18.6 配置 NAT
IP 网络中的每一台计算机和设备都使用唯一的 IP 地址进行标识。由于 IPv4 地址的短缺,
许多网络内部的计算机设备都使用私有 IP 地址,而私有 IP 地址是无法访问外部网络的。借助
NAT 技术,可以完美实现内部网络对 Internet 的访问。 NAT 将私有 IP 地址替换为公有 IP 地址,
在内部网络中转换私有 IP 地址,使其可路由并访问 Internet。
18.6.1 ASA 支持的 NAT 类型
Cisco ASA 可以采用以下方式实施 NAT。
静态 NAT( Static NAT)——真实 IP 地址和映射 IP 地址之间固定映射,允许双向发
起通信。
动态 NAT( Dynamic NAT)——真实 IP 地址组被映射至一个映射 IP 地址组(通常很
小),先到先得。只有真实主机可以发起通信。
动态端口地址转换( Dynamic Port Address Translation, PAT)——真实 IP 地址组使用
唯一的源端口被映射至一个 IP 地址。
Identity NAT——真实 IP 地址被静态转换为其自己,本质上来说,就是绕开 NAT。当
想转换大组 IP 地址时,可以采用该方式来配置 NAT。
18.6.2 NAT 规则顺序
网络对象( Network Object) NAT 规则和 Twice NAT 规则被存储于一张表中,并被分为三个
部分。第一部分规则首先应用,然后是第二部分,最后才是第三部分,如表 18-3 所示。
18.6.3 配置网络对象 NAT
所有配置为网络对象参数的 NAT 规则,被认为是网络对象 NAT 规则。网络对象 NAT 是
为某个 IP 地址、某段 IP 地址或某个子网配置 NAT 的快捷方式。配置网络对象之后,接下来
就是为该对象标识映射地址。
1. 配置策略和限制
在配置网络对象映射时,应当遵循以下策略和限制:
支持单一模式和多环境模式。
支持路由模式和透明防火墙模式。
在透明模式中,必须指定真实的接口和映射接口,不能使用 any。
在透明模式中,不能配置接口 PAT,因为透明模式接口没有 IP 地址。同时,也不能
使用管理 IP 地址作为映射地址。
只能为特定的对象定义一个 NAT 规则。如果想为对象配置多个 NAT 规则,需要创建拥
有不同名称的多个对象,并为其指定同一 IP 地址。如 object network obj-10.10.10.1-01,
object network obj-10.10.10.1-02,等等。
如果想改变 NAT 配置,并且不想在新 NAT 配置使用前等待现有转换超时,可以使用
clear xlate 命令清除转换表。不过,清除转换表将断开当前所有用于转换的连接。
若欲移除动态 NAT 或 PAT 规则,然后添加带有映射地址的新规则,如果映
射地址与移除规则中的地址相重叠,那么,新规则在所有与移除规则相联系的
连接超时前将不能使用,当然,也可以使用 clear xtate 命令清除当前所有连接。
该措施将确保同一地址不会被分配至多个主机。
用于 NAT 的对象和对象组必须是明确的,必须包含 IP 地址。
在多个 NAT 规则中,可以使用相同的映射对象或组。
映射 IP 地址池不能包含以下地址:
映射接口地址。如果规则指定了 any 接口,所有接口 IP 地址都将不被允许。对
于接口 PAT(仅限于路由模式)而言,可以使用 interface 关键字代替 IP 地址。
(透明模式)管理 IP 地址。
(动态 NAT)在启用 VPN 时,备用接口的 IP 地址。
VPN 地址池中已有的 IP 地址。
2. 配置动态 NAT
配置网络对象 NAT 为动态 NAT( Dynamic NAT),操作过程如下。
① 指定映射地址(即想转换的地址),配置网络对象或网络对象组。网络对象组可以包
括对象和/或内联地址。如果映射网络对象同时包含 IP 地址范围和主机 IP 地址,那么, IP 地
