Cisco Cisco ASA 5555-X Adaptive Security Appliance Anleitung Für Quick Setup
5-13
思科 ASA 系列防火墙 CLI 配置指南
第 5 章 网络对象 NAT
配置网络对象 NAT
示例
以下示例使用内联映射地址将主机地址映射到它本身:
hostname(config)# object network my-host-obj1
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static 10.1.1.1
以下示例使用网络对象将主机地址映射到它本身:
hostname(config)# object network my-host-obj1-identity
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# object network my-host-obj1
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static my-host-obj1-identity
配置每会话 PAT 规则
默认情况下,所有 TCP PAT 流量和所有 UDP DNS 流量均使用每会话 PAT。要将多会话 PAT 用于
流量,可配置每会话 PAT 规则:一条允许规则使用每会话 PAT,一条拒绝规则使用多会话 PAT。
有关每会话 PAT 和 多会话 PAT 的详细信息,请参阅
流量,可配置每会话 PAT 规则:一条允许规则使用每会话 PAT,一条拒绝规则使用多会话 PAT。
有关每会话 PAT 和 多会话 PAT 的详细信息,请参阅
。
步骤 4
nat
[(real_ifc,mapped_ifc)] static
{mapped_inline_ip | mapped_obj}
[no-proxy-arp] [route-lookup]
示例:
hostname(config-network-object)# nat
(inside,outside) static MAPPED_IPS
为对象 IP 地址配置身份标识 NAT。
注
只能为给定对象定义单一 NAT 规则。请参阅
请参阅以下准则:
•
Interfaces -(透明模式必需)指定真实和映射接口。确保
命令中包含圆括号。在路由模式下,如不指定真实和映
射接口,则将使用所有接口;还可为一个或两个接口指
定关键字 any。
命令中包含圆括号。在路由模式下,如不指定真实和映
射接口,则将使用所有接口;还可为一个或两个接口指
定关键字 any。
•
Mapped IP addresses - 确保为映射地址和实际地址配置相
同的 IP 地址。使用以下方法之一:
同的 IP 地址。使用以下方法之一:
–
Network object - 包含与实际对象相同的 IP 地址(请
参阅
参阅
)。
–
Inline IP address - 映射网络的网络掩码或范围与实际
网络的相同。例如,如果实际网络为主机,则该地址
将是主机地址。如果是范围,则映射地址包含的地址
数量与实际范围的相同。例如,如果实际地址定义为
10.1.1.1 到 10.1.1.6 的范围,并且将 10.1.1.1 指定为映
射地址,则映射范围将包括 10.1.1.1 到 10.1.1.6。
网络的相同。例如,如果实际网络为主机,则该地址
将是主机地址。如果是范围,则映射地址包含的地址
数量与实际范围的相同。例如,如果实际地址定义为
10.1.1.1 到 10.1.1.6 的范围,并且将 10.1.1.1 指定为映
射地址,则映射范围将包括 10.1.1.1 到 10.1.1.6。
•
No Proxy ARP - 指定 no-proxy-arp,为映射 IP 地址的传
入数据包禁用代理 ARP。有关详细信息,请参阅
入数据包禁用代理 ARP。有关详细信息,请参阅
。
•
Route lookup -(仅路由模式;接口已指定)指定
route-lookup,以使用路由查询而非在 NAT 命令中指定
的接口确定出口接口。有关详细信息,请参阅
route-lookup,以使用路由查询而非在 NAT 命令中指定
的接口确定出口接口。有关详细信息,请参阅
。
命令
用途