ASA 是思科最常用的防火墙系列,现在常用的是ASA5500-X系列, 常用的大家都知道从8.25 后开始做了很大的修改,尤其是NAT,很多不经常使用的人购买了ASA5500-X系列后发现原来网上的一些帖子的NAT配置已经不适合了,这里说一下官方改版NAT 的东西,包转发的处理步骤已经发送了改变:
2.Auto NAT entries
3.After-Auto NAT entries
NAT 8.3+ NAT 特点
•Manual NAT
-允许进行双向NAT 转换,例如2次NAT 进出流量都进行NAT
-允许特定的源和目的在同一个NAT 装换条目上
-常用于复杂场景 (一对一, 一对多, 多对多, 多对一)
•Automatic NAT
-每个object 对应一个nat规则
-常用于较简单的场景
•Manual “after” NAT
-用于NAT 处理表的结尾部分,常用于NAT收尾处理
Pre version 8.3
1.nat 0 access-list (nat-exempt)
2.Match existing xlates
3.Match static commands (first match)
a.Static NAT with access-list
b.Static PAT with and without access-list
4.Match nat commands
a.nat <id> access-list (first match)
b.nat <id> <address> <mask> (best match)
i.If the ID is 0, create an identity xlate
ii.Use global pool for dynamic NAT
iii.Use global pool for dynamic PAT
Version 8.3+
1.Manual NAT entries2.Auto NAT entries
3.After-Auto NAT entries
NAT 8.3+ 转换顺序
通过配置命令建立NAT Table (通过show nat命令)
NAT表项基于最先匹配原则 (自上而下的匹配)
NAT 8.3+ NAT 特点
•Manual NAT
-允许进行双向NAT 转换,例如2次NAT 进出流量都进行NAT
-允许特定的源和目的在同一个NAT 装换条目上
-常用于复杂场景 (一对一, 一对多, 多对多, 多对一)
•Automatic NAT
-每个object 对应一个nat规则
-常用于较简单的场景
•Manual “after” NAT
-用于NAT 处理表的结尾部分,常用于NAT收尾处理
