換
asa(config)# nat (inside) 0 access-list nonat
·nat常用命令
1檢視nat轉換表(包含動態和靜態)
show xlate 檢視摘要
show xlate detail 檢視詳細資訊
show run nat 檢視指定nat
show run global 檢視指定全域性位址
2刪除定義的全域性位址池(使動態nat和pat轉換失效)
在定義全域性命令前加no即可;如
no global (outside) 1 172.16.1.200
3刪除動態nat和pat(不能刪除靜態)
clear xlate
4刪除靜態nat
clear configure stat
clear configure nat
clear configure global
四 nat模擬實驗
實驗目的:配置nat,實現企業網路需求
實驗環境:如圖,環境中只有乙個公網ip
實驗要求:
1啟用nat控制,讓內網客戶機可以訪問網際網路pc3,其中pc1使用nat轉換訪問,pc2使用nat豁免訪問,並檢視nat轉換表進行驗證
2讓網際網路客戶機pc3可以訪問內網伺服器r5
實驗步驟:
1配置基礎網路環境(ip、閘道器、路由器的路由條目)
r5和pc3開啟telnet,便於測試(配置基本相似)
r5pc3
pc1和pc2的配置相似,pc2略
r3的配置
2 asa的基本配置(ip、邏輯名稱、路由等)
3開啟nat控制,配置動態pat,讓pc1使用nat轉換後的位址訪問pc3
驗證(此時pc2不能訪問pc3)
3配置nat豁免,讓pc2使用自己的位址訪問pc3
驗證,nat表中並沒有pc2的條目,但是pc2可以訪問pc3了
4配置靜態pat,發布內網伺服器,使pc3可以訪問r5
驗證(最後測試可以訪問)
P2P中的NAT穿越方案
1 p2p簡介 p2p即點對點通訊,或稱為對等聯網,與傳統的伺服器客戶端模式有著明顯的區別,傳統的伺服器客戶端模型如圖2所示。p2p這一術語在不同的上下文環境裡可能有不同的內涵,它可以指一種通訊模式 一種邏輯網路模型 一種技術 甚至一種理念。在p2p網路中如圖1所示,所有通訊節點的地位都是對等的,每...
2上 05 3 1 除法的意義
除法的初步認識 教學內容 義務教育教科書 數學 二年級上冊 67 68頁。教學目標 1.結合平均分的具體情境與經驗,抽象出除法算式,體會除法運算的意義,形成用除法計算的模型思想,掌握除法算式的讀法 寫法。2.讓學生經歷用除法算式表示平均分的具體過程,發展學生的動手操作 歸納概括的能力,滲透比較 模型...
小學三年級上寫字教學計畫配人教版2
寫字教學計畫 三年級上冊 中心小學 三年級二班 三年級上冊寫字教學計畫 1 基本情況 三年級二班共有學生47人,學生學習態度基本端正,部分學生寫字基本功良好,一般學生能把字寫端正 整潔,有一定的難度,且寫字姿勢正確,但由於中年級重視程度不同,仍有少數學生寫字不夠規範,因此五年級寫字教學在認真指導,端...