ASA防火墙之NAT的实例配置

ASA防火墙之NAT的实例配置

关于nat的知识点我们在讲路由器的时候已经讲述过了，具体为啥配置NAT技术这里不再讲述，本篇讲述的关于ASA防火墙的各个NAT配置实例的分析，包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT。

动态NAT（dynamic NAT）

dynamic NAT的转换采用object NAT 配置，具体用在一个组的真实地址映射到一组映射后的地址，即多对多的转换映射，映射后地址往往比真实地址数量少，遵循先来先服务的原则，只有真实的主机才可以发器连接，下面我们以实例介绍。

dynamic NAT实例配置

需求：
1：配置dynamic NAT转换inside网段（192.168.150.0/24）到outside地址池202.100.1.100-200。
（分析 ：192.168.150.0/24网段访问外部地址时，源地址转换为202.100.1.100-200区域内，即多对多的转换）
2：修改转换槽位的闲置超时时间，从3个小时到1个小时。

环境（ASA防火墙一台，路由器若干，交换机若干）
底层配置，再不考虑防火墙的情况下，实现全网通信，即需配置路由。IP地址规划如上图。

配置好后，R1telnetR5，查看情况。

成功telnet，且源地址为192.168.150.100

配置dynamic NAT地址转换命令：

ASA(config)# object network inside-outside //定义转换后的对象组
ASA(config-network-object)# range 202.100.1.100 202.100.1.200 //转换后的IP地址范围
ASA(config)# object network inside //定义转换前的对象组

ASA(config-network-object)# subnet 192.168.150.0 255.255.255.0 //转换前的IP地址范围
ASA(config-network-object)# nat (inside,outside) dynamic inside-outside //启用NAT

配置完成，再次查看R1 telnet R5情况。

依旧可以telnet成功，但是很明显源地址发生变化，变成我们设定的转换后的IP地址。

Show xlate //查看NAT转换情况
这里可以清楚的看到源地址转换成为那个地址，且闲置默认时间为3个小时。

可以通过下面这条命令修改闲置超时时间，按需求改为1个小时。
ASA(config)# timeout xlate 1:00:00

注意修改后查看需clear xlate 后，再来查看。闲置超时时间改为1小时。

动态PAT（dynamicPAT）

dynamic PAT实例配置

1.配置Dynamie PAT，转换Inside网段192.168.150.0/24，到DMZ区域地址 192.168.106.100
2配置Dymamic NAT，转换Inside网段192.168.150.0/24，到Outside区域址池202.100.1.100-101 当地址池耗尽后，PAT转换到Outside接口地址。
3.配置Dynamic PAT， PAT转换DMZ网段192.168.106.0/24， 到Outside区域PAT地址池202.100.1.200-210 (可选:循环使用地址池)。

需求1配置命令：
ASA(config)# obje