PIX&ASA的NAT與STATIC

來源：懂視網責編：小采時間：2020-11-09 08:13:37

PIX&ASA的NAT與STATIC

PIX&ASA的NAT與STATIC:老胳膊整理的以下關于 PIXASA的NAT與STATIC 命令總和：動態轉換---NAT： #nat (inside) 1 10.0.0.0 255.255.255.0 #global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 將10.x網段轉換為192.

推薦度：

點擊下載本文 文檔為doc格式

導讀PIX&ASA的NAT與STATIC:老胳膊整理的以下關于 PIXASA的NAT與STATIC 命令總和：動態轉換---NAT： #nat (inside) 1 10.0.0.0 255.255.255.0 #global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 將10.x網段轉換為192.

老胳膊整理的以下關于 PIXASA的NAT與STATIC 命令總和：動態轉換---NAT： #nat (inside) 1 10.0.0.0 255.255.255.0 #global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 將10.x網段轉換為192.168.0.20-254這個ip池不轉換地址： (config)

老胳膊整理的以下關于PIX&ASA的NAT與STATIC命令總和：

動態轉換---NAT：
#nat (inside) 1 10.0.0.0 255.255.255.0
#global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0
將10.x網段轉換為192.168.0.20-254這個ip池

不轉換地址：
(config)#access-list nonat permit ip host 10.1.1.1 any
(config)#nat (inside) 0 access-list nonat

端口轉換---PAT：
1個ip可以做65535-1024個PAT（理論值）

端口復用：
#nat (inside) 1 10.0.0.0 255.255.0.0
#global (outside) 1 192.168.0.3 netmask 255.255.255.255
將10.x網段轉換為192.168.0.3一個ip對應不同的端口。

使用outside interface地址：
#nat (inside) 1 10.0.0.0 255.255.0.0
#global (outside) 1 interface

端口映射：
#static (i,o) tcp 20.1.1.100 23 10.1.1.100 23
將inside的10.1.1.100的23號端口映射到20.1.1.100的23號端口上
可用static做DOS防御，TCP和UPD都有最大連接數，UDP沒有半開鏈接數，如：
static (inside,outside) 202.100.1.101 10.1.1.1 tcp 100 1000
最大全開鏈接最大半開鏈接

static nat
基于不同的目的轉換為不同的地址（生成永久的xlate表項）
access-list nat-to-202 per ip host 10.1.1.1 202.100.1.0
access-list nat-to-2 per ip host 10.1.1.1 2.2.2.0
static (i,o) 202.100.1.202 access-list nat-to-202
static (i,o) 202.100.1.2 access-list nat-to-2

static pat
基于特定的流量，把內部的特定主機的特定端口，轉換為外部的特定主機的特定端口（生成永久的xlate表項）
access-list nat-to-202 per tcp host 10.1.1.1 eq telnet 202.100.1.0 255.255.255.0
access-list nat-to-2 per tcp host 10.1.1.1 eq telnet 2.2.2.0 255.255.255.0
static (i,o) tcp 202.100.1.101 2323 access-list nat-to-202
static (i,o) tcp interface 23 access-list nat-to-2

Policy nat
access-list nat-to-202 per ip host 10.1.1.1 host 202.100.1.1
access-lsit nat-to-2 per ip host 10.1.1.1 host 2.2.2.2
nat (inside) 1 access-list nat-to-202
glob (outside) 1 202.100.1.202
nat (inside) 2 access-list nat-to-2
glob (outside) 2 202.100.1.2

access-list nat-to-3032 per tcp host 10.1.1.1 host 202.100.1.1 eq 3032
access-list nat-to-23 per tcp host 10.1.1.1 host 202.100.1.1 eq 23
nat (inside) 1 access-list nat-to-3032
glob (outside) 1 202.100.1.32
nat (inside) 2 access-list nat-to-23
glob (outside) 2 202.100.1.23

bypass nat

nat (inside) 0 10.1.1.0 255.255.255.0
0表示不轉換

NAT檢查順序
1. nat+acl
2. static
3. policy nat
4. nat+address
5. 地址池用完，使用pat（glob+地址）

相同網段必須在pix的outside端口啟用ARP代理功能
sysopt noproxyarp outside //在outside端口關閉ARP代理，一定不能使用。。

clear local-host //清除xlate、連接表項

sh xlate 查看IP對應關系，存活周期3小時，更改表項需清除xlate
更改任何NAT選項，需要執行clear xlate(清除動態xlate表項)

sh connect 檢查連接項，可看到所有活躍鏈接
show local-host

老胳膊BLOG

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com