Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup

思科 ASA 系列防火墙 CLI 配置指南

第 5 章      网络对象 NAT

  配置网络对象 NAT

为映射地址添加网络对象

对于动态 NAT，必须为映射地址使用一个对象或组。其他 NAT 类型可以选择使用内联地址，或
者您可以根据本节创建一个对象或组。有关配置网络对象或组的详细信息，请参阅常规操作配置
指南。

准则

网络对象组可以包含多个对象和 / 或 IPv4 或 IPv6 地址的内联地址。组不能同时包含 IPv4 和 
IPv6 地址，它只能包含一种类型的地址。

有关不允许的映射 IP 地址的详细信息，请参阅

动态 NAT：

不能使用内联地址；必须配置一个网络对象或组。

对象或组不能包含子网；对象必须定义一个范围；组可以包含主机和范围。

如果映射网络对象包含范围和主机 IP 地址，则范围可用于动态 NAT，主机 IP 地址可用作 
PAT 退回。

动态 PAT（隐藏）：

如果不使用对象，或者可以配置内联主机地址或指定接口地址。

如果使用对象，对象或组不能包含子网；对象必须定义主机，或者对于 PAT 池，必须定
义范围；组（对于 PAT 池）可以包含主机和范围。

静态 NAT 或带端口转换的静态 NAT：

如果不使用对象，可以配置内联地址，或者指定接口地址（对于带端口转换的静态 
NAT）。

如果使用对象，对象或组可以包含主机、范围或子网。

身份标识 NAT

如果不使用对象，可以配置内联地址。

如果使用对象，对象必须匹配要转换的实际地址。

详细步骤

命令

用途

{host ip_address | range ip_address_1 

ip_address_2 | subnet subnet_address 

netmask}

示例：

hostname(config)# object network TEST

hostname(config-network-object)# range 

10.1.1.1 10.1.1.70

添加网络对象，IPv4 或 IPv6。