Cisco Cisco ASA 5555-X Adaptive Security Appliance 빠른 설정 가이드
4-10
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
NAT 类型
动态 PAT
以下主题介绍动态 PAT。
•
•
•
有关动态 PAT
通过将实际地址和源端口转换为映射地址和唯一端口,动态 PAT 可以将多个实际地址转换为单一
映射地址。如果可用,真实源端口号将用于映射端口。然而,如果真实端口
映射地址。如果可用,真实源端口号将用于映射端口。然而,如果真实端口
不可用,将默认从与
真实端口号相同的端口范围选择映射端口:0 至 511、512 至 1023 以及 1024 至 65535。因此,低
于 1024 的端口仅拥有很小的可用 PAT 池。如果您有大量使用较低端口范围的流量,可以指定一
个要使用的单一端口范围,而不是三个大小不等的层。
于 1024 的端口仅拥有很小的可用 PAT 池。如果您有大量使用较低端口范围的流量,可以指定一
个要使用的单一端口范围,而不是三个大小不等的层。
每个连接都需要单独的转换会话,因为每个连接的源端口都不同。例如,10.1.1.1:1025 需要来自
10.1.1.1:1026 的单独的转换。
10.1.1.1:1026 的单独的转换。
下图显示一个典型的动态 PAT 场景。仅实际主机可以创建 NAT 会话,允许响应流量返回。映射
地址对于每次转换都是相同的,但端口需要动态分配。
地址对于每次转换都是相同的,但端口需要动态分配。
图
4-10
动态
PAT
在连接过期后,端口转换也将过期。对于多会话 PAT,使用 PAT 超时,默认情况下为 30 秒。对
于每会话 PAT,立即删除 xlate。目标网络上的用户不能可靠地发起到使用 PAT 的主机的连接(即
使访问规则允许该连接)。
于每会话 PAT,立即删除 xlate。目标网络上的用户不能可靠地发起到使用 PAT 的主机的连接(即
使访问规则允许该连接)。
注
在转换期间,如果访问规则允许到转换主机的连接,远程主机可以发起该连接。因为端口地址
(实际和映射)不可预测,所以到该主机的连接不可能发生。然而,在这种情况下,您可以依靠
访问规则的安全性。
(实际和映射)不可预测,所以到该主机的连接不可能发生。然而,在这种情况下,您可以依靠
访问规则的安全性。
每会话 PAT 与多会话 PAT
每会话 PAT 可以提高 PAT 的可扩展性,对于集群,允许每个成员单元拥有自己的 PAT 连接;多会
话 PAT 连接必须转发到主单元并且归主单元所有。每会话 PAT 会话结束时,ASA 将发送重置,
并立即移除转换。此重置将导致结束节点立即释放连接,从而避免 TIME_WAIT 状态。另一方
面,多会话 PAT 使用 PAT 超时,默认情况下为 30 秒。
话 PAT 连接必须转发到主单元并且归主单元所有。每会话 PAT 会话结束时,ASA 将发送重置,
并立即移除转换。此重置将导致结束节点立即释放连接,从而避免 TIME_WAIT 状态。另一方
面,多会话 PAT 使用 PAT 超时,默认情况下为 30 秒。
对于 “ 肇事逃逸 ” 流量,例如 HTTP 或 HTTPS,每会话 PAT 可以显著增加一个地址支持的连接速
率。不使用每会话 PAT,IP 协议的一个地址的最大连接速率大约为每秒 2000。使用每会话 PAT,
IP 协议的一个地址的连接速率为 65535/ 平均生命周期。
率。不使用每会话 PAT,IP 协议的一个地址的最大连接速率大约为每秒 2000。使用每会话 PAT,
IP 协议的一个地址的连接速率为 65535/ 平均生命周期。
10.1.1.1:1025
209.165.201.1:2020
Inside
Outside
10.1.1.1:1026
209.165.201.1:2021
10.1.1.2:1025
209.165.201.1:2022
1
3
00
3
4
Security
Appliance
Appliance