Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南

思科 ASA 系列防火墙 CLI 配置指南

第 6 章      两次 NAT

  两次 NAT 的配置示例

取决于目标的不同转换（动态 PAT）

 展示了 10.1.2.0/24 网络上的主机访问两个不同的服务器。当主机访问处于 209.165.201.11 

的服务器时，真实地址将转换为 209.165.202.129:port。当主机访问处于 209.165.200.225 的服务
器时，真实地址将转换为 209.165.202.130:port。

图

使用不同目标地址的两次

步骤 1

为内部网络添加网络对象：

hostname(config)# object network myInsideNetwork

hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0

步骤 2

为 DMZ 网络 1 添加网络对象：

hostname(config)# object network DMZnetwork1

hostname(config-network-object)# subnet 209.165.201.0 255.255.255.224

步骤 3

为 PAT 地址添加网络对象：

hostname(config)# object network PATaddress1

hostname(config-network-object)# host 209.165.202.129

步骤 4

配置第一条两次 NAT 规则：

hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination 

由于您不想转换目标地址，因此，需要为其配置标识 NAT，只需为真实和映射目标地址指定相同
的地址。

默认情况下，NAT 规则将添加至 NAT 表第 1 部分的末尾，请参阅

了解有关如何为 NAT 规则指定部分和行号的详细信息。

Server 1

209.165.201.11

Server 2

209.165.200.225

DMZ

Inside

10.1.2.27

10.1.2.0/24

1

3

00

3

9

209.165.201.0/27

209.165.200.224/27

Translation

Translation

Packet

Dest. Address:

Packet

Dest. Address: