ASA第四天

CCNPSecurityV4ASA第四天NAT地址转换NAT简介•NAT主要为了解决和客户Internet地址耗尽的问题•1.缓解全球地址耗尽•2.维持内部地址规划•3.隐藏内部网络拓扑8.2NAT配置•ASANAT类型•动态转换：•NAT+Global：动态一对一•IdentityNAT：自己转换自己•PAT：动态多对一•Policy-NAT：特定流量的NAT静态转换：static：静态一对一NetStatic：网络静态转换staticPAT：端口转换NATbypass（NAT旁路）NAT0+ACL动态转换1（动态一对一）•NAT+Global：动态一对一•适用于内部上网（互联网地址充沛）•nat(inside)110.1.1.0255.255.255.0•命令介绍：•nat(源接口）id源网段掩码•id取值范围（大于等于1）global（outside）1202.100.1.100-202.100.1.200命令介绍：global(转换后接口)id地址池起始IP-地址池结束IP注意globalid一定需要和natid匹配，表示为一对。showxlateNAT+global实例1•nat(inside)110.2.0.0255.255.255.0•nat(inside)210.0.0.0255.255.255.0•global(outside)1192.168.0.17–192.168.0.32•global(outside)2192.168.0.3-192.168.0.16NAT+Global实例2•nat(inside)110.0.0.0255.255.255.0•nat(dmz)1172.16.0.0255.255.255.0•global(outside)1192.168.0.20-192.168.0.254•global(dmz)1172.16.0.20-172.16.0.254动态转换2（identitynat）•NAT0+address（自己转换自己）•nat（inside)010.1.1.0255.255.255.0•命令介绍：•nat(源接口）0源网段掩码•--注意：•只影响outbound流量•在nat-control环境才有使用的必要-showxlate（注意：需要先clearxlate）PAT的特点•适用于内部用户上网（互联网地址紧缺）•转换地址和端口•多个session复用一个globaladdress（互联网地址）•使用端口来区分不同的session•源端口被动态转换到一个大于1023没有被使用的端口•一个互联网地址最大能够承载最大的session数为64512配置实例1•nat（inside）110.1.1.0255.255.255.0•global(outside)1202.100.1.101•showxlate（严重注意需要clearxlate）•配置实例2（适用于DHCP,PPPOE环境）•nat（inside）110.1.1.0255.255.255.0•global（outside）1interface配置实例3•nat(inside)110.1.1.0255.255.255.0•global(outside)1202.100.1.101•global(outside)1202.100.1.102•---只有当101超过承载容量后才会使用102•配置实例4：•nat（inside）110.1.1.0255.255.255.0•global（outside）1202.100.1.100-202.100.1.199•global（outside）1202.100.1.200•首先动态一对一转换，当地址池耗光以后，才复用200做动态多对一转换（PAT），非常类似于IOS的overloadPolicyNAT•NAT+ACL（特定流量的NAT）•access-listmatchapermittcp10.0.0.0255.255.255.0host192.168.10.11eq•access-listmatchbpermittcp10.0.0.025.255.255.0host192.168.100.4eq•nat(inside)1access-listmatcha•nat(inside)2access-listmatchb•global(outside)1192.168.0.33•global（outside)2192.168.0.49静态转换：静态一对一•static（静态一对一）•适用于把内部服务器转换到一个公网地址•接口：•真实接口:DMZ•转换后接口：Outside-IP地址：真实地址：192.168.1.1转换后地址：202.100.1.101配置静态转换•static（dmz，outside)202.100.1.101192.168.1.1•命令格式：•static（真实接口，转换后接口）转换后地址真实地址•第二步：•access-listoutpertcpanyhost202.100.1.101eq23•第三部配置access-group•access-groupoutininteroutside静态转换2staticPAT•staticpat(端口转换）•适用于把内部服务器端口转换到其它端口•-192.168.1.1/•-192.168.1.2/telnet转换到202.100.1.101/2323staticPAT配置•第一步配置staticPAT•static（DMZ,Outside）tcp202.100.1.101(interface)•static(DMZ,outside)tcp202.100.1.101(interface)2121192.168.1.2ftp•第二步配置ACL•access-listoutpermittcpanyhost202.100.1.101eq2121•access-listoutpermittcpanyhost202.100.1.101eq80•第三步：•access-groupoutininterfaceoutsideNATBypass(NAT旁路)•NAT0+ACL（nat旁路）•最优先的nat类型•匹配ACL的流量，旁路NAT，不转换（没有xlate）•ACL协议必须为IP•ACL的流量必须从高往低写（outbound）•NAT0必须运用在高安全级别接口•只影响outbound方向的流量NATBypass配置•第一步：配置ACL•access-listnonatpermitip10.1.1.0255.255.255.0202.100.1.0255.255.255.0•nat(inside)0access-listnonat•showxlateNAT优先顺序•NAT0+ACL（NATbypass）•Static(静态一对一）•StaticPAT（端口转换）•PolicyNAT（ID大于等于1+ACL）•NAT（动态NAT，ID大于等于0，Bestmatch）•天生的不转换8.4NAT配置两种NAT配置方式•1.ObjectNAT•（在ObjectNAT配置中，NAT策略被配置为一个网络对象的参数，objectNAT被认为是一种快速而简单的配置方式，用户为单一的一个IP地址，一个网络范围和一个网段配置NAT）•2.TwiceNAT•（TwiceNAT能够允许你指定源和目的地址在一个策略中，因为能够指定源和目的地址，所以你可以让一个原地址在去往X目的地址的时候，转换为A，去往目的地址Y的时候，转换为B）NAT的分类•1.StaticNAT：（一个持久的映射，映射一个真实地址到一个映射后地址，允许双向流量）•2.DynamicNAT（一个组的真实地址映射到一组映射后地址，映射后地址往往比真实地址数量少，遵循先来先服务的原则，只有真实的主机才可以发起连接）•3.DynamicPAT（一个组真实地址映射到一个使用唯一源端口的映射地址）•4.IdentityNAT（一个地址被静态的转换到自己，本质上就是旁路掉NAT。当转换一大组地址，却想把其中一小部分地址旁路掉NAT的时候，使用这个技术。特别适用于旁路VPN流量.)实验拓扑DynamicNAT介绍•DynamicInsideNAT（允许内部转换）：为一个本地IP地址到一个全局IP地址创建一个临时转换•1.InsideNAT转换一个位于高安全级别接口的本地地址到一个位于低安全级别接口的全局地址•2.当内部地址发起第一个链接时，在转换表项里动态创建转换槽位•3.转换项一直存在，直到配置的闲置时间到期配置需求配置方法•objectnetworkoutside-pool•range202.100.1.100202.100.1.200objectnetworkInside-network•subnet10.1.1.0255.255.255.0•nat(inside,outside)dynamicoutside-pooltimeoutxlate1:00:00Telnet测试查看Xlate/conn查看local-hostDynamicPAT介绍•DynamicInsidePAT（动态内部PAT）：创建一个临时的动态转换，把一个本地地址和端口转换到一个全局地址和全局端口。•1.为每个4层连接创建转换槽位（最多支持64512个槽位）•2.当4层连接结束时，转换槽位消失（闲置超时时间比较短，默认30s）•3.同样可以转换主机到ASA出接口的IP地址配置需求需求1：•objectnetworkInside-network•subnet10.1.1.0255.255.255.0•nat(inside,dmz)dynamic192.168.1.100测试并查看状态：showxlate需求2•objectnetworkoutside-pool•range202.100.1.100202.100.1.199objectnetworkinside-NAT-Outsidesubnet10.1.1.0255.255.255.0nat(inside,outside)dynamicoutside-poolinterface需求3•objectnetworkout-pat-pool•range202.100.1.200202.100.1.210objectnetworkDMZ-networksubnet192.168.1.0255.255.255.0nat(DMZ,Outside)dynamicpat-poolout-pat-poolround-robinRound-Robin这个选项会循环使用地址池地址，而不是彻底使用完一个地址再使用下一个StaticNAT介绍StaticNAT（静态NAT）：创建一个本地地址到全局地址的永久转换1、静态转换在转换表中是持久稳固和永远存在的（转换槽位一直存在且无法清除）2、通常需要对外提供服务的内部服务器做转换（inbound连通）配置需求需求配置•objectnetworkDMZ-telnet-Server•host192.168.1.1•nat(DMZ,Outside)static202.100.1.101列表放行：access-listoutpertcpanyobjectDMZ-telnet-Servereqtelnetaccess-groupoutininteroutside测试并查看状态NetworkstaticNAT介绍•当静态转换整个本地网络到全局网络并且使用单一的NAT条目的时候可以使用静态NAT配置需求需求1•objectnetworkDMZ-network•subnet192.168.1.16255.255.255.240objectnetworkinside-networksubnet10.1.1.16255.255.255.240nat(inside,DM