Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup
5-3
思科 ASA 系列防火墙 CLI 配置指南
第 5 章 网络对象 NAT
默认设置
其他准则
•
只能为给定对象定义单一 NAT 规则;如果想为对象配置多条 NAT 规则,需要使用指定同一
IP 地址的不同名称创建对个对象,例如,object network obj-10.10.10.1-01、object network
obj-10.10.10.1-02 等等。
IP 地址的不同名称创建对个对象,例如,object network obj-10.10.10.1-01、object network
obj-10.10.10.1-02 等等。
•
如果更改 NAT 配置,而且在使用新 NAT 配置之前不想等待现有转换超时,则可以使用 clear
xlate 命令清除转换表。然而,清除转换表将断开使用转换的当前所有连接。
xlate 命令清除转换表。然而,清除转换表将断开使用转换的当前所有连接。
注
如果移除动态 NAT 或 PAT 规则,然后使用与已移除规则中地址重叠的映射地址添加
新规则,则将不使用新规则,直至与已移除规则关联的所有连接超时,或已使用 clear
xlate 命令将这些连接清除。此保护措施确保相同的地址将不分配至多个主机。
新规则,则将不使用新规则,直至与已移除规则关联的所有连接超时,或已使用 clear
xlate 命令将这些连接清除。此保护措施确保相同的地址将不分配至多个主机。
•
NAT 中使用的对象和对象组不能是未定义的,它们必须包含 IP 地址。
•
不能使用同时包含 IPv4 和 IPv6 地址的对象组,对象组只能包括一种类型的地址。
•
可以在多条 NAT 规则中使用同一映射对象或组。
•
已映射 IP 地址池不能包括:
–
已映射接口的 IP 地址。如果为规则指定 any 接口,那么所有接口 IP 地址将不被允许。对
于接口 PAT(仅路由模式),请使用 interface 关键字,而非 IP 地址。
于接口 PAT(仅路由模式),请使用 interface 关键字,而非 IP 地址。
–
(透明模式)管理 IP 地址。
–
(动态 NAT)启用 VPN 时,备用接口 IP 地址。
–
现有的 VPN 池地址。
•
避免在静态和动态 NAT 策略中使用重叠地址。例如,使用重叠地址,如果 PPTP 的辅助连接
命中静态而非动态 xlate,将无法建立 PPTP 连接。
命中静态而非动态 xlate,将无法建立 PPTP 连接。
•
有关 NAT 或 PAT 的应用检测限制,请参阅
中的
。
默认设置
•
(路由模式)默认实际接口和映射接口为 Any,可将规则应用于所有接口。
•
用于身份标识 NAT 的默认行为已启用代理 ARP,匹配其他静态 NAT 规则。如果需要,可以
禁用代理 ARP。有关详细信息,请参阅
禁用代理 ARP。有关详细信息,请参阅
。
•
如果指定可选接口,则 ASA 将使用 NAT 配置确定出口接口,但您可以选择始终使用路由查
询。有关详细信息,请参阅
询。有关详细信息,请参阅
。
配置网络对象 NAT
本节介绍如何配置网络对象 NAT。
•
•
•
•
•
•