Cisco Cisco ASA 5555-X Adaptive Security Appliance 빠른 설정 가이드
4-11
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
路由和透明模式下的 NAT
默认情况下,所有 TCP 流量和 UDP DNS 流量均使用每会话 PAT 转换。对于可以受益于多会话
PAT 的流量,例如 H.323、SIP 或 Skinny,您可以创建每会话拒绝规则,以禁用每会话 PAT。请参
阅
PAT 的流量,例如 H.323、SIP 或 Skinny,您可以创建每会话拒绝规则,以禁用每会话 PAT。请参
阅
动态 PAT 缺点和优点
通过动态 PAT,可以使用单一映射地址,从而保存可路由地址。您甚至可以将 ASA 接口 IP 地址
用作 PAT 地址。
用作 PAT 地址。
动态 PAT 不作用于某些数据流不同于控制路径的多媒体应用。有关 NAT 和 PAT 支持的详细信
息,请参阅
息,请参阅
动态 PAT 还可以创建大量显示为来自单一 IP 地址的连接,服务器可以将流量解释为 DoS 攻击。您
可以配置一个 PAT 地址池,使用 PAT 地址轮询分配减少这种情况。
可以配置一个 PAT 地址池,使用 PAT 地址轮询分配减少这种情况。
身份标识 NAT
您可能有一个 NAT 配置,在其中需要将 IP 地址转换为其本身。例如,如果创建一条将 NAT 应用
于每个网络的大体的规则,但想使一个网络免于 NAT,则可以创建一条静态 NAT 规则,以将地
址转换为其本身。身份标识 NAT 是远程访问 VPN 所必需的,您需要使客户端流量免于 NAT。
于每个网络的大体的规则,但想使一个网络免于 NAT,则可以创建一条静态 NAT 规则,以将地
址转换为其本身。身份标识 NAT 是远程访问 VPN 所必需的,您需要使客户端流量免于 NAT。
下图显示一个典型的身份标识 NAT 场景。
图
4-11
身份标识
NAT
路由和透明模式下的 NAT
您可以在路由和透明防火墙模式下配置 NAT。本节介绍每个防火墙模式的典型用途。
•
•
209.165.201.1
209.165.201.1
Inside
Outside
209.165.201.2
209.165.201.2
1
3
00
3
6
Security
Appliance
Appliance