• 欢迎访问V小白网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入V小白 暂无QQ群
  • 欢迎访问V小白网站,这是第二个滚动条

cisco ASA上nat 0 的一些总结

网络分类 admin 2018年9月1日 12:46 493 0 个评论

看了好多遍的视频总感觉还是不够,皮毛咯!!大大们不要嘲笑我们这种小白哦

如果在ASA上使用"no nat-control"(7.0后的IOS中有),那么流量在过防火墙时,asa并不要求相应的地址做nat(默认情况下,所有通过ASA的流量都需要做nat),这时,ASA变得和router有点类似。

如果使用 "nat-control" , 那么所有的流量都要经过nat,否则会被asa deny。

一般来说,为了asa的安全,一般都会开启 "nat-control",在这种情况下,如果不想进行地址翻译,那么可以有两种做法,这两种做法以前我以为是一样的,其实他们是有区别的。一种是nat exemptions(nat豁免),一种是identity nat(不知道应该怎么翻译这个了)。两种方式的命令格式分别如下:

nat exemptions:   nat ( interface) 0  acl

identity nat :  nat (interface) 0 real_ip

可以看到,两种方式唯一的区别在0后面跟的是acl还是实际IP地址(或者是针对某个host ip的acl)。

对于idnetity nat,仅仅是将IP地址nat为相同的ip(即还是要做nat,只不过翻译前的地址和翻译后的地址一样而已),只有经过翻译的地址,外网才能对此地址进行访问,例如 nat (inside) 0 192.168.0.0 255.255.255.0 , inside里有一个192.168.0.0/24的网段,首先由192.168.0.1的主机上ping了一下www.google.com,ping通了,也就是说在xlate表中,已经建立了从nat表项,那么此后从www.google.com 向192.168.0.1的访问是允许的,而如果从外网访问192.168.0.2则是不允许的,因为相关的nat表项没有建立。即使用identity nat,主动访问是单向的。

 

对于nat exemption,如:

 

nat (inside) 0 access-list nonat

access-list nonat permit any any

取得效果是通过的流量不做nat,访问是双向的,即从outside也可以对inside主动发起访问。 因此,如果我们在网络中确实不需要进行nat,建议使用nat exemption而不是identity nat。

 

 

思考   NAT  (InSide) 0 0 0   代表的是什么呢?

对所有内网地址都翻译    但是翻译前和后都一样不变的?   不能乱用



V小白 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:cisco ASA上nat 0 的一些总结
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到
0个小伙伴在吐槽