思科ASA防火墻8.3版與8.4版NAT的配置方法對比

創(chuàng)新互聯(lián)始終堅持【策劃先行，效果至上】的經(jīng)營理念，通過多達十載累計超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的全網(wǎng)營銷推廣解決方案，現(xiàn)已廣泛運用于各行各業(yè)的客戶，其中包括：小攪拌車等企業(yè)，備受客戶稱譽。

    現(xiàn)在思科ASA防火墻已經(jīng)升級到8.4，從8.3開始很多配置都有顛覆性的不同，特別是NAT配置很不一樣，使用了object /object-group的新方式

場景一：內(nèi)網(wǎng)流量訪問外網(wǎng)時都轉(zhuǎn)換為接口的公網(wǎng)地址，此環(huán)境適用于僅有一個公網(wǎng)地址的小型辦公室。

object  network inside_outside  subnet 0.0.0.0 0.0.0.0  nat (inside,outside) dynamic interface

原有的語法 nat (inside) 1 0 0 global (outside) 1  interface

場景二：內(nèi)網(wǎng)流量訪問外網(wǎng)時都轉(zhuǎn)換為特定的公網(wǎng)地址，此環(huán)境適用于的小型辦公室或分支辦公室。

object  network inside_outside  subnet 0.0.0.0 0.0.0.0  nat (inside,outside) dynamic 200.0.0.1

原有的語法 nat (inside) 1 0 0 global (outside) 1 200.0.0.1

場景三：對于有大量公網(wǎng)地址用戶，常應(yīng)用在運營商或者公司內(nèi)網(wǎng)，動態(tài)一對一轉(zhuǎn)換

object  network inside-outside-pool   range 200.0.0.100 200.0.0.200  object network inside-outside-all   subnet 0.0.0.0 0.0.0.0   nat (inside,outside) static  inside-outside-trans

原有的語法  nat  (inside) 1 0 0 global (outside) 1 200.0.0.100  200.0.0.200

場景四：對于有大量公網(wǎng)地址用戶，常應(yīng)用在運營商或者公司內(nèi)網(wǎng)，為防止地址用完可以配置一個PAT和interface (推薦)

object  network inside-outside-trans   rRange 10.10.10.100 10.10.10.200  object network inside-outside-PAT   host 10.10.10.201  object-group network nat-pat-grp   network-object object inside-outside-trans   network-object object inside-outside-PAT  object network inside-outside-all   subnet 0.0.0.0 0.0.0.0   nat (inside,outside) dynamic nat-pat-grp  interface

原有的語法 nat (inside) 1 0 0 global (outside) 1 10.10.10.100  10.10.10.200 global  (outside) 1 interface

場景五:內(nèi)網(wǎng)有郵件和Web服務(wù)器為遠程辦公用戶提供訪問，靜態(tài)轉(zhuǎn)換

object  network server-static   host 192.168.0.3  object  network inside-server   host 200.0.0.10   nat (inside,outside) static server-static

原有語法 static  (inside,outside) 192.168.0.3 200.0.0.10 netmask 255.255.255.255

場景六:此環(huán)境用戶的需求比較復(fù)雜，客戶在低安全區(qū)域有很多提供業(yè)務(wù)服務(wù)的小型機，他需要隱藏被訪問的服務(wù)器地址，同時要求對外網(wǎng)server的訪問進行Static方式一對一的映射。

         objectnetwork obj-ftp                        //ftp端口映射

          host 192.168.1.1

         objectnetwork obj-ftp

         nat(dmz,outside) static interface service tcp ftp ftp

場景七

對通過防火墻的業(yè)務(wù)流量，不更改源地址，也就是將源地址NAT自己，我們稱為identity NAT。

object network inside-nonat

 host192.168.1.2

 nat(inside,outside) static 192.168.1.2

常用排錯命令：

show run nat

show run object-network

show run object-group

show nat detail

show xlate

show conn

show nat pool

debug nat 255

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

新聞標題：CISCOASANAT配置-創(chuàng)新互聯(lián)
標題網(wǎng)址：http://weahome.cn/article/egpch.html