& 实验室

NAT部分指定NAT规则的处理顺序。 NAT规则可以驻留在三个不同的部分中。 

  • 第1部分-手动NAT或两次NAT
  • 第2节-自动NAT或对象NAT
  • 第3部分-使用 汽车后 NAT规则中的关键字

 

NAT由规则顺序和部分处理。在第1节和第3节中,您可以手动配置行顺序。在第2节中,您不能。第2节中的行顺序由以下决定:

  • 类型-首先是静态,然后是动态
  • 然后对象网络中包含的IP数量
  • 然后,包含相同数量IP的对象网络将首先寻址最低的IP地址号
  • 如果规则相等,是否需要决胜局,则由名称的字母顺序决定

 

源NAT语法:

对象网络 名称
[主持人|子网|范围] ... 
纳特(
实接口,映射接口 )...

 

目标NAT语法:

对象网络 名称
[主持人|子网|范围] ...
纳特(
映射接口,真实接口 )...

如果流量来自具有较高安全级别的接口,请确保添加ACL以允许端口,协议和/或IP地址/子网通过。在访问列表中使用真实IP。 

 

在进行所有这些配置时,我正在使用的NAT实验室。在这种情况下,我正在使用VIRL。 

在进行所有这些配置时,我正在使用的NAT实验室。在这种情况下,我正在使用VIRL。 

下载: VIRL拓扑

 

对象NAT

对象NAT始终由对象配置组成,该对象配置包含主机地址/子网/范围的配置,并将其绑定到同样位于该对象内部的NAT规则。这使您能够在单个对象下进行NAT配置。 

您可以使用的参数: 

  • 对象组网络 名称 -用于多个网络,主机地址或两者的组合
  • 对象网络 名称 -用于定义单个子网,范围或主机地址 

拍:

对象网络局域网
子网10.1.100.0 255.255.255.0
nat(内部,外部)动态接口

 

PAT池:

对象网络PATPOOL
范围100.0.0.15 100.0.0.20

对象网络局域网
子网10.1.100.0 255.255.255.0
nat(内部,外部)动态Pat-pool PATPOOL {块分配|扩展|平界面|循环}

上面提到的用于PAT的扩展命令:

  • 块分配 -启用端口块分配
  • 扩展的 -将PAT唯一性扩展到每个目标而不是每个接口。它会在NAT表上显示一个扩展的NAT条目,不仅会显示源转换的端口,还会查看目标端口。
  • 平-  将TCP和UDP端口转换为固定范围1024-65535
  • 介面- 使用接口地址作为映射IP。如果要用作接口,可以用作备份IP。 
  • 轮循 -指定从池中获取IP时以循环顺序使用PAT IP地址

 

目的NAT:

对象网络DMZ_Host
主机100.0.0.100
nat(外部,dmz)静态200.0.0.10

 

动态NAT:

对象网络WAN-POOL
范围100.0.0.11 100.0.0.l4


对象网络DMZ-POOL
范围200.0.0.11 200.0.0.14
nat(dmz,外部)动态WAN-POOL

 

静态NAT: 

对象网络SRV
主机200.0.0.10
nat(dmz,outside)静态100.0.0.5 {dns |无代理路线查询}

上面提到的用于静态NAT的扩展命令: 

  • 域名系统 -使用创建的xlate重写DNS记录
  • 无代理- 在出口接口上禁用代理ARP
  • 路线查询 -为此规则执行路由查找

 

静态PAT(端口重定向):

对象网络SRV-GLOBAL
主机100.0.0.5

对象网络SRV
主机200.0.0.10
nat(dmz,外部)静态SRV-GLOBAL服务tcp telnet 23 2323

 

身份NAT:根据《思科配置指南》: “您可能具有NAT配置,需要在其中将IP地址转换为其自身。例如,如果您创建了一个将NAT应用于每个网络的广泛规则,但想从NAT中排除一个网络,则可以创建一个静态NAT规则来将地址转换为自身。身份NAT是远程访问VPN所必需的,在远程VPN中,您需要从NAT中排除客户端流量。”

 

身份NAT配置(基本):

对象组网络DMZ-INTERNAL
网络对象200.0.0.0 255.255.255.0

对象网络DMZ
子网200.0.0.0 255.255.255.0
nat(dmz,外部)静态DMZ-内部

 

    带有对象的身份NAT:

    对象网络DMZ
    子网200.0.0.0 255.255.255.0
    nat(dmz,外部)静态DMZ

     

    NAT控制:

    基本上说,任何未明确允许的内容都应丢弃,例如NAT的包罗万象/黑洞。 

    对象网络零
    主机0.0.0.0
    nat(内部,外部)自动源动态后任何零

     

    手动NAT

    手动NAT使您能够在NAT处理的顶部或底部添加NAT条目,并提供了许多其他在对象NAT中可能找不到的选项。使用“手动NAT”,您将看到xlate中内置的静态条目,并看到对NAT表的匹配。 显示conn 将为您提供显示翻译的连接表。您还可以调试nat,但是如果您想在不打开调试的情况下查看更多详细信息,请确保已在7启用日志记录并检查 显示日志 对最近的NAT连接进行故障排除。 

    您始终希望将最具体的NAT规则放在首位,以便它们首先匹配。

    您可以使用的参数:

    • 对象组网络 名称 用于多个网络或主机地址
    • 对象网络 名称 -用于单个子网,范围或主机地址
    • 对象服务 名称 -用于源或目标服务

    静态NAT: 

    对象网络DMZ-SRV
    主机200.0.0.10

    对象网络MAP-SRV
    主机100.0.0.5

    全局配置模式:

    (配置)#nat(dmz,外部)源静态DMZ-SRV MAP-SRV

     

    网络静态NAT: 

    对象网络局域网
    子网10.1.100.0 255.255.255.0

    对象网络MAP-OUTSIDE
    子网100.0.0.128 255.255.255.128

    (config)#nat(内部,外部)源静态LAN MAP-OUTSIDE

     

    动态NAT:

    对象网络局域网
    子网10.1.100.0 255.255.255.0

    对象网络NATPOOL
    范围100.0.0.15 100.0.0.20

    (配置)#nat(内部,外部)源动态LAN NATPOOL

     

    拍:  

    物联网
    主机100.0.0.5

    对象网络局域网
    子网10.1.100.0 255.255.255.0

    (config)#nat(内部,外部)[自动后]源动态LAN外部

     

    PAT池: 

    对象网络PATPOOL
    范围100.0.0.15 100.0.0.20

    对象网络局域网
    子网10.1.100.0 255.255.255.0

    (config)#nat(内部,外部)[自动后]源动态LAN pat-pool PATPOOL

     

    目的NAT:

    对象网络MAP-PARTNER1
    主机10.1.100.15

    对象网络PARTNER1
    主机100.11.11.22

    (config)#nat(内部,外部)[自动后]源动态任何接口目标静态MAP-PARTNER1 PARTNER1

     

    指定了源和目标的身份NAT:

    对象网络DMZ
    子网200.0.0.0 255.255.255.0

    对象网络PARTNER2-NETWORK
    子网100.22.22.0 255.255.255.0

    (config)#nat(dmz,outside)1源静态DMZ DMZ目标静态PARTNER2-NETWORK PARTNER2-NETWORK {说明|不活跃|网对网|无代理路线查询|服务|单向} 

    上述扩展选项:

    • 描述 -指定NAT规则说明
    • 无效- 禁用NAT规则
    • 网对网- 网络到IPv4和IPv6的映射
    • 无代理- 在出口接口上禁用代理ARP
    • 路线查询- 为此规则执行路由查找
    • 服务- NAT服务参数
    • 单向- 启用每会话NAT

     

    带有源的身份NAT:

    对象网络LOOPBACK2
    主机10.1.100.37

    nat(内部,外部)源静态LOOPBACK2 LOOPBACK2

     

    显示有用的命令:

    • 显示运行
    • 显示运行对象
    • 显示conn [详细信息]
    • 显示nat [详细]
    • 显示xlate
    • 包跟踪器
    • 显示日志