NAT部分指定NAT规则的处理顺序。 NAT规则可以驻留在三个不同的部分中。
- 第1部分-手动NAT或两次NAT
- 第2节-自动NAT或对象NAT
- 第3部分-使用 汽车后 NAT规则中的关键字
NAT由规则顺序和部分处理。在第1节和第3节中,您可以手动配置行顺序。在第2节中,您不能。第2节中的行顺序由以下决定:
- 类型-首先是静态,然后是动态
- 然后对象网络中包含的IP数量
- 然后,包含相同数量IP的对象网络将首先寻址最低的IP地址号
- 如果规则相等,是否需要决胜局,则由名称的字母顺序决定
源NAT语法:
对象网络 名称
[主持人|子网|范围] ...
纳特( 实接口,映射接口 )...
目标NAT语法:
对象网络 名称
[主持人|子网|范围] ...
纳特( 映射接口,真实接口 )...
如果流量来自具有较高安全级别的接口,请确保添加ACL以允许端口,协议和/或IP地址/子网通过。在访问列表中使用真实IP。
在进行所有这些配置时,我正在使用的NAT实验室。在这种情况下,我正在使用VIRL。
下载: VIRL拓扑
对象NAT
对象NAT始终由对象配置组成,该对象配置包含主机地址/子网/范围的配置,并将其绑定到同样位于该对象内部的NAT规则。这使您能够在单个对象下进行NAT配置。
您可以使用的参数:
- 对象组网络 名称 -用于多个网络,主机地址或两者的组合
- 对象网络 名称 -用于定义单个子网,范围或主机地址
拍:
对象网络局域网
子网10.1.100.0 255.255.255.0
nat(内部,外部)动态接口
PAT池:
对象网络PATPOOL
范围100.0.0.15 100.0.0.20
对象网络局域网
子网10.1.100.0 255.255.255.0
nat(内部,外部)动态Pat-pool PATPOOL {块分配|扩展|平界面|循环}
上面提到的用于PAT的扩展命令:
- 块分配 -启用端口块分配
- 扩展的 -将PAT唯一性扩展到每个目标而不是每个接口。它会在NAT表上显示一个扩展的NAT条目,不仅会显示源转换的端口,还会查看目标端口。
- 平- 将TCP和UDP端口转换为固定范围1024-65535
- 介面- 使用接口地址作为映射IP。如果要用作接口,可以用作备份IP。
- 轮循 -指定从池中获取IP时以循环顺序使用PAT IP地址
目的NAT:
对象网络DMZ_Host
主机100.0.0.100
nat(外部,dmz)静态200.0.0.10
动态NAT:
对象网络WAN-POOL
范围100.0.0.11 100.0.0.l4
对象网络DMZ-POOL
范围200.0.0.11 200.0.0.14
nat(dmz,外部)动态WAN-POOL
静态NAT:
对象网络SRV
主机200.0.0.10
nat(dmz,outside)静态100.0.0.5 {dns |无代理路线查询}
上面提到的用于静态NAT的扩展命令:
- 域名系统 -使用创建的xlate重写DNS记录
- 无代理- 在出口接口上禁用代理ARP
- 路线查询 -为此规则执行路由查找
静态PAT(端口重定向):
对象网络SRV-GLOBAL
主机100.0.0.5
对象网络SRV
主机200.0.0.10
nat(dmz,外部)静态SRV-GLOBAL服务tcp telnet 23 2323
身份NAT:根据《思科配置指南》: “您可能具有NAT配置,需要在其中将IP地址转换为其自身。例如,如果您创建了一个将NAT应用于每个网络的广泛规则,但想从NAT中排除一个网络,则可以创建一个静态NAT规则来将地址转换为自身。身份NAT是远程访问VPN所必需的,在远程VPN中,您需要从NAT中排除客户端流量。”
身份NAT配置(基本):
对象组网络DMZ-INTERNAL
网络对象200.0.0.0 255.255.255.0
对象网络DMZ
子网200.0.0.0 255.255.255.0
nat(dmz,外部)静态DMZ-内部
带有对象的身份NAT:
对象网络DMZ
子网200.0.0.0 255.255.255.0
nat(dmz,外部)静态DMZ
NAT控制:
基本上说,任何未明确允许的内容都应丢弃,例如NAT的包罗万象/黑洞。
对象网络零
主机0.0.0.0
nat(内部,外部)自动源动态后任何零
手动NAT
手动NAT使您能够在NAT处理的顶部或底部添加NAT条目,并提供了许多其他在对象NAT中可能找不到的选项。使用“手动NAT”,您将看到xlate中内置的静态条目,并看到对NAT表的匹配。 显示conn 将为您提供显示翻译的连接表。您还可以调试nat,但是如果您想在不打开调试的情况下查看更多详细信息,请确保已在7启用日志记录并检查 显示日志 对最近的NAT连接进行故障排除。
您始终希望将最具体的NAT规则放在首位,以便它们首先匹配。
您可以使用的参数:
- 对象组网络 名称 - 用于多个网络或主机地址
- 对象网络 名称 -用于单个子网,范围或主机地址
- 对象服务 名称 -用于源或目标服务
静态NAT:
对象网络DMZ-SRV
主机200.0.0.10
对象网络MAP-SRV
主机100.0.0.5
全局配置模式:
(配置)#nat(dmz,外部)源静态DMZ-SRV MAP-SRV
网络静态NAT:
对象网络局域网
子网10.1.100.0 255.255.255.0
对象网络MAP-OUTSIDE
子网100.0.0.128 255.255.255.128
(config)#nat(内部,外部)源静态LAN MAP-OUTSIDE
动态NAT:
对象网络局域网
子网10.1.100.0 255.255.255.0
对象网络NATPOOL
范围100.0.0.15 100.0.0.20
(配置)#nat(内部,外部)源动态LAN NATPOOL
拍:
物联网
主机100.0.0.5
对象网络局域网
子网10.1.100.0 255.255.255.0
(config)#nat(内部,外部)[自动后]源动态LAN外部
PAT池:
对象网络PATPOOL
范围100.0.0.15 100.0.0.20
对象网络局域网
子网10.1.100.0 255.255.255.0
(config)#nat(内部,外部)[自动后]源动态LAN pat-pool PATPOOL
目的NAT:
对象网络MAP-PARTNER1
主机10.1.100.15
对象网络PARTNER1
主机100.11.11.22
(config)#nat(内部,外部)[自动后]源动态任何接口目标静态MAP-PARTNER1 PARTNER1
指定了源和目标的身份NAT:
对象网络DMZ
子网200.0.0.0 255.255.255.0
对象网络PARTNER2-NETWORK
子网100.22.22.0 255.255.255.0
(config)#nat(dmz,outside)1源静态DMZ DMZ目标静态PARTNER2-NETWORK PARTNER2-NETWORK {说明|不活跃|网对网|无代理路线查询|服务|单向}
上述扩展选项:
- 描述 -指定NAT规则说明
- 无效- 禁用NAT规则
- 网对网- 网络到IPv4和IPv6的映射
- 无代理- 在出口接口上禁用代理ARP
- 路线查询- 为此规则执行路由查找
- 服务- NAT服务参数
- 单向- 启用每会话NAT
带有源的身份NAT:
对象网络LOOPBACK2
主机10.1.100.37
nat(内部,外部)源静态LOOPBACK2 LOOPBACK2
显示有用的命令:
- 显示运行
- 显示运行对象
- 显示conn [详细信息]
- 显示nat [详细]
- 显示xlate
- 包跟踪器
- 显示日志