Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南

思科 ASA 系列防火墙 CLI 配置指南

第 4 章      网络地址转换 (NAT)

  NAT 和 IPv6

NAT 和 IPv6

您可以使用 NAT 在 IPv6 网络之间转换，以及在 IPv4 和 IPv6 网络之间转换（仅路由模式）。我们
推荐以下最佳实践：

NAT66（IPv6 对 IPv6）- 我们建议使用静态 NAT。尽管您可以使用 NAT 或 PAT，但由于 IPv6 
地址大量供应，因此您不必使用动态 NAT。如果不想允许返回流量，可以使静态 NAT 规则成
为单向的（仅两次 NAT）。

NAT46（IPv4 对 IPv6）- 我们建议使用静态 NAT。因为 IPv6 地址空间远远大于 IPv4 地址空
间，所以可以轻松满足静态转换需求。如果不想允许返回流量，可以使静态 NAT 规则成为单
向的（仅两次 NAT） 转换为 IPv6 子网（/96 或更低）时，默认情况下，生成的映射地址为有
嵌入 IPv4 的 IPv6 地址，其中 32 位 IPv4 地址嵌入在 IPv6 前缀后面。例如，如果 IPv6 前缀为 
/96 前缀，则 IPv4 地址附在最后的 32 位地址中。例如，如果将 192.168.1.0/24 映射到 
201b::0/96，则 192.168.1.4 将被映射到 201b::0.192.168.1.4（通过混合表示法显示）。如果前
缀较小（例如 /64），则 IPv4 地址附在前缀的后面，后缀 0 附在 IPv4 地址后面。或者，您还
能够以网络对网络的方式转换地址，其中第一个 IPv4 地址映射到第一个 IPv6 地址，第二个 
IPv4 地址映射到第二个 IPv6，依次类推。

NAT64（IPv6 到 IPv4）- 您可能没有足够的 IPv4 地址来容纳大量的 IPv6 地址。我们建议使用
动态 PAT 池提供大量的 IPv4 转换。

有关特定的实施准则和限制，请参阅配置章节。

如何实施 NAT

ASA 可以通过两种方法实施地址转换：网络对象 NAT 和两次 NAT。

网络对象 NAT 和两次 NAT 之间的主要差异

这两类 NAT 之间的主要差异是：

定义实际地址的方法。

网络对象 NAT - 将 NAT 定义为网络对象的参数。网络对象命名 IP 主机、范围或子网，以
便您能在 NAT 配置中使用对象，而不是实际 IP 地址。网络对象 IP 地址用作实际地址。
通过此方法，您可以轻松将 NAT 添加到可能已在配置的其他部分使用的网络对象。

两次 NAT - 识别实际地址和映射地址的网络对象或网络对象组。在这种情况下，NAT 不
是网络对象的参数；网络对象或组是 NAT 配置的参数。可以使用实际地址的网络对象组
意味着两次 NAT 更具可扩展性。

实施源和目标 NAT 的方法。

网络对象 NAT - 每条规则都能应用于数据包的源或目标。因此，可能使用两条规则，一
条用于源 IP 地址，一条用于目标 IP 地址。这两条规则不能绑在一起以对源 / 目标组合实
施特定转换。

两次 NAT - 单一规则可以转换源和目标。匹配数据包仅匹配一条规则，不检查更多规
则。即使不为两次 NAT 配置可选的目标地址，匹配数据包依然仅匹配一条两次 NAT 规
则。源和目标绑在一起，使您可以根据源 / 目标组合实施不同的转换。例如，源 A/ 目标 
A 可以有不同于源 A/ 目标 B 的转换。