两次 NAT 可供您在单一规则中同时确定源和目标地址。如果同时指定源和目标地址,则可指定以
下情况:例如,在进入目标 X 时源地址应转换为 A,但在进入目标 Y 时转换为 B。
对于静态 NAT,规则是双向的,因此,请注意,整个本指南中命令和描述中使用的“ 源” 和“ 目
标”,即便是给定的连接,也可能源自“ 目标” 地址。例如,如果使用端口地址转换配置静态
NAT,将源地址指定为 Telnet 服务器,且您想要进入该 Telnet 服务器的所有流量将端口从 2323 转
换为 23,则在命令中,必须指定将要转换的 source 端口(real: 23,mapped: 2323)。您指定源端
口是因为您将 Telnet 服务器地址指定为源地址。
目标地址是可选的。如果指定目标地址,可以将它映射到其本身(身份标识 NAT),或者将它映
射到不同的地址。目标映射始终是静态映射。
两次 NAT 还可供您将服务对象用于带有端口转换的静态 NAT ;网络对象 NAT 仅接受内联定义。
有关两次 NAT 和网络对象 NAT 之间的差异的详细信息
取决于目标的不同转换(动态 PAT)
图 展示了 10.1.2.0/24 网络上的主机访问两个不同的服务器。当主机访问处于 209.165.201.11
的服务器时,真实地址将转换为 209.165.202.129:port。当主机访问处于 209.165.200.225 的服务
器时,真实地址将转换为 209.165.202.130:port。
步骤 1 为内部网络添加网络对象:
hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
步骤 2 为 DMZ 网络 1 添加网络对象:
hostname(config)# object network DMZnetwork1
hostname(config-network-object)# subnet 209.165.201.0 255.255.255.224
步骤 3 为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
步骤 4 配置第一条两次 NAT 规则:
hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination
static DMZnetwork1 DMZnetwork1
由于您不想转换目标地址,因此,需要为其配置标识 NAT,只需为真实和映射目标地址指定相同
的地址。
步骤 5 为 DMZ 网络 2 添加网络对象:
hostname(config)# object network DMZnetwork2
hostname(config-network-object)# subnet 209.165.200.224 255.255.255.224
步骤 6 为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
步骤 7 配置第二条两次 NAT 规则:
hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress2 destination
static DMZnetwork2 DMZnetwork2
取决于目标地址和端口的不同转换(动态 PAT)
图 展示了源和目标端口的使用。10.1.2.0/24 网络上的主机同时因为网络服务和 Telnet 服务访
问单个主机。当主机因为 Telnet 服务访问服务器时,真实地址将转换为 209.165.202.129:port。当
主机因为网络服务访问相同服务器时,真实地址将转换为 209.165.202.130:port。
步骤 1 为内部网络添加网络对象:
hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
步骤 2 为 Telnet/ 网络服务器添加网络对象:
hostname(config)# object network TelnetWebServer
hostname(config-network-object)# host 209.165.201.11
步骤 3 使用 Telnet 时为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
步骤 4 为 Telnet 添加服务对象:
hostname(config)# object service TelnetObj
hostname(config-network-object)# service tcp destination eq telnet
步骤 5 配置第一条两次 NAT 规则:
hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress1
destination static TelnetWebServer TelnetWebServer service TelnetObj TelnetObj
由于您不想要转换目标地址或端口,因此需要为其配置标识 NAT,只需为真实和映射目标地址指
定相同的地址,为真实和映射服务指定相同的端口。
默认情况下,NAT 规则将添加至 NAT 表第 1 部分的末尾,请参阅第 6-10 页上的配置动态 PAT
(隐藏)了解有关如何为 NAT 规则指定部分和行号的详细信息。
步骤 6 使用 HTTP 时为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
步骤 7 为 HTTP 添加服务对象:
hostname(config)# object service HTTPObj
hostname(config-network-object)# service tcp destination eq http
步骤 8 配置第二条两次 NAT 规则:
hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress2
destination static TelnetWebServer TelnetWebServer service HTTPObj HTTPObj
下情况:例如,在进入目标 X 时源地址应转换为 A,但在进入目标 Y 时转换为 B。
对于静态 NAT,规则是双向的,因此,请注意,整个本指南中命令和描述中使用的“ 源” 和“ 目
标”,即便是给定的连接,也可能源自“ 目标” 地址。例如,如果使用端口地址转换配置静态
NAT,将源地址指定为 Telnet 服务器,且您想要进入该 Telnet 服务器的所有流量将端口从 2323 转
换为 23,则在命令中,必须指定将要转换的 source 端口(real: 23,mapped: 2323)。您指定源端
口是因为您将 Telnet 服务器地址指定为源地址。
目标地址是可选的。如果指定目标地址,可以将它映射到其本身(身份标识 NAT),或者将它映
射到不同的地址。目标映射始终是静态映射。
两次 NAT 还可供您将服务对象用于带有端口转换的静态 NAT ;网络对象 NAT 仅接受内联定义。
有关两次 NAT 和网络对象 NAT 之间的差异的详细信息
取决于目标的不同转换(动态 PAT)
图 展示了 10.1.2.0/24 网络上的主机访问两个不同的服务器。当主机访问处于 209.165.201.11
的服务器时,真实地址将转换为 209.165.202.129:port。当主机访问处于 209.165.200.225 的服务
器时,真实地址将转换为 209.165.202.130:port。
步骤 1 为内部网络添加网络对象:
hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
步骤 2 为 DMZ 网络 1 添加网络对象:
hostname(config)# object network DMZnetwork1
hostname(config-network-object)# subnet 209.165.201.0 255.255.255.224
步骤 3 为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
步骤 4 配置第一条两次 NAT 规则:
hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination
static DMZnetwork1 DMZnetwork1
由于您不想转换目标地址,因此,需要为其配置标识 NAT,只需为真实和映射目标地址指定相同
的地址。
步骤 5 为 DMZ 网络 2 添加网络对象:
hostname(config)# object network DMZnetwork2
hostname(config-network-object)# subnet 209.165.200.224 255.255.255.224
步骤 6 为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
步骤 7 配置第二条两次 NAT 规则:
hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress2 destination
static DMZnetwork2 DMZnetwork2
取决于目标地址和端口的不同转换(动态 PAT)
图 展示了源和目标端口的使用。10.1.2.0/24 网络上的主机同时因为网络服务和 Telnet 服务访
问单个主机。当主机因为 Telnet 服务访问服务器时,真实地址将转换为 209.165.202.129:port。当
主机因为网络服务访问相同服务器时,真实地址将转换为 209.165.202.130:port。
步骤 1 为内部网络添加网络对象:
hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
步骤 2 为 Telnet/ 网络服务器添加网络对象:
hostname(config)# object network TelnetWebServer
hostname(config-network-object)# host 209.165.201.11
步骤 3 使用 Telnet 时为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
步骤 4 为 Telnet 添加服务对象:
hostname(config)# object service TelnetObj
hostname(config-network-object)# service tcp destination eq telnet
步骤 5 配置第一条两次 NAT 规则:
hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress1
destination static TelnetWebServer TelnetWebServer service TelnetObj TelnetObj
由于您不想要转换目标地址或端口,因此需要为其配置标识 NAT,只需为真实和映射目标地址指
定相同的地址,为真实和映射服务指定相同的端口。
默认情况下,NAT 规则将添加至 NAT 表第 1 部分的末尾,请参阅第 6-10 页上的配置动态 PAT
(隐藏)了解有关如何为 NAT 规则指定部分和行号的详细信息。
步骤 6 使用 HTTP 时为 PAT 地址添加网络对象:
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
步骤 7 为 HTTP 添加服务对象:
hostname(config)# object service HTTPObj
hostname(config-network-object)# service tcp destination eq http
步骤 8 配置第二条两次 NAT 规则:
hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress2
destination static TelnetWebServer TelnetWebServer service HTTPObj HTTPObj
