回复： ASA twice nat 静态多对一转换

xdy_ch · ‎11-21-2023

nat (inside,outside) source static inside-net inside-net-tr

object-group network inside-net

network-object host 192.168.1.1

network-object host 192.168.1.2

network-object host 192.168.1.3

object-group network inside-net-tr

network-object host 172.10.2.46

[求助]请教各位，上面的配置，二次nat静态转换，多对一源转换，是否是同时只能由1个内网地址转换。如果多个地址可以同时转换，实现原理是什么。

Rps-Cheers · ‎11-21-2023

你好，你的配置应该是手动NAT吧。这个和自动NAT的结果应该是一样的（关于twice NAT，可以参考后面的链接）。举例说明：

自动NAT

object network public-web-server
 host 10.10.70.10
 nat (SERVERS,OUTSIDE) static 101.85.10.4

手动NAT

object network public-web-server
 host 10.10.70.10

object network web-server-NAT
 host 101.85.10.4

nat (SERVERS,OUTSIDE) source static public-web-server web-server-NAT

案例是1:1的配置，如果多对一，可以尝试通过PAT来映射。

关于NAT的案例和解释，可以参考思科文档：

https://www.cisco.com/c/en/us/td/docs/security/asa/asa94/config-guides/cli/firewall/asa-94-firewall-config/nat-reference.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

xdy_ch · ‎11-22-2023

我只是想了解这样配置，地址会如何转换。

是同时只有1个内部地址能转换，其他内部地址会挤掉前一个内部地址吗或者一直被1个内部地址占用直到超时；

还是可以多个内部地址同时转换，这样又如何实现，动态端口转换吗？静态nat应该不会转换端口吧

Rps-Cheers · ‎11-22-2023

按理解来说，不应该一直被一个内部地址占用，各个地址可能都在刷新这个静态映射的条目，可能出现抢占的情况，那这样必然这几个host会有丢包的情况。

这样来实现多个地址的转换，实现自动NAT

object network inside-subnet
 subnet 192.168.1.0 255.255.255.0
 nat (inside,outside) dynamic interface
!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !