cisco-asa-8.2与8.4的nat区别
ASA8.4版本配置
ASA8.4版本配置变化说明ASA8.4版本和以前的版本配置有所不同,主要是NAT的配置发生了很大变化。
以下对NAT配置作详细说明:1.Dynamic NAT(动态NAT,动态一对一)实例一:传统配置方法:nat (Inside) 1 10.1.1.0 255.255.255.0global (Outside) 1 202.100.1.100‐202.100.1.200新配置方法(Network Object NAT)object network Outside‐Nat‐Poolrange 202.100.1.100 202.100.1.200object network Inside‐Networksubnet 10.1.1.0 255.255.255.0object network Inside‐Networknat (Inside,Outside) dynamic Outside‐Nat‐Pool实例二:object network Outside‐Nat‐Poolrange 202.100.1.100 202.100.1.200object network Outside‐PAT‐Addresshost 202.100.1.201object‐group network Outside‐Addressnetwork‐object object Outside‐Nat‐Poolnetwork‐object object Outside‐PAT‐Addressobject network Inside‐Network(先100‐200动态一对一,然后202.100.1.201动态PAT,最后使用接口地址动态PAT)nat (Inside,Outside) dynamic Outside‐Address interface2.Dynamic PAT (Hide)(动态PAT,动态多对一)传统配置方式:nat (Inside) 1 10.1.1.0 255.255.255.0global(outside) 1 202.100.1.101新配置方法(Network Object NAT)object network Inside‐Networksubnet 10.1.1.0 255.255.255.0object network Outside‐PAT‐Addresshost 202.100.1.101object network Inside‐Networknat (Inside,Outside) dynamic Outside‐PAT‐Addressornat (Inside,Outside) dynamic 202.100.1.1023.Static NAT or Static NAT with Port Translation(静态一对一转换,静态端口转换)实例一:(静态一对一转换)传统配置方式:static (Inside,outside) 202.100.1.101 10.1.1.1新配置方法(Network Object NAT)object network Static‐Outside‐Addresshost 202.100.1.101object network Static‐Inside‐Addresshost 10.1.1.1object network Static‐Inside‐Addressnat (Inside,Outside) static Static‐Outside‐Addressornat (Inside,Outside) static 202.100.1.102实例二:(静态端口转换)传统配置方式:static (inside,outside) tcp 202.100.1.102 2323 10.1.1.1 23新配置方法(Network Object NAT)object network Static‐Outside‐Addresshost 202.100.1.101object network Static‐Inside‐Addresshost 10.1.1.1object network Static‐Inside‐Addressnat (Inside,Outside) static Static‐Outside‐Address service tcp telnet 2323ornat (Inside,Outside) static 202.100.1.101 service tcp telnet 23234.Identity NAT传统配置方式:nat (inside) 0 10.1.1.1 255.255.255.255新配置方法(Network Object NAT)object network Inside‐Addresshost 10.1.1.1object network Inside‐Addressnat (Inside,Outside) static Inside‐Addressornat (Inside,Outside) static 10.1.1.1传统配置方式:access‐list Inside_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 192.168.104.0 255.255.255.0access‐list Inside_nat0_outbound extended permit ip 10.70.84.0 255.255.252.0 10.0.0.0 255.0.0.0access‐list Inside_nat0_outbound extended permit ip 172.18.0.0 255.255.0.0 192.168.104.0 255.255.255.0access‐list Inside_nat0_outbound extended permit ip 170.178.79.128 255.255.255.192 192.168.104.0 255.255.255.0nat (Inside) 0 access‐list Inside_nat0_outbound新的配置方式:object network obj‐10.0.0.0subnet 10.0.0.0 255.0.0.0object network obj‐192.168.104.0subnet 192.168.104.0 255.255.255.0object network obj‐10.70.84.0subnet 10.70.84.0 255.255.255.0object network obj‐172.18.0.0subnet 172.18.0.0 255.255.0.0object network obj‐170.178.79.128subnet 170.178.79.128 255.255.255.192nat (Inside,any) source static obj‐10.0.0.0 obj‐10.0.0.0 destination static obj‐192.168.104.0 obj‐192.168.104.0 unidirectionalnat (Inside,any) source static obj‐10.70.84.0 obj‐10.70.84.0 destination static obj‐10.0.0.0 obj‐10.0.0.0 unidirectionalnat (Inside,any) source static obj‐172.18.0.0 obj‐172.18.0.0 destination static obj‐192.168.104.0 obj‐192.168.104.0 unidirectionalnat (Inside,any) source static obj‐170.178.79.128 obj‐170.178.79.128 destination static obj‐192.168.104.0 obj‐192.168.104.0 unidirectional Twice NAT(类似于Policy NAT)实例一:传统配置:access‐list inside‐to‐1 permit ip 10.1.1.0 255.255.255.0 host 1.1.1.1 access‐list inside‐to‐202 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1 nat (inside) 1 access‐list inside‐to‐1nat (inside) 2 access‐list inside‐to‐202global(outside) 1 202.100.1.101global(outside) 2 202.100.1.102新配置方法(Twice NAT):object network dst‐1host 1.1.1.1object network dst‐202host 202.100.1.1object network pat‐1host 202.100.1.101object network pat‐2host 202.100.1.102object network Inside‐Networksubnet 10.1.1.0 255.255.255.0nat (Inside,Outside) source dynamic Inside‐Network pat‐1 destination static dst‐1 dst‐1nat (Inside,Outside) source dynamic Inside‐Network pat‐2 destination static dst‐202 dst‐202实例二:传统配置:access‐list inside‐to‐1 permit ip 10.1.1.0 255.255.255.0 host 1.1.1.1 access‐list inside‐to‐202 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1 nat (inside) 1 access‐list inside‐to‐1nat (inside) 2 access‐list inside‐to‐202global(outside) 1 202.100.1.101global(outside) 2 202.100.1.102static (outside,inside) 10.1.1.101 1.1.1.1static (outside,inside) 10.1.1.102 202.100.1.1新配置方法(Twice NAT):object network dst‐1host 1.1.1.1object network dst‐202host 202.100.1.1object network pat‐1host 202.100.1.101object network pat‐2host 202.100.1.102object network Inside‐Networksubnet 10.1.1.0 255.255.255.0object network map‐dst‐1host 10.1.1.101object network map‐dst‐202host 10.1.1.102nat (Inside,Outside) source dynamic Inside‐Network pat‐1 destination static map‐dst‐1 dst‐1nat (Inside,Outside) source dynamic Inside‐Network pat‐2 destination static map‐dst‐202 dst‐202实例三:传统配置:access‐list inside‐to‐1 permit tcp 10.1.1.0 255.255.255.0 host 1.1.1.1 eq 23 access‐list inside‐to‐202 permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq 3032nat (inside) 1 access‐list inside‐to‐1nat (inside) 2 access‐list inside‐to‐202global(outside) 1 202.100.1.101global(outside) 1 202.100.1.102新配置方法(Twice NAT):object network dst‐1host 1.1.1.1object network dst‐202host 202.100.1.1object network pat‐1host 202.100.1.101object network pat‐2host 202.100.1.102object network Inside‐Networksubnet 10.1.1.0 255.255.255.0object service telnet23service tcp destination eq telnetobject service telnet3032service tcp destination eq 3032nat (Inside,Outside) source dynamic Inside‐Network pat‐1 destination static dst‐1 dst‐1 service telnet23 telnet23nat (Inside,Outside) source dynamic Inside‐Network pat‐2 destination static dst‐202 dst‐202 service telnet3032 telnet3032如何调整和插入NATnat (Inside,Outside) 1 source dynamic Inside‐Network pat‐1 destination static dst‐1 dst‐1 service telnet23 telnet23除了NAT的配置还有其他的一些配置的改变:旧配置:name 192.168.104.4 CNSHMS02 description Shanghai Mail Server 02 (DMZ)新配置:object network CNSHMS02host 192.168.104.4description Shanghai Mail Server 02 (DMZ)VPN的配置里面多了一个IKEV2,IKEV2暂无配置过。
ASA-NAT配置指南
ASA配置指南,~、文档属性 文档历史; 序号 版本号修订日期 修订人 修订内容 1.郑鑫 文档初定 2. ·3.4.<)(, 属性 内容标题 思科ASA 防火墙配置指南文档传播范围发布日期目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)《(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)"(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT(策略NAT) (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)%(二)配置A/A (76)一、文档说明<本文档主要介绍思科ASA防火墙在版本之前与版本之后配置区别和常用的一些管理和运维命令,如:系统管理、防火墙策略、NAT、日志配置等。
思科ASA防火墙目前新出厂的设备都在以后,但有很多老的设备都在以前,所以本文档通过使用ASA 与这两个版本来介绍。
请读者打开文档中的显示批注功能,文档中有部分批注内容。
)二、基础配置(一)查看系统信息hostnat (inside,outside) staticobject networkhostnat (outside,inside) staticaccess-list inbound extended permit ip host host access-group inbound in interface outside@新命令的outbound和inbound流量动作是一样的:(inside,outside)针对outbound流量是源的转换,针对inbound流量是目的的转换(outside,inside)针对outbound流量是转换目的,针对inbound的是转换源。
思科ASA防火墙基本配置
思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙,它是一种位于内部网络与外部网络之间的网络安全系统,当然,防火墙也分软件防火墙与硬件防火墙。
硬件防火墙又分为:基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多:Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下:配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注:默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数,思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。
思科ASA防火墙VPDN拨号配置命令整理(v8.2)
思科ASA防火墙VPDN拨号配置命令整理(ASA版本8.2,包括PPPoE/L2TP)本文是Adreaman根据思科ASA8.2配置文档手册中的L2TP和PPPoE功能介绍整理出来的,介绍思科ASA(软件版本8.2)防火墙中PPPoE/L2TP这两种VPDN特性的配置步骤。
思科ASA防火墙支持作为PPPoE客户端拨号,支持作为L2TP服务器接受拨入,并且,仅支持L2TP over IPsec方式拨入,不支持纯L2TP方式拨入。
ASA思科文档中未介绍PPTP,并且命令行中也去掉了PPTP的部分,应该已经取消了对于PPTP的支持。
注:本文并非个人真实配置步骤的记录,而是思科配置手册的分析和注释,旨在帮助我们理解一个整体的配置思路。
∙一、 PPPoE的配置∙ 1.1 定义PPPoE服务VPDN组vpdn group group_name request dialout pppoe∙ 1.2 指定PPP认证使用的协议vpdn group group_name ppp authentication {chap | mschap | pap} mschap只支持v1。
∙ 1.3 将PPPoE客户端用户名绑定到该VPDN组vpdn group group_name localname username∙ 1.4 为用户指定密码vpdn username username password password [store-local] ∙ 1.5 接口使能PPPoE功能接口视图下 ip address pppoe [setroute] 注:相对于PIX6.3,此命令已经转移到接口视图下,所以无需指定接口名作为参数。
∙ 1.6 为接口指定VPDN组接口视图下 pppoe client vpdn group grpname 注:PIX6.3下没有这个命令,如果不用此命令指定VPDN group,将随机使用一个VPDN组。
NAT
NATNAT(Network address translation)网络地址翻译。
在以下一些场景需要使用:1、节省地址(私有IP转公有IP,避免私有IP冲突)2、使相同地址之间互访(总公司和分公司之间)3、外网访问内网的时候保证安全性4、更换ISP时不需要重新编址5、使用单个IP支持负载均衡NAT与代理服务器区别:NAT优点:透明、简单缺点:很多技术不适用NAT(数字签名、组播、动态路由、DNS域的迁移、BOOTP、TALK、NTALK、SNMP、NETFLOW)不支持TCP协议分段。
代理服务器优点:利于管理、杀毒、缓存加速、翻墙。
缺点:使用困难、成本、首次访问很可能延迟很长。
1、NAT的几种地址Inside local 网关内部设备的私有地址Inside global 网关连接外部的公网地址Outside local 外网的主机地址Outside global连接网关公网地址的地址发数据包的流程:①源包的源IP和目的IP分别为[inside local outside global]②发送到网关,先查路由表,如果有路由条目去往此目的IP,并且需要NAT,那么就去做NAT的翻译③按照NAT转换。
源IP和目的IP[inside global outside global]。
然后通过ISP传导目的地。
④如果目的地回包的话,源IP和目的IP是[outside global inside global]发回网关。
⑤收到包的时候先查看是否有NAT的翻译表项。
然后把inside global 翻译成insidelocal。
则源IP目的IP就是[outside global inside local]⑥再查网关是否有此路由。
如果有则需要发到目的地。
Cisco的路由器,出去的时候先查路由表,后查NAT。
回来的时候先转换,再查路由表。
ASA的NAT和路由器的NAT正好相反。
2、静态NAT(一对一转换)在转换的过程中,inside local inside global只能有一个。
工业路由器与Cisco ASA防火墙构建IPSec VPN配置指导
工业路由器与Cisco ASA防火墙构建IPSec VPN 配置指导1.概述本文档主要讲述了关于东用科技路由器与中心端Cisco ASA/PIX防火墙构建LAN-to-LAN VPN的方法。
ORB全系列产品均支持VPN功能,并与众多国际主流中心端设备厂商产品兼容。
建立起LAN-to-LAN VPN之后便可以实现下位机—路由器LAN 端与上位机—中心端设备LAN进行双向通信。
2.网络拓扑2.1网络拓扑1接入端1的LAN端IP地址为192.168.2.0/24网段且不与接入端2LAN重复2接入端的设备ORB系列路由器均支持IPSec VPN3东用科技路由器通过有线或无线PPPOE拨号或固定IP形式获取外部IP地址4接入端2的LAN端IP地址为192.168.3.0/24网段且不与接入端1LAN重复5接入端的设备ORB系列路由器均支持IPSec VPN6东用科技路由器通过有线或无线PPPOE拨号或固定IP形式获取外部IP地址7中心端设备必须采用固定IP地址。
地址为173.17.99.100/248中心端设备可以采用cisco,juniper,华为,H3C等国际知名厂商支持IPSec的设备9中心端LAN端IP地址为172.16.1.0/24且不与建立通道的任何LAN重复2.2网络拓扑说明中心端设备为Cisco ASA/PIX防火墙,IOS版本8.0;外部IP地址173.17.99.100,掩码255.255.255.0;内部IP地址172.16.1.1,掩码255.255.255.0接入端1设备为东用科技路由器;外部IP地址193.169.99.100,掩码255.255.255.0;内部IP地址192.168.2.1,掩码255.255.255.0接入端2设备为东用科技路由器;外部IP地址193.169.99.101,掩码255.255.255.0;内部IP地址192.168.3.1,掩码255.255.255.03.配置指导3.1中心端Cisco ASA/PIX基本配置Ciscoasa&pix#configure terminal//进入配置模式Ciscoasa&pix(config)#interface ethernet0/1//进入内部接口的配置模式(端口类型及端口号请以现场设备为准,内部或外部接口可自行选择)Ciscoasa&pix(config-if)#nameif inside//为内部接口关联一个inside的名称Ciscoasa&pix(config-if)#ip address172.16.1.1255.255.255.0//为内部接口配置IP地址Ciscoasa&pix(config-if)#exit//退出内部接口的配置模式Ciscoasa&pix(config)#interface ethernet0/0//进入外部接口的配置模式(端口类型及端口号请以现场设备为准,内部或外部接口可自行选择)Ciscoasa&pix(config-if)#nameif outside//为外部接口关联一个outside的名称Ciscoasa&pix(config-if)#ip address173.17.99.100255.255.255.0//为外部接口配置IP地址Ciscoasa&pix(config-if)#exit//退出外部接口的配置模式Ciscoasa&pix(config)#route outside0.0.0.00.0.0.0173.17.99.1//配置静态默认路由,173.17.99.1为外部接口的网关地址,该地址一般为ISP提供Ciscoasa&pix(config)#access-list permiticmp extended permit icmp any any//创建访问控制列表允许所有icmp报文,此条访问控制列表的目的是为了测试或排障时使用ping命令(防火墙默认是禁止任何ICMP包通过的)Ciscoasa&pix(config)#access-group permiticmp in interface outside//将访问控制列表应用到外部接口Ciscoasa&pix(config)#access-list nonat extended permit ip172.16.1.0255.255.255.0 192.168.2.0255.255.255.0//创建访问控制列表允许172.16.1.0/24网络到192.168.2.0/24网络,此条访问控制列表的目的是对172.16.1.0/24网络到192.168.2.0/24网络的数据包IP字段不进行地址转换(PAT),172.16.1.0/24是中心端内部网络,192.168.2.0/24是远端内部网络Ciscoasa&pix(config)#global(outside)1interface//在外部接口(outside)上启用PAT Ciscoasa&pix(config)#nat(inside)0access-list nonat//对从内部接口进入的且匹配nonat访问控制列表的数据包IP字段不进行地址转换(PAT),序列号0代表不转换Ciscoasa&pix(config)#nat(inside)1172.16.1.0255.255.255.0//对从内部接口进入的源地址为172.16.1.0/24的数据包IP字段进行地址转换(PAT)。
ASA网络地址转换配置排除故障
如果NAT规则指定内部的服务器被转换为外部接口,接口的定货在NAT规则的“nat (里面,从外部 )…”;如果ASA的外部的一个客户端起动与服务器的一个新连接在里面, untranslate_hit计数器增加 。
再次,如果看到您新的NAT规则没有translate_hits或untranslate_hits,该意味着或者数据流不到达 ASA,或许或者有一更加高优先级在NAT表里的一个不同的规则匹配数据流。
Translate_hits :匹配在向前方向的NAT规则新连接的数量。
“向前方向”意味着连接通过ASA被建立了朝在NAT规则指定的接口的方向。如果NAT规则指定内部 的服务器被转换为外部接口,接口的定货在NAT规则的“nat (里面,从外部)…”;如果该服务器起动与 一台主机的一个新连接在外部, translate_hit计数器增加。
在下面的示例中的,进入内部接口和被注定到在互联网的一台主机产生的示例TCP信息包。信息包 跟踪程序工具表示,信息包匹配一个动态NAT规则和被转换为172.16.123.4的外部IP地址:
ASA# packet-tracer input inside tcp 10.10.10.123 12345 209.165.200.123 80
...(output omitted)...
Phase: 2 Type: NAT Subtype: Result: ALLOW Config: object network 10.10.10.0-net nat (inside,outside) dynamic interface Additional Information: Dynamic translate 10.10.10.123/12345 to 172.16.123.4/12345
ASA-NAT配置指南
ASA配置指南●文档属性●文档历史目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT(策略NAT) (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)(二)配置A/A (76)一、文档说明本文档主要介绍思科ASA防火墙在版本8.2之前与版本8.3之后配置区别和常用的一些管理和运维命令,如:系统管理、防火墙策略、NAT、日志配置等。
思科ASA防火墙目前新出厂的设备都在8.3以后,但有很多老的设备都在8.2以前,所以本文档通过使用ASA 8.0与8.4这两个版本来介绍。
请读者打开文档中的显示批注功能,文档中有部分批注内容。
二、基础配置(一)查看系统信息//ASA Software 8.4//ASA Software 8.0(二)版本区别简介两个版本除了在技术NAT和ACL配置方式有所不同外,其他技术配置方式都相同。
NAT:两个版本的NAT配置的动作和效果都是相同的,但配置方式都不通,详细见NAT 配置举例。
ACL:8.2之前的版本在放行inbound流量时放行的是映射的虚IP,而8.3以后的新版本放行inbound流量时是内网的真实IP,详细见配置举例。
思科网络设备产品型号解释
思科网络设备产品型号解释思科网络设备型号众多,让人眼花缭乱。
记录起来很麻烦,炫亿时代小编为您整理思科网络设备产品各种型号字母多代表的含义,了解了这些,就再也不用担心记错型号了。
思科产品型号字母所代表的含义:1. CISCO开头的产品都是路由器;2. RSP开头的都是CISCO7500系列产品的引擎;3. VIP开头的产品都是CISCO 7500系列产品的多功能接口处理器模块4. PA开头的产品都是CISCO 7500/7200系列产品的模块.5. NPE开头的都是CISCO7200系列产品的引擎;6. NM开头的都是CISCO低端路由器模块;7. WIC开头的都是CISCO低端路由器的广域网接口模块;8. VWIC开头的都是CISCO低端路由器的语音接口模块;9. WS-C开头的产品都是交换机;10. WS-X开头的产品是交换机的引擎或模块;11. WS-G开头的产品是交换机的千兆光纤模块.12.NN 是交换机的系列号,XX 对于固定配置的交换机来说是端口数,对于模块化交换机来说是插槽数,有 -C 标志表明带光纤接口,-M 表示模块化, -WS-C2960-24TT-L ,WS 表示什么?解:W代表支持IPSEC 40位加密S代表Switchboard 交换机WS就是代表支持支持IPSEC 40位加密的Switchboard 交换机型号WS-C是有两种一个是C一个是X,C代表固化交换机或者机箱,X代表的是模块。
A 和 -EN 分别是指交换机软件是标准板或企业版。
eg:WS-C3750G-48TS-SC3750表明这款产品属于3750这个系列,也就是产品的型号。
G----表明其所有接口都是支持千兆或以上,如果没有这个就表明其主要端口都是10/100M的或者100M的48----表明其拥有主要的端口数量为48个T----表明其主要端口是电口(也就是所谓的Twirst Pair的端口P----表明其主要端口是电口,同时支持PoE以太网供电S----表明其带的扩展的接口为SFP类型的接口最后部分的S表明交换机带的软件是SMI标准影像的E----表明是EMI影像的二、型号后面的字母解释,如:WS-C3750G-48TS-S 中的G的位置· 空-表示其主要端口都是10/100M的或100M的· G----全千兆及以上,2950G除外,他的G表示GBIC上行· E----07下半年推出,全线速转发,万兆接口扩展三、型号后面的第一组的字母解释,如:WS-C3750G-48TS-S 中的TS的位置· T------表明其主要端口是电口(也就是所谓的Twirst Pair的端口)· P------表明其主要端口是电口,同时支持PoE以太网供电· S------表明其带的扩展的接口为SFP类型的接口,SFP上行· D----- 1个10 Gigabit Ethernet XENPAK port万兆上行· C-----T/SPF上行· W----- Integrated Wireless LAN Controller (50 support for up to 50 access points)· TT-----表明普通口和UPLink口都是 BaseT的· LC-----表明普通口是BaseT的,并且部分支持PoE (4个) UpLink 口是 BaseT/SFP· PC-----表明普通口是BaseT的,并且全部支持PoE (24个) UpLink口是 BaseT/SFP· TC---- 表明普通口是BaseT的, UpLink口是 BaseT/SFP· TS---- 表明TC代表普通口是BaseT的, UpLink口是 SFP的.· PS---- 表明PS代表普通口是BaseT的并且全部支持PoE, UpLink 口是 SFP的.· FS---- 表明普通口是100BaseFX的, UpLink口是 SFP的.· T----- 表明T代表普通口是BaseT的,没有Uplink口.四、型号后面的第一组的字母解释,如:WS-C3750G-48TS-S 中的-S的位置· -L LAN Base Image· -S Standard Image· -E Enhanced Image· -F 全功率· -S1U· -SF· -SD· -EFCisco交换机有以下几个系列:1900系列:19242900系列:2924、2924M2950系列:2950-24、2950G-24/48、2950C-24、2950T-24、2950SX-24/482960系列:2960-24/48TT-L、296024/48TC-L3500系列:3508G、3524、35483550系列:3550-24-SMI/EMI、3550-48-SMI/EMI、3550-12G/T3560系列:3560-24/48也有带G的3750系列:3750-24/48-TS-S、3750-24/48-TS-E 3750G-24/48-TS-S、3750G-24/48-TS-E 、3750G-12S4000系列:4003、40064500系列:4503、4506、4507R6000系列:6006、60096500系列:6506、6509、65137600系列:7609、7613一类是固定配置交换机,包括3500及以下的大部分型号,比如1924是24口10M以太交换机,带两个100M上行端口。
思科ASA系列防火墙NAT解析
思科ASA系列防火墙NAT解析网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
防火墙都运行NAT,主要原因是:公网地址不够使用;隐藏内部IP 地址,增加安全性;允许外网主机访问DMZ。
动态NAT和PAT在图1中,内部主机访问外网和DMZ时,都需要转换源地址,配置方法如下:FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要转换的源地址。
其NAT ID为1。
用于匹配global命令中的NAT ID。
FW(config)# global (outside) 1 61.136.150.10-61.136.150.20指定用于替代源地址的地址池。
其NAT ID为“1”,表明内口NAT ID为1的地址将被替换为地址池中的地址。
该方式即为动态NAT。
FW(config)# global (dmz) 1 10.0.2.20指定用于替代源地址的唯一地址。
其NAT ID为“1”,表明内口NAT ID为1的地址都将被替换为同一地址(10.0.2.20)。
该方式即为动态PAT。
收到来自内网的IP包后,防火墙首先根据路由表确定应将包发往哪个接口,然后执行地址转换。
静态NAT在图1中,为使外部用户可访问DMZ中的服务器,除适当应用ACL外,还需将服务器的IP地址(10.0.2.1)映射(静态转换)为公网地址(如61.136.151.1),静态转换命令如下:FW (config)# static (dmz,outside) 61.136.151.1 10.0.2.1 netmask255.255.255.255本例中子网掩码为255.255.255.255,表示只转换一个IP地址。
若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”,则表示要完成一个子网到另一个子网的静态转换。
思科路由器RV082全中文介绍
RV082
上海思科路由器RV082
产品类型:企业级路由器 传输速度:10/100Mbps 广域网接口:2个 局域网接口:8个 支持协议:TCP/IP、NAT、HTTP、IPSec、PPPoE 工作环境:工作温度:0℃-40℃ 存储温度:0℃-70℃ 工作湿度:10%-85%无凝结 存储湿度:5%-90%无凝结
Setup-Network 介绍
Lan sett ing这是 路由器局 域网ip地 址和子网 掩码。 默认 ip addre ss是 192.168. 1.1 subnet m ask是 255.255. 255.0
思科路由器上网设置
上网设置 在红色区 域内点击 后面设置 按钮 进入上网 等设置
One-to-One NAT 的介绍
有些企业 具备几个 公网IP, 用来作特 别的用途, 例如总部 服务器只 能和固定 公网IP联 系,以加 强安全性。 在这种情 况,往往 发生公网 IP不够办 公室所有 的计算机 使用,
One-to-One NAT 的介绍
这时就可 以进行一 对一NAT 的配置, 把几个公 网IP对应 到内部计 算机,这 时就可以 达到公网 IP与虚拟 IP共同在 局域网共 存的目的 了。
思科路由器Dynamic DNS设置
ddns(dy namic d ns)服务 允许你 分配固 定的域 名到动 态的互 联网ip 地址。 这允许 你主办 自己的 web、 ftp或其 它类型 的tcp/ ip
思科路由器Dynamic DNS设置
服务器 在局域 网中。 在定义 ddns前, 你需要 访问 www.dy ndns.o rg注册 一个域 名(ddns 服务受 dyndns .org支 持)。
利用ASA的Twice NAT解决内网无法访问映射后的公网地址
一.概述:默认情况下,不管是Inside还是DMZ区映射到Outside区的地址或服务,Inside和DMZ区都无法通过映射后地址来访问内部服务器。
ASA8.3版本之后有一种新的NAT叫Twice-NAT,它可以在一个NAT语句中既匹配源地址,又匹配目标地址,并且可以对源地址、目标地址,端口号,三个参数中一~三个参数的转换。
二.基本思路:A.Inside区映射到Outside区①Outside区访问Inside区映射后的地址没有问题②Inside区访问Inside区映射后的地址,通过Twice NAT做源地址和目标地址转换---将源地址转换为Inside接口地址,目标地址转换为Inside设备实际地址---如果不做源地址,因为访问的数据流来回路径不同,无法建立会话③DMZ区访问Inside区映射后的地址,通过Twice NAT做目标地址转换---将目标地址转换为Inside设备的实际地址---因为两边都是实际地址,因此需要Inside和DMZ互相有对方的路由---也可以同时做源地址转换,将源地址转换为Iniside接口地址,为了便于审计,不建议这样做B.DMZ区映射到Outside区①Outside区访问DMZ区映射后的地址没有问题②Inside区访问DMZ区映射后的地址,通过Twice NAT做目标地址转换---将目标地址转换为DMZ区设备的实际地址---因为两边都是实际地址,因此需要Inside和DMZ互相有对方的路由---也可以同时做源地址转换,将源地址转换为DMZ接口地址,为了便于审计,不建议这样做---实际用模拟器测试,却发现不做源地址转换,经常报 -- bad sequence number的错误---想不来为什么会报序列号错误,即使用MPF设置set connection random-sequence-number disable,也只是缓解,还是会偶尔出现,觉得可能是模拟器的缘故③DMZ区访问DMZ区映射后的地址,通过Twice NAT做源地址和目标地址转换---将源地址转换为DMZ接口地址,目标地址转换为DMZ区设备实际地址---如果不做源地址,因为访问的数据流来回路径不同,无法建立会话三.测试拓扑:R1-----SW--(Inside)----ASA---(Outside)----R4| || |R2 R3(DMZ)四.测试需求:A.将R2的TCP23端口映射到ASA的Outside接口的23端口上----要求R1~R4都能通访问ASA的Outside接口的23端口访问到R2的23端口B.将R3的TCP23端口映射到ASA的Outside接口的2323端口上----要求R1~R4都能通访问ASA的Outside接口的2323端口访问到R3的23端口五.基本配置:A.R1:interface FastEthernet0/0ip address 10.1.1.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 10.1.1.10B.R2interface FastEthernet0/0ip address 10.1.1.2 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 10.1.1.10linevty 0 4password ciscologinC.ASA:interface GigabitEthernet0nameif Insidesecurity-level 100ip address 10.1.1.10 255.255.255.0no shutinterface GigabitEthernet1nameif DMZsecurity-level 50ip address 192.168.1.10 255.255.255.0no shutinterface GigabitEthernet2nameif Outsidesecurity-level 0ip address 202.100.1.10 255.255.255.0no shutD.R3:interface FastEthernet0/0ip address 192.168.1.3 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.1.10linevty 0 4password ciscologinE.R4:interface FastEthernet0/0ip address 202.100.1.4 255.255.255.0no shut五.ASA的NAT及策略配置:A.动态PAT允许Inside和DMZ区能访问公网object network Inside-NETsubnet 10.1.1.0 255.255.255.0nat (Inside,Outside) dynamic interfaceobject network DMZ-NETsubnet 192.168.1.0 255.255.255.0nat (DMZ,Outside) dynamic interfaceB.静态PAT将R2和R3映射出去:object network Inside-R2host 10.1.1.2nat (Inside,Outside) static interface service tcp 23 23object network DMZ-R3host 192.168.1.3nat (DMZ,Outside) static interface service tcp 23 2323C.防火墙策略:①开启icmp审查:policy-mapglobal_policyclass inspection_defaultinspect icmp②Outside口放行策略:access-list OUTSIDE extended permit tcp any object Inside-R2 eq telnet access-list OUTSIDE extended permit tcp any object DMZ-R3 eq telnetaccess-group OUTSIDE in interface Outside③DMZ口放行策略:access-list DMZ extended permit tcp any object Inside-R2 eq telnetaccess-list DMZ extended permit icmp any anyaccess-list DMZ extended deny ip any object Inside-NETaccess-list DMZ extended permit ip any anyaccess-group DMZ in interface DMZ---备注:这里只是测试,实际除非必要,尽量不要放行DMZ到Inside的访问,要放行也需要针对主机放行D.测试:①Inside区和DMZ区能访问公网:R1#PING 202.100.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/80/168 msR2#ping 202.100.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 24/67/156 msR3#ping 202.100.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/120/204 ms②被映射后的端口只能被Outside区访问:R4#TELNET 202.100.1.10 23Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 idle 00:55:06* 66 vty 0 idle 00:00:00 202.100.1.4 Interface User Mode Idle Peer Address R2>R4#TELNET 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 idle 00:51:12* 66 vty 0 idle 00:00:00 202.100.1.4 Interface User Mode Idle Peer AddressR3>R1#telnet 202.100.1.10Trying 202.100.1.10 ...% Connection timed out; remote host not responding六.ASA的Twice NAT配置:A.使得Inside区访问Inside区映射后的地址时,既做源地址转换,又做目标地址转换①配置对象:object network Public-R2host 202.100.1.10object service tcp23service tcp destination eq telnet②配置twice-NAT:nat (Inside,Inside) source static any interface destination static Public-R2 Inside-R2 service tcp23 tcp23③允许相同接口的访问:same-security-traffic permit intra-interface---因为访问时,既从Inside口进,又从Inside出,所以需要这条④测试:R1#telnet 202.100.1.10Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 idle 01:07:35* 66 vty 0 idle 00:00:0010.1.1.10 Interface User Mode Idle Peer Address R2>R2#telnet 202.100.1.10Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 202.100.1.10 00:00:00* 66 vty 0 idle 00:00:0010.1.1.10 Interface User Mode Idle Peer AddressB.使得Inside区访问DMZ区映射后的地址时,只做目标地址转换①配置对象:object network Public-R3host 202.100.1.10object network DMZ-R3host 192.168.1.3object service tcp2323service tcp destination eq 2323②配置twice-NAT:nat (Inside,DMZ) source static any any destination static Public-R3 DMZ-R3 service tcp2323 tcp23③测试:R1#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ...% Connection timed out; remote host not respondingR3#debug iptcp packet port 23TCP Packet debugging is on for port number 23R3#*Mar 1 13:18:25.648: tcp0: I LISTEN 10.1.1.1:17155 192.168.1.3:23 seq 1568429504OPTS 4 SYN WIN 4128*Mar 1 13:18:25.652: tcp0: O SYNRCVD 10.1.1.1:17155 192.168.1.3:23 seq 1603796811OPTS 4 ACK 1568429505 SYN WIN 4128*Mar 1 13:18:25.656: tcp0: I SYNRCVD 10.1.1.1:17155 192.168.1.3:23 seq 4193850862OPTS 4 SYN WIN 4128*Mar 1 13:18:25.660: tcp0: O SYNRCVD 10.1.1.1:17155 192.168.1.3:23 seq 1603796811ACK 1568429505 WIN 4128*Mar 1 13:18:25.660: TCP0: bad seg from 10.1.1.1 -- bad sequence number: port 23 seq 4193850862 ack 0 rcvnxt 1568429505 rcvwnd 4128 len 0④解决方法:---修改NAT,做源地址转换nat (Inside,DMZ) source static any interface destination static Public-R3 DMZ-R3 service tcp2323 tcp23⑤再次测试:R1#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 idle 00:02:15* 66 vty 0 idle 00:00:00 192.168.1.10Interface User Mode Idle Peer AddressR3>R2#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 idle 00:03:1366 vty 0 idle 00:00:58 192.168.1.10* 67 vty 1 idle 00:00:00 192.168.1.10 Interface User Mode Idle Peer AddressR3>C.使得DMZ区访问Inside区映射后的地址时,只做目标地址转换①配置对象:---前面已经定义②配置twice-NAT:nat (DMZ,Inside) source static any any destination static Public-R2 Inside-R2 service tcp23 tcp23③测试:R3#telnet 202.100.1.10Trying 202.100.1.10 ... OpenUser Access VerificationPassword:R2>show usersLine User Host(s) Idle Location0 con 0 202.100.1.10 00:02:49* 66 vty 0 idle 00:00:00192.168.1.3 Interface User Mode Idle Peer AddressR2>D.使得DMZ区访问DMZ区映射后的地址时,既做源地址转换,又做目标地址转换①配置对象:---前面已经定义②配置twice-NAT:nat (DMZ,DMZ) source static any interface destination static Public-R3 DMZ-R3 service tcp2323 tcp23③允许相同接口的访问:---前面已经配置:same-security-traffic permit intra-interface④测试:R3#telnet 202.100.1.10 2323Trying 202.100.1.10, 2323 ... OpenUser Access VerificationPassword:R3>show usersLine User Host(s) Idle Location0 con 0 202.100.1.10 00:00:0066 vty 0 idle 00:07:01 192.168.1.1067 vty 1 idle 00:06:02 192.168.1.10 * 68 vty 2 idle 00:00:00 192.168.1.10Interface User Mode Idle Peer AddressR3>。
ASA-老版与新版本-NAT的配置方法与比较
ASA-老版与新版本-NAT的配置方法与比较ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过 8.4 的 ASA,改变的还有 VPN,加入了 Ikev2 。
MPF 方法加入了新的东西,QOS 和策略都加强了,这算是 cisco 把 CCSP 的课程改为 CCNP Security 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向 ASA。
基本通信没问题,关于8.3 以后推出了两个概念,一个是network object 它可以代表一个主机或者子网的访问。
另外一个是 service object,代表服务。
1.地址池的形式的 NAT 配置老版本代表一个 12.1.1.0 的地址池转换成 200.200.200.3-200.200.200.254 一对一的转换nat (inside) 1 12.1.1.0 255.255.255.0global (outside) 1 200.200.200.3-200.200.200.254新版本 (Network object NAT)ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 200.200.200.3 200.200.200.254ciscoasa(config-network-object)# exitciscoasa(config)# object network insideciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool其实,刚开始接触也挺不习惯的,不过弄懂了就习惯了,它的意思是先定义两个object,一个用于代表转换前的地址范围,一个是转化后的地址范围,最后在转换前的 object 进行调用转化后的 object。
ciscoASA防火墙如何配置
ciscoASA防火墙如何配置思科cisco是全球高端顶尖的通讯厂商,其出产的路由器功能也是世界级的,那么你知道cisco ASA防火墙如何配置的吗?下面是店铺整理的一些关于cisco ASA防火墙如何配置的相关资料,供你参考。
cisco ASA防火墙配置的方法:常用命令有:nameif、interface、ip address、nat、global、route、static等。
global指定公网地址范围:定义地址池。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中:(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]其中:(if_name):表示接口名称,一般为inside.nat_id:表示地址池,由global命令定义。
local_ip:表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
routeroute命令定义静态路由。
语法:route (if_name) 0 0 gateway_ip [metric]其中:(if_name):表示接口名称。
0 0 :表示所有主机Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。
缺省值是1。
static配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。
ciscoasa8.2与8.4的nat区别
ciscoasa8.2与8.4的nat区别1.NAT(nat-control,8.2有这条命令,开了的话没有nat是不通的)1.8.2(PAT转换)global (outside) 10 201.100.1.100nat (inside) 10 10.1.1.0 255.255.255.0ASA/pri/act(config)# show xlate1 in use, 1 most usedPAT Global 201.100.1.100(1024) Local 10.1.1.1(11298)8.4object network natsubnet 10.1.1.0 255.255.255.0object network natnat (inside,outside) dynamic 201.100.1.100ASA8-4# show xlate1 in use,2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceTCP PAT from inside:10.1.1.1/53851 to outside:201.100.1.100/5810 flags ri idle 0:00:04 timeout 0:00:302.8.2(动态的一对一转换)nat (inside) 10 10.1.1.0 255.255.255.0global (outside) 10 201.100.1.110-201.100.1.120 netmask 255.255.255.0ASA/pri/act# show xlate detail2 in use, 2 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticNAT from inside:10.1.1.1 to outside:201.100.1.110 flags iNAT from inside:10.1.1.2 to outside:201.100.1.111 flags i8.4object network natsubnet 10.1.1.0 255.255.255.0object network outside-natrange 201.100.1.110 201.100.1.120object network natnat (inside,outside) dynamic outside-natASA8-4# show xlate1 in use,2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceNAT from inside:10.1.1.1 to outside:201.100.1.115 flags i idle 0:01:13 timeout 3:00:00 3.8.2(转换成接口地址)nat (inside) 10 10.1.1.0 255.255.255.0global (outside) 10 interfaceASA/pri/act# show xlate detail1 in use,2 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticTCP PAT from inside:10.1.1.1/61971 to outside:201.100.1.10/1024 flags ri8.4object network natsubnet 10.1.1.0 255.255.255.0object network natnat (inside,outside) dynamic interfaceASA8-4(config)# show xlate1 in use,2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceTCP PAT from inside:10.1.1.1/35322 to outside:201.100.1.10/52970 flags ri idle 0:00:03timeout 0:00:304. 8.2(不同的内部地址转换成不同的外部地址)nat (inside) 9 1.1.1.0 255.255.255.0nat (inside) 10 10.1.1.0 255.255.255.0//排列标准,先看明细,越明细的越在前面,明细相同看IP地址,IP址址小的在前面,在实际作用的时候也是按照这个面序来的。
NAT四种类型以及提高NAT类型的途径和方法nat1nat2nat3nat4
NAT四种类型以及提⾼NAT类型的途径和⽅法nat1nat2nat3nat4原⽂:NAT是Network Address Translation的缩写,也就是⽹络地址转换的意思。
NAT是将IP数据包头中的IP地址转换为另⼀个IP地址的过程。
可以简单连接为将局域⽹转换为公⽹,只有公⽹才能在互联⽹传输。
⽆线路由器就充当了NAT、⽆线AP和交换机三个功能。
NAT有4个类型,它们分别是:NAT1、NAT2、NAT3、NAT4。
从 NAT1 ⾄ NAT4 限制越来越多。
下⾯分别讲解。
NAT1: Full Cone NAT,全锥形NAT,这是最宽松的⽹络环境,你想做什么,基本没啥限制IP和端⼝都不受限。
NAT2: Address-Restricted Cone NAT,受限锥型NAT,相⽐NAT1,NAT2 增加了地址限制,也就是IP受限,⽽端⼝不受限。
NAT3: Port-Restricted Cone NAT,端⼝受限锥型,相⽐NAT2,NAT3 ⼜增加了端⼝限制,也就是说IP、端⼝都受限。
NAT4: Symmetric NAT,对称型NAT,对称型NAT具有端⼝受限锥型的受限特性,内部地址每⼀次请求⼀个特定的外部地址,都可能会绑定到⼀个新的端⼝号。
也就是请求不同的外部地址映射的端⼝号是可能不同的。
这种类型基本上就告别 P2P 了。
由上⾯可以看出从NAT1到NAT4限制越来越多,为了各种需求,我们希望提升NAT类型。
提升NAT类型的好处有,浏览⽹页、观看视频、游戏等更顺畅,下载速度更稳定快速,特别是对那些玩游戏的,提升NAT类型后更容易进⼊游戏房间连线等。
提升NAT类型的途径和⽅法: 1、修改光猫⼯作模式: 把光猫⼯作模式设置为桥接模式,这就是获取光猫超级密码的⽬的,修改模式,因为运营商⼀般默认设置光猫⼯作在路由模式。
⽆线路由器直接连到猫上就可以上⽹的,那么光猫是路由模式。
⽆线路由器需要PPPoE拨号上⽹的就是桥接模式。
NAT四种类型以及提高NAT类型的途径和方法
NAT四种类型以及提⾼NAT类型的途径和⽅法NAT是Network Address Translation的缩写,也就是⽹络地址转换的意思。
NAT是将IP数据包头中的IP地址转换为另⼀个IP地址的过程。
可以简单连接为将局域⽹转换为公⽹,只有公⽹才能在互联⽹传输。
⽆线路由器就充当了NAT、⽆线AP和交换机三个功能。
NAT有4个类型,它们分别是:NAT1、NAT2、NAT3、NAT4。
从 NAT1 ⾄ NAT4 限制越来越多。
下⾯分别讲解。
NAT1: Full Cone NAT,全锥形NAT,这是最宽松的⽹络环境,你想做什么,基本没啥限制IP和端⼝都不受限。
NAT2: Address-Restricted Cone NAT,受限锥型NAT,相⽐NAT1,NAT2 增加了地址限制,也就是IP受限,⽽端⼝不受限。
NAT3: Port-Restricted Cone NAT,端⼝受限锥型,相⽐NAT2,NAT3 ⼜增加了端⼝限制,也就是说IP、端⼝都受限。
NAT4: Symmetric NAT,对称型NAT,对称型NAT具有端⼝受限锥型的受限特性,内部地址每⼀次请求⼀个特定的外部地址,都可能会绑定到⼀个新的端⼝号。
也就是请求不同的外部地址映射的端⼝号是可能不同的。
这种类型基本上就告别 P2P 了。
由上⾯可以看出从NAT1到NAT4限制越来越多,为了各种需求,我们希望提升NAT类型。
提升NAT类型的好处有,浏览⽹页、观看视频、游戏等更顺畅,下载速度更稳定快速,特别是对那些玩游戏的,提升NAT类型后更容易进⼊游戏房间连线等。
提升NAT类型的途径和⽅法:1、修改光猫⼯作模式:把光猫⼯作模式设置为桥接模式,这就是获取光猫超级密码的⽬的,修改模式,因为运营商⼀般默认设置光猫⼯作在路由模式。
⽆线路由器直接连到猫上就可以上⽹的,那么光猫是路由模式。
⽆线路由器需要PPPoE拨号上⽹的就是桥接模式。
2、更改路由器设置:如果⽆线路由器有启⽤“Full Cone”、“uPnP”等功能,果断启⽤。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.NAT(nat-control,8.2有这条命令,开了的话没有nat是不通的)1.8.2(PAT转换)global (outside) 10 201.100.1.100nat (inside) 10 10.1.1.0 255.255.255.0ASA/pri/act(config)# show xlate1 in use, 1 most usedPAT Global 201.100.1.100(1024) Local 10.1.1.1(11298)8.4object network natsubnet 10.1.1.0 255.255.255.0object network natnat (inside,outside) dynamic 201.100.1.100ASA8-4# show xlate1 in use,2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceTCP PAT from inside:10.1.1.1/53851 to outside:201.100.1.100/5810 flags ri idle 0:00:04 timeout 0:00:302.8.2(动态的一对一转换)nat (inside) 10 10.1.1.0 255.255.255.0global (outside) 10 201.100.1.110-201.100.1.120 netmask 255.255.255.0ASA/pri/act# show xlate detail2 in use, 2 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticNAT from inside:10.1.1.1 to outside:201.100.1.110 flags iNAT from inside:10.1.1.2 to outside:201.100.1.111 flags i8.4object network natsubnet 10.1.1.0 255.255.255.0object network outside-natrange 201.100.1.110 201.100.1.120object network natnat (inside,outside) dynamic outside-natASA8-4# show xlate1 in use,2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceNAT from inside:10.1.1.1 to outside:201.100.1.115 flags i idle 0:01:13 timeout 3:00:00 3.8.2(转换成接口地址)nat (inside) 10 10.1.1.0 255.255.255.0global (outside) 10 interfaceASA/pri/act# show xlate detail1 in use,2 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticTCP PAT from inside:10.1.1.1/61971 to outside:201.100.1.10/1024 flags ri8.4object network natsubnet 10.1.1.0 255.255.255.0object network natnat (inside,outside) dynamic interfaceASA8-4(config)# show xlate1 in use,2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceTCP PAT from inside:10.1.1.1/35322 to outside:201.100.1.10/52970 flags ri idle 0:00:03timeout 0:00:304.8.2(不同的内部地址转换成不同的外部地址)nat (inside) 9 1.1.1.0 255.255.255.0nat (inside) 10 10.1.1.0 255.255.255.0//排列标准,先看明细,越明细的越在前面,明细相同看IP地址,IP址址小的在前面,在实际作用的时候也是按照这个面序来的。
global (outside) 10 interfaceglobal (outside) 9 201.100.1.111ASA/pri/act# show xlate detail2 in use, 2 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticTCP PAT from inside:1.1.1.1/51343 to outside:201.100.1.111/1026 flags riTCP PAT from inside:10.1.1.1/13938 to outside:201.100.1.10/1028 flags ri8.4ASA8-4# show running-config objectobject network inside1subnet 10.1.1.0 255.255.255.0object network inside2subnet 1.1.1.0 255.255.255.0object network ouside-inside2host 201.100.1.110ASA8-4# show running-config nat!object network inside1nat (inside,outside) dynamic interfaceobject network inside2nat (inside,outside) dynamic ouside-inside2ASA8-4# show xlate2 in use, 2 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceTCP PAT from inside:1.1.1.1/59611 to outside:201.100.1.110/34338 flags ri idle 0:00:08 timeout 0:00:30TCP PAT from inside:10.1.1.1/22181 to outside:201.100.1.10/53371 flags ri idle 0:00:19 timeout0:00:305.8.2(先做一对一转换,当且仅点地址都用完了,在做PAT转换)ASA/pri/act# show running-config natnat (inside) 10 10.1.1.0 255.255.255.0ASA/pri/act# show running-config globalglobal (outside) 10 201.100.1.110-201.100.1.112global (outside) 10 201.100.1.116ASA/pri/act# show xlate detail4 in use,5 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticNAT from inside:10.1.1.1 to outside:201.100.1.110 flags iNAT from inside:10.1.1.3 to outside:201.100.1.112 flags iTCP PAT from inside:10.1.1.6/19799 to outside:201.100.1.116/1025 flags riNAT from inside:10.1.1.2 to outside:201.100.1.111 flags i8.4object network outsiderange 201.100.1.110 201.100.1.112object network insidesubnet 10.1.1.0 255.255.255.0object network insidenat (inside,outside) dynamic outside interfaceASA8-4# show xlate4 in use, 4 most usedFlags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twiceTCP PAT from inside:10.1.1.4/49994 to outside:201.100.1.10/52626 flags ri idle 0:00:04 timeout 0:00:30NAT from inside:10.1.1.1 to outside:201.100.1.111 flags i idle 0:01:31 timeout 3:00:00NAT from inside:10.1.1.3 to outside:201.100.1.110 flags i idle 0:00:16 timeout 3:00:00NAT from inside:10.1.1.2 to outside:201.100.1.112 flags i idle 0:00:33 timeout 3:00:006.6.8.0 (策略NAT(从inside访问outside不同的端口号转换为不同的外部ip地址))(策略nat永远是优于普通的nat的)access-list pat1 extended permit tcp host 10.1.1.1 host 201.100.1.1 eq telnetaccess-list pat2 extended permit tcp host 10.1.1.1 host 201.100.1.1 eq wwwnat (inside) 10 access-list pat1nat (inside) 20 access-list pat2global (outside) 10 201.100.1.100global (outside) 20 201.100.1.200ASA/pri/act# show xlate detaASA/pri/act# show xlate detail2 in use, 5 most usedFlags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,r - portmap, s - staticTCP PAT from inside:10.1.1.1/30449 to outside(pat2):201.100.1.200/1024 flags riTCP PAT from inside:10.1.1.1/43167 to outside(pat1):201.100.1.100/1024 flags ri8.42新版本(Twice NAT) ,这个是两次NAT,一般加入了基于目的的元素,而之前的network object 只是基于源的,通常情况下使用object 就能解决问题了,这个只是在特殊情况下使用。