Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
4-13
思科 ASA 系列防火墙 CLI 配置指南
第 4 章 网络地址转换 (NAT)
路由和透明模式下的 NAT
下图显示透明模式下的典型 NAT 场景,内部接口和外部接口上的网络相同。在此场景中,透明防
火墙执行 NAT 服务,因此,上游路由器不必执行 NAT。
火墙执行 NAT 服务,因此,上游路由器不必执行 NAT。
图
4-13
NAT
示例:透明模式
1.
当位于 10.1.1.75 的内部主机向网络服务器发送数据包时,数据包的实际源地址 10.1.1.75 被更
改为映射地址 209.165.201.15。
改为映射地址 209.165.201.15。
2.
当服务器响应时,它将响应发送到映射地址 209.165.201.15,ASA 接收数据包,因为上游路
由器将此映射网络包含在定向到 ASA 管理 IP 地址的静态路由中。有关所需路由的详细信
息,请参阅
由器将此映射网络包含在定向到 ASA 管理 IP 地址的静态路由中。有关所需路由的详细信
息,请参阅
3.
然后,ASA 取消映射地址 209.165.201.15 回到实际地址 10.1.1.1.75 的转换。因为实际地址是
直接连接的,所以 ASA 将实际地址直接发送到主机。
直接连接的,所以 ASA 将实际地址直接发送到主机。
4.
对于主机 192.168.1.2,发生相同流程,但返回流量除外,ASA 在其路由表中查询路由,根据
192.168.1.0/24 的 ASA 静态路由,将数据包发送到位于 10.1.1.3 的下游路由器。有关所需路由
的详细信息,请参阅
192.168.1.0/24 的 ASA 静态路由,将数据包发送到位于 10.1.1.3 的下游路由器。有关所需路由
的详细信息,请参阅
。
Management IP
10.1.1.1
10.1.1.1
www.example.com
10.1.1.2
Internet
Source Addr Translation
209.165.201.10
192.168.1.2
Source Addr Translation
209.165.201.15
10.1.1.75
ASA
10.1.1.75
10.1.1.3
192.168.1.1
192.168.1.2
Network 2
Static route on router:
209.165.201.0/27 to 10.1.1.1
209.165.201.0/27 to 10.1.1.1
Static route on ASA:
192.168.1.0/24 to 10.1.1.3
192.168.1.0/24 to 10.1.1.3
250261