Cisco Cisco ASA 5555-X Adaptive Security Appliance Guide D’Installation Rapide
4-12
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
路由和透明模式下的 NAT
路由模式下的 NAT
下图显示路由模式下的一个典型 NAT 示例,专用网络位于内部。
图
4-12
NAT
示例:路由模式
1.
当位于 10.1.2.27 的内部主机将数据包发送到网络服务器时,数据包的实际源地址 10.1.2.27 被
更改为映射地址 209.165.201.10。
更改为映射地址 209.165.201.10。
2.
当服务器响应时,它会将响应发送到映射地址 209.165.201.10,ASA 接收数据包,因为 ASA
执行代理 ARP 以认领数据包。
执行代理 ARP 以认领数据包。
3.
接下来,ASA 变更从映射地址 209.165.201.10 回到实际地址 10.1.2.27 的转换,然后再发送到
主机。
主机。
透明模式下的 NAT
在透明模式下使用 NAT 可以消除上游或下游路由器为它们的网络执行 NAT 的需求。
透明模式下的 NAT 有以下要求和限制:
•
因为透明防火墙没有任何接口 IP 地址,所以不能使用接口 PAT。
•
不支持 ARP 检测。此外,如果由于某种原因,ASA 一端的主机向 ASA 另一端的主机发送
ARP 请求,而且发起主机实际地址被映射到同一子网的不同地址,那么实际地址在 ARP 请求
中依然可见。
ARP 请求,而且发起主机实际地址被映射到同一子网的不同地址,那么实际地址在 ARP 请求
中依然可见。
•
不支持在 IPv4 和 IPv6 网络之间进行转换。支持在两个 IPv6 网络之间或两个 IPv4 网络之间进
行转换。
行转换。
Web Server
www.cisco.com
Outside
Inside
209.165.201.2
10.1.2.1
10.1.2.27
1
3
002
3
Translation
209.165.201.10
10.1.2.27
Originating
Packet
Undo Translation
209.165.201.10
10.1.2.27
Responding
Packet
Security
Appliance
Appliance