Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup

思科 ASA 系列防火墙 CLI 配置指南

第 5 章      网络对象 NAT

  配置网络对象 NAT

以下示例使用动态 PAT 备份配置动态 NAT，将 IPv6 主机转换为 IPv4 主机。内部网络 
2001:DB8::/96 上的主机首先映射到 IPv4_NAT_RANGE 池（209.165.201.1 到 209.165.201.30）。
分配 IPv4_NAT_RANGE 池中的所有地址之后，使用 IPv4_PAT 地址 (209.165.201.31) 执行动态 
PAT。在 PAT 转换也用尽的情况下，使用外部接口地址执行动态 PAT。

hostname(config)# object network IPv4_NAT_RANGE

hostname(config-network-object)# range 209.165.201.1 209.165.201.30

hostname(config-network-object)# object network IPv4_PAT

hostname(config-network-object)# host 209.165.201.31

hostname(config-network-object)# object-group network IPv4_GROUP

hostname(config-network-object)# network-object object IPv4_NAT_RANGE

hostname(config-network-object)# network-object object IPv4_PAT

hostname(config-network-object)# object network my_net_obj5

hostname(config-network-object)# subnet 2001:DB8::/96

hostname(config-network-object)# nat (inside,outside) dynamic IPv4_GROUP interface

配置动态 PAT（隐藏）

本节介绍如何为动态 PAT（隐藏）配置网络对象 NAT。有关详细信息，请参阅

准则

对于 PAT 池：

如果可用，真实源端口号将用于映射端口。然而，如果真实端口

不可用，将默认从与真实端

口号相同的端口范围选择映射端口：0 至 511、512 至 1023 以及 1024 至 65535。因此，低于 
1024 的端口仅拥有很小的可用 PAT 池。（8.4(3) 及更高版本，不包括 8.5(1) 或 8.6(1)）如果
您有大量使用较低端口范围的流量，现在可以指定一个要使用的单一端口范围，而不是三个
大小不等的层：1024 到 65535 或 1  到 65535。

如在两个不同的规则中使用相同的 PAT 池对象，则请确保为每条规则指定相同的选项。例
如，如果一条规则指定扩展 PAT 和无层次的范围，则另一条规则也必须指定扩展 PAT 和无层
次的范围。

对于用于 PAT 池的扩展 PAT：

许多应用检测不支持扩展 PAT。有关不支持的检测的完整列表，请参阅

中的

如为动态 PAT 规则启用扩展 PAT，则无法也在不同的带有端口转换规则的静态 NAT 中使用 
PAT 池中的地址作为 PAT 地址。例如，如果 PAT 池包括 10.1.1.1，则无法创建一个将 10.1.1.1 
用作 PAT 地址的采用端口转换规则的静态 NAT。

如使用 PAT 池，并为回退指定接口，则无法指定扩展 PAT。

对于使用 ICE 或 TURN 的 VoIP 部署，请勿使用扩展 PAT。ICE 和 TURN 依赖于 PAT 绑定才
能对所有目标均保持相同。

对于 PAT 池的轮询调度：

如果主机拥有现有连接，并且端口可用，则来自该主机的后续连接将使用相同的 PAT IP 地
址。注意：此 “ 粘性 ” 在故障转移后将不复存在。如果 ASA 进行故障转移，则来自某个主机
的后续连接可能将不使用初始 IP 地址。

轮询调度可能会消耗大量的内存，在与扩展 PAT 组合使用时尤其如此。由于将为每一个映射
协议 /IP 地址 / 端口范围创建 NAT 池，因此，轮询调度会导致大量并发 NAT 池，从而消耗内
存。扩展 PAT 将导致甚至更多数量的并发 NAT 池。